やまもといちろうBLOG（ブログ）

アンチウィルスソフトは新種のウィルス感染を予防できない。既存のウィルスに対して対策を施しているだけなので常に後追いになる。プログラミングの知識のある人なら亜種のウィルスをつくりだすのも簡単だろう。サーバーエージェントを責めるのは酷だろう。

Posted by: H | 2010.01.07 at 14:06

＞アンチウィルスソフトは新種のウィルス感染を予防できない。既存のウィルスに対して対策を施しているだけなので常に後追いになる。プログラミングの知識のある人なら亜種のウィルスをつくりだすのも簡単だろう。サーバーエージェントを責めるのは酷だろう。

exe形式なら分からんでもないが、javascriptのトロイなんだから、アンチウイルスソフトは一発で検出するよ。

それに、ウイルス感染は4日に報告されてて、そこから公式には何ら発表せず、黙ってキャンペーンサイトそのものを閉鎖してほっかむりして、今も公表してないよね。

それがサービスをする会社の態度なのかな、とは思うけどね。
NTT系とかなら契約解除するレベルの仕事内容だと思うよ。

Posted by: | 2010.01.07 at 17:11

javascriptのトロイなんだから、普通のアンチウイルスソフトなら一発検出だと思うが、CAというのはそういうチェックはしない会社なのか？

nortonには知り合い多いので、何があったか聞いてみるかな。

Posted by: ossan | 2010.01.07 at 17:17

Posted by: | 2010.01.07 at 17:59

ネタ読んでひと笑い。さらにコメ読んでひと笑い。御馳走様でございました。

Posted by: nya | 2010.01.07 at 18:06

Javascriptだから検出できるって意味が分からん。玄人にはそれが当然なんか知らん？

Posted by: ass | 2010.01.07 at 22:03

jacascriptのウイルスは検出しやすいってことじゃないの？

それなのに、大手ブログサイトが分からないでリリースしちゃうというのは、なんなんだろうね。

Posted by: | 2010.01.07 at 22:24

誤感知じゃなく、本物のトロイだから問題だと言ってるのに、はてブにバカが出てるね。

4日には通報されてるんだから、把握した時に警告出すのがサービス業者としてのCAの責務だと思うがね。思わないのなら、その程度の倫理の会社ってことだね。

http://b.hatena.ne.jp/daruyanagi/20100108#bookmark-18396239
# daruyanagi daruyanagi 本文もコメントも……痛い。アンチウイルスソフトが検知したもの＝有害なものではないよ。誤検知などの可能性も考慮しよう。 ／ぇ、まじでトロイなの？

Posted by: | 2010.01.08 at 00:47

誤感知じゃなく、本物のトロイだから問題だと言ってるのに、はてブにバカが出てるね。

4日には通報されてるんだから、把握した時に警告出すのがサービス業者としてのCAの責務だと思うがね。思わないのなら、その程度の倫理の会社ってことだね。

http://b.hatena.ne.jp/daruyanagi/20100108#bookmark-18396239
# daruyanagi daruyanagi 本文もコメントも……痛い。アンチウイルスソフトが検知したもの＝有害なものではないよ。誤検知などの可能性も考慮しよう。 ／ぇ、まじでトロイなの？

Posted by: | 2010.01.08 at 00:47

体を張らないと笑いは取れないのさ。

Posted by: みかん | 2010.01.08 at 00:51

>Javascriptだから検出できるって意味が分からん

javascriptってのはhtml同様ほとんどただのテキストファイルで、どういう動作をするつもりなのかが最初から丸分かり。だから危険なコードがあれば実行前に検知するのも容易。犯罪スケジュールが書いてあるようなもんだから。
exeはデータの羅列だから、まずどんな動作をするのか解析しなきゃいけないので難しい。だからよく誤検出が生じたりもする。

つまり言ってみれば、銃持って大きなマスクにサングラスしてTシャツに犯罪スケジュールを克明に記してきた奴が銀行にやってきたのに警備員が制止することなくにこやかに窓口まで道案内しちゃったとかそういうレベル。

