マルウェアに感染したPCはネット接続できないよう隔離されるべき? 56
ストーリー by hylom
プロバイダがやるのはちょっとやり過ぎの気もするが 部門より
プロバイダがやるのはちょっとやり過ぎの気もするが 部門より
eggy 曰く、
マルウェアに感染したPCがインターネット接続できないよう隔離してマルウェア感染の拡大を押さえるのは、果たして行き過ぎたセキュリティ行為なのだろうか、という議論が本家/.で挙がっている(PC Pro記事)。
マルウェアのDNS Chargerに感染してしまうとインターネットに接続できなくなってしまうが、一方でセキュリティ上の理由から、マルウェアに感染したPCがインターネットに接続できなくするといったことも実際に行われている。また、感染したPCをネットから隔離する方法は効果的であるとする意見もある。MicrosoftのScott Charney氏は2010年に既に、「PCのインターネット接続前に、インターネット接続プロバイダが予め、PCの診断や隔離、クリーンアップを行うこと」を提案していた。現在は隔離という言葉は避け、「インターネットの健康」のため、ネットワーク接続前にPCの「健康診断」を行うべきと言い換えている。
嫌な傾向 (スコア:2)
こども
とか
障がい
みたい。
Re:嫌な傾向 (スコア:1)
Re: (スコア:0)
"Health"を日本語訳したのでは?
Re: (スコア:0)
向こうの感覚でもずれてるのでは?
何故ネットにつながらないのかを (スコア:1)
顧客に知らせる手段もなしに、いきなり遮断とかすればサポセンが火の車になりそう
# 2chのバーボンハウスに誘導する方式が妥当なんだろうけども、個人のブラウザのホームページなんてばらばらだろうし
Re: (スコア:0)
無料ホットスポットとかホテルのインターネットアクセスとか、初回接続時に強制的に認証ページへリダイレクトされる仕組みがありますけどあんな感じで何とかならないかな?
# よく考えたらあれがどうやって動いているのか知らない
Re:何故ネットにつながらないのかを (スコア:3, 参考になる)
Captive Portalと呼ばれるタイプのアクセス制御ですね。
ゲートウェイが、クライアントが認証済みかどうかをIPアドレスやMACアドレスなどで判定して、認証済みなら通します。
そうじゃない場合には、DNS応答を乗っ取ったり外部へのHTTPリクエストを乗っ取ったりして、特定のページに誘導します。
仕組み的には、ISPでも十分やれると思います。
Re: (スコア:0)
DTIが旧TEPCOひかりユーザーにサービス終了を告知するために乗っ取りをやったことがあったな。
http://it.srad.jp/story/09/12/14/0526246/ [srad.jp]
Re: (スコア:0)
httpだけで良いの?
Re: (スコア:0)
> # よく考えたらあれがどうやって動いているのか知らない
RADIUSじゃね?
Re: (スコア:0)
RADIUSにキャプティブポータルの仕様まで規定されてるの?
誤検知 (スコア:1)
本来ならば通信パケットから見て確実に問題があるのならば、ブロックは問題
ないと思う(少なくとも約款、利用規約でそのように定めていれば)。
残念ながらこの手の問題には誤検知や巻き込まれ遮断がつきもので、現状の技術
では排除することは困難なので実施できないと思う。誤検知以外にも遮断の範囲
の問題で、例えばスマートフォンがウィルスに感染したとして、同じWiFiに繋っ
ているPCまで遮断してしまうのはやり過ぎだよね。会社の社員が一人でも感染し
たら、その会社全部をブロックとかも著しく利便性を損うよね。
また、感染を駆除した後の再開通の事務手続きをどうするかとか、検知ブロック
の仕組を作るための負担をISPが担うべきかとか、コスト問題も大きい気がする。
過去に見たような流れ (スコア:0)
Code Redかなにかが蔓延したときに話題になりましたよね。
感染を広げないために遮断は有効であるとか、遮断してしまうと自分のPCに何が起きたのか知る術がなくなってしまうであるとか。
あの頃に行われた議論のログを掘り返してみると参考になるかもね。
Re: (スコア:0)
今は携帯電話で情報を得られるのが当時と違う点じゃね。
Re: (スコア:0)
しかし、次には、
「マルウェアに感染した携帯電話/スマホはインターネットから隔離されるべき」
となると思うのですが。
やった、ガラケー復権の予感。
Re: (スコア:0)
しかし、次には、
「マルウェアに感染した携帯電話/スマホはインターネットから隔離されるべき」
となると思うのですが。/p>
その時は、PCを使って情報収集すればいいじゃないか。
Re: (スコア:0)
そりゃNimdaだろう。
インターネットの健康 (スコア:0)
「インターネットの健康」って、「世界の健康」や「宇宙の健康」みたいに漠然としてる話に感じますが、
そんな場から1個体・個人を隔離や切断をするということは、
この世という世界から特定の個を完全に隔絶、消滅させるような極論に思えてきますね。
つう訳で、「ある一部の(理論上の)"エリア"に隔離する」みたいなアイデアはないんでしょうかねえ。
Re: (スコア:0)
当然山ほどある。
Re: (スコア:0)
概念的にはがん細胞を切除するのと大差ないのでは?
