自称詳しい人が脆弱性を放置するなと主張する根拠は

遠隔操作ウイルスも情報漏えいウイルスもOSやアプリの脆弱性を突くウイルスではありません。サポートがなくなったら危険だとマスコミは言ってるけど具体的にどう危険なのかの説明はほとんどありません。特権昇格とかリモートでコードがとかあるけれどそれって実は一般利用者にとって大した脅威ではないですよね。一般利用者が恐れているのは遠隔操作ウイルスや情報漏えいウイルスのようなダメージのデカいやつです。すべての情報は報道では明らかにされていませんが、報道されるその時まで遠隔操作ウイルスに最新定義のセキュリティソフトはどれも対応できていなかったという情報もあります。詳しい人に質問です。OSやPDFやFlashの脆弱性を放置したがために遠隔操作ウイルスや情報漏えいウイルスのような新聞で大きく書かれる事件につながったことはありますか？
また、なぜ脆弱性狙いのウイルスは大ごとにならないささやかなものばかりなのでしょうか？社会的に大問題になるウイルスが脆弱性を狙わない理由もご存知でしたら教えてください。

No.10 回答者： seadragon 回答日時： 2013/04/19 09:40

回答:No.9です。

最近のレポートが出たので、一応参考資料として補足します。
あいかわらず脆弱性を利用した攻撃が多い状況です。

ドライブ・バイ・ダウンロード攻撃が猛威--3月度レポート（マカフィー）
http://scan.netsecurity.ne.jp/article/2013/04/15 …
日本は感染率は低いが、深刻度の高い感染が多い--マイクロソフトレポート（マイクロソフト）
http://scan.netsecurity.ne.jp/article/2013/04/18 …

No.9 回答者： seadragon 回答日時： 2013/04/16 22:18

現在のマルウェアは概ね犯罪目的で作成されています。

従って犯罪テロ産業複合体の収益を上げるためなら何でもします。
怪しいサイト/メールは開かないので大丈夫というのはもう過去の
話です。
参考：ウイルス新時代に備える
http://pc.nikkeibp.co.jp/article/basic/20120529/ …

不特定化するハッカー：ハッキング大量生産時代の到来
http://www.mcafee.com/japan/security/mcafee_labs …
にもありますが、最近は攻撃がサイバーテロに移行しつつあり、
攻撃の踏み台として１台でも多くの感染PCを必要としています。
このため
「たとえ平均的なPCユーザーで、価値あるデータを持っていなく
ても、システムやネットワークリソースには価値があるため、
ターゲットとして狙われています。」
とあるようにセキュリティレベルの低い個人ユーザーは良い
ターゲットです。

既知の脆弱性を放置していたが故に甚大な損害があった
世界的に有名な例にソニーの例があります。
ソニー７７００万件情報流出、原因は「脆弱性への未対処」
http://www.yomiuri.co.jp/net/security/goshinjyut …
当然、大企業ですから、アンチマルウェアソフト、FW等
幾多の高価なシステムは導入済みでしたが、脆弱性への
攻撃には全く効果がなく素通りで情報漏洩しています。

これほど有名ではありませんが、脆弱性を利用した
ドライブバイダウンロード攻撃により個人のHPが犯罪
に利用されている例もあります。
一般サイトがフィッシング詐欺の踏み台に、Gumblar攻撃と関係か
http://www.itmedia.co.jp/enterprise/articles/100 …

『このためOSや対策ソフトはもちろんPCに導入した全ての
ソフトを最新版にしておく事が重要です。』

この攻撃も未知の脆弱性を利用したゼロディ攻撃が増えて
いるので要注意です。
参考：「 知っていますか？"ゼロデイ攻撃" 」
http://www.ipa.go.jp/security/txt/2009/08outline …

Stuxnet、Duqu、Flameについて
http://blog.f-secure.jp/archives/50667734.html
にあるように、高度なマルウェアは未知の脆弱性を利用し
マルウェアに感染していることすら気づけないように設計
されています。
参考：脆弱性の傾向
http://www.symantec.com/ja/jp/threatreport/topic …
最近の脅威の見えない化は深刻です。
自身の端末が感染していないように見えるからといって
必ずしも感染していないとは言えないのが実情です。
実際、脆弱性を利用した攻撃で感染して被害にあっていても
そのことに誰も全く気づけなければニュースにすらならない、
なりようがないですし。