Posted by: ak | 2010.01.08 at 00:59

テキストファイルだから検出しやすいって理由がわからん
難読化したうえに、分割して、AJAXした上で、遅延評価かかるようにされたものが
なんの対処もしていないEXEと比べて検出しやすい理由は無いと思うが？
単純に歴史と伝統があるEXEのウイルスの偽装レベルと
最近作られたばっかの、Javascriptの偽装レベルでは、技術的な偽装レベルが違うだけで、アーキテクチャー的な問題ではないのでは？

Posted by: 心は萌え | 2010.01.08 at 05:24

>javascriptってのはhtml同様ほとんどただのテキストファイルで、どういう動作をするつもりなのかが最初から丸分かり。

それを言えばバイナリもアセンブラで「どういう動作するか」分かるんじゃないの？

今の仕組みは
　1.ジャックしたサイトに難読化したURIジャンプのJavascriptを仕込む
　2.不特定のユーザーにJSを実行させて攻撃サイトへ移動
　3.攻撃サイトには脆弱性攻撃の詰め合わせを用意
　4.いずれかの攻撃でパスワードスニッカーをロード・実行
　5.成功したユーザーのサイトパスワードを盗聴してサイトをジャック（1に戻る）
なんだろ

2なんか移動先サイトが変われば検出しようが無い（ただのJSのジャンプを規制できない）と思うし難読化も手作業らしくパターンでマッチしきれないらしいじゃない。実際去年前半のGumbler登場時には反応できなかったセキュリティソフトがあったと思うんだ。
3はセキュリティベンダーの確認済みの攻撃は防げるがいわゆるゼロデイには対応できない。今回の3はおそらくMSやAdobeや各セキュリティベンダーの押さえているモノだったのだろうから予防の使用はあったとは思うが、Javascriptならいつでも誰でも予防できるっつうのは分かんないな。

あなたセキュリティの専門家？それなら正しいんだろう。今の俺には理解できないから教えを請うよ。

Posted by: ass | 2010.01.08 at 10:35

これでも「ブログパーツ離れ」みたいなことにはならないのかな

Posted by: mlx | 2010.01.08 at 10:59

バイナリの難読化とjavascriptの難読化を同難易度に見ている人もいるけど、セキュリティベンダのsolvage rate reportとか読んでないんだろうな。
「実際去年前半のGumbler登場時には反応できなかったセキュリティソフトがあった」のは事実だけど、それはそっち方面の技術への対応が遅れたソフトハウスが一部あったというだけで、原則として解析→解決のハードルは一般的にJavascriptは低い。仮想UUで自動解析して対応できるモジュールがあるかをオンライン上で判断できてしまうのだし。

今回は本物のtroyだったので、3日深夜にはすでに警告、4日には主要なソフトは対応可能と判断して警戒レベルが下がったものの、サービス主体であるサイバーエージェントがしばらく対応しなかったのが問題となったと聞いているが。

今回のプレスリリースで、外注先が不正アクセスされたのでtroy仕込まれました、という内容が出たのは問題じゃないかな。
事実であれば、そっちが警察沙汰になるべきものだと思うんだが。

Posted by: | 2010.01.08 at 14:46

この話、雨風呂に書いたらすぐ削除されるんだろうか？

Posted by: 無記名さん | 2010.01.08 at 19:06

この話、雨風呂に書いたらすぐ削除されるんだろうか？

Posted by: 無記名さん | 2010.01.08 at 19:06

一番悪いのは「1.ジャックしたサイトに難読化したURIジャンプのJavascriptを仕込」んだやつ。サーバーエージェントは被害者なのに犯人扱いはいかがなものか。対策はクラッカーの侵入経路を調べて対策を施すべし。。。

Posted by: H | 2010.01.09 at 00:15

＞一番悪いのは「1.ジャックしたサイトに難読化したURIジャンプのJavascriptを仕込」んだやつ。サーバーエージェントは被害者なのに犯人扱いはいかがなものか。

お前がバカなのはよく分かった

Posted by: 　 | 2010.01.09 at 01:14

＞一番悪いのは「1.ジャックしたサイトに難読化したURIジャンプのJavascriptを仕込」んだやつ。サーバーエージェントは被害者なのに犯人扱いはいかがなものか。

お前がバカなのはよく分かった

Posted by: 　 | 2010.01.09 at 01:14

さすが「21世紀を代表する会社になりたい」だけある。サイバーはこの調子でがんばってほしい。

Posted by: O | 2010.01.09 at 04:42