Re: (スコア:0)
つう訳で、「ある一部の(理論上の)"エリア"に隔離する」みたいなアイデアはないんでしょうかねえ。
検疫ネットワークですね。
余計なお世話 (スコア:0)
と思う人は少ないのかなぁ。
その日のパンのみを求めるなら自由など害毒でしか無い(ちょっと違ったっけ?)なんて言葉を思い出した。
Re: (スコア:0)
主人は奴隷に魚の捕り方を教えたりはしないと
Re: (スコア:0)
社畜「インフルエンザに罹りましたけど、仕事があるので出社します!」
部長「君の身体の健康のため、健康診断を受けて、医師の許可を
得てから出社したらどうでしょう。」
社畜「余計なお世話です!私は構わないので、出社します!」
部長(空気読んで、大人しく隔離されろよ……。迷惑するのは、
お前じゃなくて感染させられるこっちなんだよ……。)
# まぁ、インフルエンザほど感染しやすくはないだろうけど、
# SPAMとか出されたらウザいよね。
Re: (スコア:0)
逆じゃね?ネットなんて、感染したくなかったら自分が繋がなければいい。
誰も頼んで繋いでもらってるわけじゃない。
繋いで自分が病気に感染するのが嫌なら、自分で自分を守るべきでしょ。
Re: (スコア:0)
いや、世の中には、
「ウィルス対策ソフト?そんなの入れてないよ。
このパソコン個人情報入れてないから、感染してても大丈夫!」
って人が、無視できない数いましてですね……。
で、そういう人のパソコンがbotnetと化して、SPAM送ったり
DDoS攻撃に利用されたりしてましてですね……。
Re: (スコア:0)
会社で風邪引いている人があまりにも咳きするから
マスクしてっていったらお前がすればいいだろって
マジでいわれたことあります。
そういう考えの人もいますから難しいのでは
(もちろん、マスクしましたが他の人からはマスクしているので風邪ひいた?ってなんどか聞かれましたが)
Re: (スコア:0)
何を言っているかよく分らなかったが、2~3回読み直して
咳き→咳
マスクしてっていったら→マスクしてと言ったら、
と判明。
「マジ」とかの言葉遣いから社会人になったばっかりの新人だと思うが、伝えるのヘタだね。
# 『五月雨式に作業』とか書いてる連中は辞書引いてから書き直して来い
最悪な会社ですね (スコア:0)
> 部長(空気読んで、大人しく隔離されろよ……。迷惑するのは、
> お前じゃなくて感染させられるこっちなんだよ……。)
私の属する会社や、取引先の多くは、
「インフルエンザが疑われる状況では医師の診断を受けて陰性でなければ出社してはならない」
「医師の診断が不明確な場合は、明確になるまで自宅待機とする」
と言う事を業務命令で明確に定めています。
情報機器のセキュリティや業務機密の持ち出しも同じですね。
自己責任に任せ、管理者としての然るべき判断・決定・指示を怠る事で、
組織全体のリスクを増やしたり、パフォーマンスを落としたりしてしまう。
この「部長」も、部下に何も指示を出来ずに
「空気を読んで休んでくれる事を期待する」だけなあたり、
会社ぐるみで同レベルの人達なんでしょうけど、まさに反面教師な寓話ですね。
Re: (スコア:0)
大人のくせに出社許可証を求めて病院が大混雑になる。
それぐらい自分で判断せーよ。
Re: (スコア:0)
「出社許可証」等と言う物が存在すると思ってるのかw
ネット無しでは対応難しいよ (スコア:0)
感染してるってわかるんなら、その原因を取り除いてよ
または、対処の仕方を教えてくれるサイトへ飛ばしてちょうだい
Re: (スコア:0)
原因を取り除くにはそれ用のソフトウェアをローカルにインストールしておく必要がある。
でも、それって、そのへんのセキュリティソフトといっしょ。結局イタチごっこ。
マルウェアによりDNS(名前解決)をコントロールされてると、その"対処の仕方を教えてくれるサイト"も偽物の可能性あり。
IPアドレス直打ちなら大丈夫かもしれないが、マルウェアがブロックするかもね。
故に、不可能といってもいい。市販のセキュリティソフトがすべての脅威を取り除けないのと一緒。
Re:ネット無しでは対応難しいよ (スコア:1)
他にもマルウェアが自身を不可視化していたり, BIOS領域に感染して正常なブートが出来なくなっていたりもするから, 最低でもBIOSクリアして外付けのブート媒体から立ちあげ直して除去という手順を取らないと無理でしょう.