※紹介したリンク先は投稿時にReturnil Virtual System 2010
Enterprise Classic有効状態下
Panda Cloud Office Protection、Symantec AntiVirus ScanEngine、
Webroot SecureAnywhere Complete、
McAfee SiteAdvisor Enterprise Plusの最新状態下にてチェック
済みですがその安全性を保証するものではありません。
現在、ウイルスやマルウェアを100%検出するための解決策は何も
ありません。また、投稿時以降にサイト改竄されている可能性も
あり得ます。

No.8 回答者： okgoripon 回答日時： 2013/04/16 20:42

>OSやPDFやFlashの脆弱性を放置したがために遠隔操作ウイルスや情報漏えいウイルスのような新聞で大きく書かれる事件につながったことはありますか？

この条件に当てはまればいいのであれば、結構たくさんありますよ。
まとまって回答されているページがあったんでこちらをどうぞ。

http://detail.chiebukuro.yahoo.co.jp/qa/question …

上記のほとんどは「OSの」脆弱性を突かれたものですが。

No.7 回答者： nekobox 回答日時： 2013/04/16 20:40

添付画像が不明瞭のため再アップ。

http://www.dotup.org/uploda/www.dotup.org4133654 …


問題大有りですわなｗ

No.6 回答者： FEX2053 回答日時： 2013/04/16 16:12

一応企業で、その手の仕事をしてるんですが・・・。

私的に言えば、別に「あなた」がどーなろうと知ったこっちゃないん
ですが、「あなた」を放置すると「私」が困る可能性があるから言って
いるんですよ。

要は、「あなた」を踏み台にして「私」・・・つか「ウチの会社」が攻撃
される可能性が高くなるってことなんです。

まあ、放置する「あなた」の数は日本中でかなりの数になりますから、
「あなた」一人をどーこーしても始まらない・・・と言えばそれまでなん
ですけどね。防災と同じで「見える穴は全部ふさぎたい」んですわ。
皆さん言っているのも、「あなた以外の多数の人間が困るのは困る」
からで、「あなた」自体はどーでもいいんです。

ということで、「どーぞご自由に」。困るのは「あなた」であって、私じゃ
ありませんから・・・。

この回答へのお礼

またも抽象論ばかり。
危険と力説するのにどうして具体的なリスクを一切話せないのか疑問です。
そういうお仕事なのに実例を提示できないのは危険であるという事実が存在しないから当然その例も存在しないってことなんでしょうかね。
お忙しいところをありがとうございます。とても参考になりました。

お礼日時：2013/04/16 16:34

No.4 回答者： nekobox 回答日時： 2013/04/16 14:41

>遠隔操作ウイルスも情報漏えいウイルスもOSやアプリの脆弱性を突くウイルスではありません

半分ハズレ。日本での遠隔操作ウイルスの件は脆弱性絡みではないです。

ですが、

http://detail.chiebukuro.yahoo.co.jp/qa/question …

↑はDrive by Downloadの可能性濃厚。この検出されてるマルウェアはかなり有名なものです。遠隔操作系です。

あと、

http://www.geocities.co.jp/Playtown-Yoyo/6130/no …


ね。大変な情報漏洩。このパターンは詳しく説明しませんけど、正規の手続き進行中に介入(インジェクション)する手法です。クラッカーコミュ行くとこれ系の情報がたくさんあります。今のマルウェアの世界ってのはもうCrimeWareなのです。この言葉最初に紹介したの俺だから。


>特権昇格とかリモートでコードがとかあるけれどそれって実は一般利用者にとって大した脅威ではないですよね。


大ハズレでーすｗ。マシンを支配されたり、任意のリモートコードを送り込まれるわけですよ。PSWもあり得るわけじゃないですか。


あなたの考え方は大甘ですよ。

http://itpro.nikkeibp.co.jp/article/COLUMN/20120 …

この回答へのお礼

ここまで、やはり大きな事例は示せてませんね。
脆弱性放置しても特に問題がおこらないようで安心しました。
今後もXPを使い続けてくことにします。
ていねいなご回答ありがとうございました。

お礼日時：2013/04/16 14:47

No.3 回答者： chie65535 回答日時： 2013/04/16 14:16

＞具体的にどう危険なのかの説明はほとんどありません。

どう危険なのか書ける訳ないでしょ。

例えば、報道で「マイナスドライバーで窓枠の●●部分に●●して●●すれば、音も無く窓ガラスを割る事が出来るので、危険です」って報道したら、何が起こると思う？

「報道された手口をみんなが真似して、被害が増える」でしょ？

だから「どういう理由で危険なのか」は、説明したくたって説明できないの。

＞特権昇格とかリモートでコードがとかあるけれどそれって実は一般利用者にとって大した脅威ではないですよね。

リモートでコードが実行されれば、ＨＤＤ内のすべてのファイルを不正に引っ張り出す事が出来て、クレジットカードの情報や、ユーザーＩＤやパスワードも自由に出来るけど、引っ張り出された被害者は「その事実に気付かない」から「大した脅威じゃない」って感じるだろうね。

