実行ファイル・セキュリティホール以外の感染経路

ウイルスについて分からないことがあります。

仮に、セキュリティホールが無く、トロイなどウイルスも一切入っていないPCがあったとします。
また、このPCのユーザーはローカルで実行ファイルを実行することはないとします。
この前提の下でウイルスに感染して任意のコードを実行されてしまう経緯としてはどのようなものが考えられますでしょうか。
特にWebやメールの閲覧で感染する経路について教えてください。

また、実行ファイルをそれと知らず実行してしまう状況にはどのようなものがありますでしょうか。
例:
・comなどマイナーなファイル形式を使う
・右→左に文字を書いて拡張子をごまかす
・アイコンを偽装する

なお、この質問はQNo.2870353の焼き直しです。
http://oshiete1.goo.ne.jp/qa2870353.html

No.4 ベストアンサー 回答者： waros99 回答日時： 2007/08/31 23:39

こんにちは。

ボクはその筋のコミュニティーの潜入調査やVirtual Machine上でAVのスキャンやPFWの検知をすり抜けるMalwareの動作解析みたいなことをやってます。

で、例えばスクリプトキーロガーやXSSとか。メールですと、やっぱHTMLメールですよね。WEBでできることはHTMLメールでもほとんど可能ですから。ちなみに、#3さんが示してくれたイタリアで発生した・・・というやつは、MPackというPHPスクリプトで記述されたツール群を使って行われました。同様のツールは他にもあります。手短に言うと、iFrameを悪用した攻撃です。

>また、実行ファイルをそれと知らず実行してしまう状況にはどのようなものがありますでしょうか。

それ以外ですと、現在では画像ファイルとして何ら矛盾していない形式を保ちながらスクリプトを埋め込むことができるツールが存在します。

この回答へのお礼

回答ありがとうございます。
XSSという用語は初めて聞きました。非常に興味深いですがこれはサーバ側の問題ですね。とりあえず今回の質問では悪意のあるWebサイトに接続してJavaScriptやcgiを自由に実行させておくということでお願いします。
これでも問題になるのはセキュリティホールがある場合だけだと思うのですがどうでしょう。

画像ファイルのスクリプト、聞いたことがあります。これを実行するにはどうすればいいのでしょうか。ビューアにセキュリティホールがない限り画像は画像でしかないと思うのですが。

--'07.9/4

お礼日時：2007/09/04 17:06

No.7 回答者： waros99 回答日時： 2007/09/20 23:19

#4です。

>これではそんなものは存在しないとしか考えられません。

いえ、ちゃんと存在します。単にこのような所では紹介できないと言うだけの話です。ぐぐれば見つかると思いますので、やってみて下さい。

この回答への補足

残念ながらググっても脆弱性に依存するjpgウイルスしか見つかりませんでした。
やはり存在しないか、存在するにしてもマイナーなもののようです。あまり注意をする必要もなさそうですね。

--'07.9/30

補足日時：2007/09/30 11:30

No.6 回答者： waros99 回答日時： 2007/09/15 23:29

#4です。

申し訳ありませんが、画像ファイルのスクリプト埋め込みの件に関しましては、不特定多数が閲覧するこのようなところではお答えできません。悪しからず。

この回答への補足

それは残念です。これではそんなものは存在しないとしか考えられません。

補足日時：2007/09/17 01:04

No.5 回答者： waros99 回答日時： 2007/09/05 04:18

#4です。

すいません。仮定の解釈を間違えたようです。

クライアント側にはセキュリティーホールが無いものとして解答しました。確かにXSSはサーバーサイドが絡んでます。ですが、スクリプトキーロガーや画像ファイルにスクリプトを埋め込むやつは、一切脆弱性に依存しません。

この回答へのお礼

回答ありがとうございます。
スクリプトキーロガーという単語は知りませんでしたが、サイトに入力した文字を取り込むようなものでしょうか。でしたら確かに脆弱性には依存しませんね。
画像ファイルのスクリプトは興味深いですね。どのようにしてそのコードを実行するのか詳しく教えてもらえませんか。