Re: (スコア:0)
マルウェアによりDNSが乗っ取られようが、
ISPなら、それすらもさらに乗っ取ることが可能ですよ。
すべての接続はISPを経由してますからね。
Re: (スコア:0)
VPNはられたら?
↓
遮断すればいいじゃない
↓
振り出しに戻る
Re: (スコア:0)
1)「感染してるのでブロックしますね」と表示
2) 画面の一角に「ISPがお宅のPCをスキャンして、マルウェアを除去、回線復旧を今すぐして欲しい方はここをクリック」
と表示
、という手順でも良い気がする。
3) 「感染したので遮断します」という偽メッセージを表示
4) 続いて「復旧にはクレジットカード番号を入力してここをクリック」
、なんて輩が出てくるのは明らかだが。
クリックしたらマルウェア送り込めるってのも良いかもね。
OSベンダやISPは顧客の通信用途に口出しするべきではない (スコア:0)
ウイルス感染していようがエロ動画見まくっていようが仕事中にスラドで遊んでいようが
当事者以外の組織がその健全性について口出しするのは業務外でしょ
OSにマルウェアによる通信遮断機能を実装するのは自由だが
本来ユーザが判断するべきネットワーク遮断を自動化することで
ユーザからは「可用性の低いOS」と判断される可能性がある
ISPでそのトラフィックが支えられないというなら素直に設備増強するか
従量課金にしてコストを顧客に転嫁すればいい
Re:OSベンダやISPは顧客の通信用途に口出しするべきではない (スコア:1)
いやー
その結果、その組織のリモホが堂々のブラックリスト入りして、メールが届かないとか
SNSに書き込みができないとかおきれば、こちらの顧客満足度とか業務推進に響くんでね。
口出し手出しをせざるを得んのんですわ、これが
Re: (スコア:0)
ISPでブロックするのは業務の一環だと思うのですけど。
Internet Service Providerという名の通り、インターネットに参加しているのは末端のユーザーではなくISPです。
インターネットに対して悪影響を及ぼそうとしているのを未然に防ぐ義務がISPにあると言えますし、
悪影響を及ぼしているユーザーに対してサービスを停止する権利も有しているのではないでしょうか。
トラフィック関連で問題なのは、宣伝などで大量のトラフィックを使用するようにユーザーを誘導しているのに対し、
実際にトラフィックを増やそうとするとトラフィックを制限しようとするダブルスタンダードな点だと思います。
Re: (スコア:0)
下朝鮮では、「情報通信網利用促進及び情報保護等に関する法律」により政府・情報通信倫理委員会がISPに対して有する強大な監督指導権限のもと、ISPが顧客の通信用途に口出しすることが責務となっています。
SPAMおなかいっぱい (スコア:0)
ボットネットからのスパムメールとボットネットのFrom詐称によるバックスキャッターメールにうんざりなのでその辺は停めて欲しい。
Re: (スコア:0)
つOutbound Port 25 Blocking
私が利用しているプロバイダではwinnyやshareの通信を
ブロックしているようですし、ウィルス感染が理由での
通信制限は、日本なら普通に受け入れられるでしょうね。
Re: (スコア:0)
いや普通に通信の秘密違反だろ。
Re: (スコア:0)
総務省は
OP25Bを「通信の秘密を侵害するが違法ではない」と判断している。
winny/share等はユーザが手動解除できればデフォルトでブロックしてOKとの見解を示している。
どちらも2006年。
ここで言う「通信の秘密」は憲法のものではなく電気通信事業法のほう。
同意があれば違法にはならないはずなので、
「ウィルス感染していたら隔離します」
に同意させるという手段もあると思われる。
第三者に被害を加えるウィルス感染であれば
隔離しても緊急避難として違法性を問われないかもしれない。
と、ちょっとググって書いてみた
遮断されても (スコア:0)
仕方ないかなと思う。
むしろその方が望ましい。
いきなりはまずいだろ (スコア:0)
疑わしいIPにウィルスチェックを行うように指導。
活動が沈静化しない場合にはウィルスの記録を提示して切断。ユーザからウィルスチェック結果とうの報告を受けて解除。
くらいの手順は踏まないと。
事前に告知や警告は必須だろう (スコア:0)
(イントラ/インター)ネットを介して他のPCにも感染したり悪事を働いたりする存在なので、
マルウェアに感染したPCを放置する事は、感染したPCの持ち主だけの問題ではなく不特定多数への迷惑行為と同義とみなされるべき。
よってネットの強制切断はそれ自体は是ではあるが、ただし事前にそれを回避する機会は十二分に与えられなければならない。
というか事前告知無しの切断は反対。
まずは緩いスロットリングでいいんじゃね? (スコア:0)
マルウェアの拡散を防ぐとか、BOTでメールをまき散らすとかはこれで十分防げるんだし。
それで「遅い!遅い!遅い!」と文句を言う人はサポセンに電話するから、そこであなたが妙なパケットをまき散らしていると説明すればいい。
Re: (スコア:0)