だって「見た目には、パソコンに変化は無い」んだから。

あと、リモートされると「スパムメールの踏み台」にされたりして、全世界に迷惑をかけるけど、自分には大して被害は無いから、自分が加害者になっている事を気にしない人も居るでしょうね。

＞一般利用者が恐れているのは遠隔操作ウイルスや情報漏えいウイルスのようなダメージのデカいやつです。

これは「報道によって騒がれてる」から「他に比べてダメージがでかい」って勘違いしている人が多いですね。

でも、どれも「ダメージの大きさは同じ」なんですよ。単に「自分の目に見えているか見えていないかの違い」しかないのにね。

＞OSやPDFやFlashの脆弱性を放置したがために遠隔操作ウイルスや情報漏えいウイルスのような新聞で大きく書かれる事件につながったことはありますか？

そんな「日常茶飯事」を、わざわざ新聞で取り上げる訳ないでしょ。毎日のように起きてる振り込め詐欺も「当たり前過ぎて記事にならない」から、新聞に載ってないでしょ？

＞また、なぜ脆弱性狙いのウイルスは大ごとにならないささやかなものばかりなのでしょうか？

「既知の脆弱性」なんて、対策されて塞がれてるのが普通だから、そこを狙っても効果がないでしょ。

効果が無いなら、大ごとになる訳がない。

＞社会的に大問題になるウイルスが脆弱性を狙わない理由もご存知でしたら教えてください。

「知らないうちに穴が開いてる」って場合は、誰かがその穴に気付かない限り「何でもやり放題」になる。

つまり、一旦、どうにかして穴さえ開けられれば、効果が絶大で、被害が拡大する。

効果が絶大で、被害が拡大すれば、社会的な大問題になるでしょ？

質問者さんは、原因と結果、因果関係を逆に捉えてしまっているので、良く考え直してみた方が良いでしょう。

No.2 回答者： Eureka_ 回答日時： 2013/04/16 13:37

世の中にありふれすぎてて報道ネタにならんのですよ。

振り込め詐欺(今新名称募集中なんですっけ)とか最近大した扱いにはなってないっしょ?

脆弱性を云々で何が起こってるといって、いわゆる迷惑メールを自動送信してるのはだいたいが脆弱性を突かれて自動送信プログラムを仕込まれたPCです。使ってる側にはダメージが少ないんで被害感覚がありませんが、アドレス帳とか抜かれて拡散に一役買ってます。むしろ加害者と言って良い。
大ごとにならない?「あなたは知り合いに大迷惑を掛けています!」とか「ほっとくとクレカの情報から何から抜かれて身の破滅です!(実際やれるはずです)」なんて大ごとにしちゃったら利用者側がセキュリティ意識を向上させて感染ベースが減る→うっかり甘言に乗せられる迂闊なバカに行き当たる確率が減る→引っかかるバカからの利益が減る、で長期的に見て犯罪者側が得すること何もないじゃないですか。ああいうのはユーザーに問題を認識させないから怖いんです。犯罪者側にとって継続的にある程度の資金が入る構造になってる。
#正直私にはああいう迷惑メールで課金要求するという手口に引っかかるというのの想像が付かないんですが、振り込め詐欺で何千万被害に遭ったなんて話を聞くにああいうのにもある程度引っかかる層は存在するんでしょう。
#想像できないんで「じゃあ実際どんな被害が出てるんだ?」という質問には回答できませんのであしからず。被害に遭った人が回答してくれれば良いんでしょうけど、被害者も往々にして犯罪被害に遭ったと認識してない場合があるらしい(なんか後ろ暗いことやっててその課金と誤認するらしいとか何とか)のがなんとも…

No.1 回答者： t_ohta 回答日時： 2013/04/16 13:15

特権昇格できるとかリモートでコードを実行できると言う事は、そのパソコンのファイル盗み出したり、を遠隔操作したりできると言う事です。

日本は一般ユーザーを含めセキュリティ対策が行き届いている国なので、脆弱性狙いのウイルスによる被害が少ないから報道されないだけです。