--'07.9/10

お礼日時：2007/09/10 02:29

No.3 回答者： Jirokichi 回答日時： 2007/08/31 18:46

こんにちは。

トレンドマイクロのサイトに「WEBからの驚異」と題されて説明されているページがあります。
ページの中程に、実際にイタリアで発生した大規模攻撃の概要ムービーなどもありますのでご覧になってみてください。

http://jp.trendmicro.com/jp/threat/enterprise/we …

この回答へのお礼

回答ありがとうございます。
これはそもそもの発端はWebサイトの閲覧から実行ファイルが実行されるということのようですね。その部分をもう少し詳しく解説が欲しいです。ブラウザのセキュリティホール以外でWeb上から任意のコードの実行ができるのかどうかが今回の質問の焦点です。

--'07.9/4

お礼日時：2007/09/04 16:58

No.2 回答者： kuretako 回答日時： 2007/08/31 18:23

ネットをつなげていること自体が

ウイルスの的になります

このWEBを見るには　プラグインが必要です
というような注意書きを出すもの
(信用がないプラグイン使用するもの）
ワンクリック詐欺のような偽装したもの
偽のオンラインスキャン＆ソフト(偽セキュリティーソフト）
偽のWEBサイト　でしこんだもの
（最近トレンドマイクロラボが見つけたサイト）ブログ記事
英語です
http://blog.trendmicro.com/fake-google-web-page- …

この回答へのお礼

回答ありがとうございます。
有名なページの偽物は確かに厄介ですね。プラグインやexeファイルのダウンロード時には有名サイトでも十分気をつける必要がありそうです。
偽ページに行かないように気をつけるか有名ページからでも実行ファイルを実行しないように気をつけるか、難しいところです。
偽オンラインスキャンも怖いですね。

--'07.9/4

お礼日時：2007/09/04 16:52

No.1 回答者： okg00 回答日時： 2007/08/31 16:49

http://internet.watch.impress.co.jp/static/colum …
http://itpro.nikkeibp.co.jp/article/NEWS/2007020 …

セキュリティホールがないという前提がすでに怪しいのですが...
セキュリティホールが見つかってから対策されるまでに実行される、という可能性を捨てるわけには行かないでしょう。

あとは、受動的にWebを感染することによりユーザが意識せずにローカルでコードを実行される(まあ、これもセキュリティホールなんですが)ことがありますね。手段はいろいろ、ActiveXをインストールされたり(これも実行ふぁいるなので)Javascriptだったり。

OSのシステムファイルを書き換えて実行させることもありますし、
>ローカルで実行ファイルを実行することはない
とWeb閲覧をするという項目が矛盾しています。

メールでは主にHTMLを閲覧しスクリプトを実行される場合や添付ファイルを自動的に実行されてしまったり。

また、BIOSを書き換えられる可能性もありますね。


>実行ファイルをそれと知らず実行してしまう
二重拡張子
なんとかかんとか.avi　　　　　　　　　　　　　　　　　　.exe
をダブルクリックして実行してしまうなど。

この回答へのお礼

回答ありがとうございます。
セキュリティホールに関しては「有名なソフトは使わない」以外に対策のしようがないということから質問の対象外としておいたのですが、3か月も放っておかれることがあるとは予想外でした。

ActiveXのインストールはexeファイルのダブルクリックと同義と考えています。ところでこれは許可を与えなければインストールされませんよね?とりあえずどんな文章が出てもOKを押さなければ大丈夫だと思っているのですが。

JavaScriptは(セキュリティホールを突かない限り)任意のコードが実行できる類のものではないと思ってしまうのですがそのあたりどうなっているのでしょうか。

メール、HTMLのスクリプトはweb上のJavaScript等と同じく任意のコードは実行できないと考えていますがどうでしょうか。
また添付ファイルは、実行形式以外のものは開いても問題ないと思いますがどうでしょうか。
(繰り返しますがセキュリティホールはない仮定の下でです)

二重拡張子は気をつけたいと思います。

--'07.9/4

お礼日時：2007/09/04 16:47