パスワードを忘れた? アカウント作成
12675967 story
セキュリティ

カスペルスキーのセキュリティソフトを導入するとWeb閲覧中勝手にカスペルスキーと通信するJSコードが実行される 57

ストーリー by hylom
止められないのはちょっと 部門より

カスペルスキーのセキュリティソフト「カスペルスキー2016」(Windows版)を導入すると、閲覧するWebサイトのHTMLコードが勝手に変更され、カスペルスキーのサーバーと通信するようなJavaScriptが読み込まれるという(バイナリ覚書)。

カスペルスキー2016をインストールすると同時にInternet ExplorerおよびFirefox、Chrome向けのアドオンがインストールされるが、これらを無効化してもJavaScriptコードの読み込みは止められないとのこと。null-x.ccによると、この問題はカスペルスキー2015のときから存在していたようだ。また、プラグインを完全に削除することができないという話もあるという。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2016年02月03日 8時23分 (#2958727)

    どこにも「カスペルスキーのサーバーと通信」なんて書いてないでしょ

    • by Anonymous Coward

      元記事には太字で下記のようにありますよ。

      > microsoftのWEBサイトなのに「https://gc.kis.scr.kaspersky-labs.com/1B74BD89-2A22-4B93-B451-1C9E1052A0EC/main.js」というjavascript コードが挿入されているのがわかります。

    • by Anonymous Coward

      kaspersky-labs.comからjsを読み込んでるんだから、ブラウザ情報やら閲覧履歴まで全部持って行かれてるよ。

    • by Anonymous Coward

      IEは ie.kis.scr.kaspersky-labs.com
      FireFoxは ff.kis.scr.kaspersky-labs.com
      Chromeはgc.kis.scr.kaspersky-labs.com

      からスクリプトを読み込んで(つまり「通信」して)実行する。
      この"kaspersky-labs.com"ってのは「カスペルスキーのサーバー」でいいんじゃないですかね。

  • by Anonymous Coward on 2016年02月03日 9時23分 (#2958763)

    これって脆弱性じゃないの?

    • by Anonymous Coward

      httpsがどういうものかちゃんと理解できてないとこういう疑問が出てきちゃうんだろうなぁ

      • by Anonymous Coward

        HTTPSって通信内容の盗聴や改竄を防ぐものじゃないの?
        PC内に入り込んで高位の権限を得ているプログラムによるものとは言え、ブラウザの外からHTMLを書き換えられちゃまずいんじゃないの?

        • by Anonymous Coward on 2016年02月03日 18時07分 (#2959138)

          なんか国会答弁みたいになって来ましたな…笑

          >> ブラウザの外からHTMLを書き換えられちゃまずいんじゃないの?
          ヒント:ブラウザは一般権限で動いている。
          ブラウザの外=通信中ではなく、ブラウザの内側(kasperskyプラグイン)から書き換えている。

          >> ルート証明書のインストールって、一般のソフトがユーザーの知らない間にやれてしまっていいものなのか?
          確かにルート証明書のインストールや任意のスクリプト挿入は手段としては、ブラウザで好きな事がやり放題になる技術。
          結局セキュリティーソフトを信用するかどうかになってくる訳。

          親コメント
        • by Anonymous Coward

          HTTPS(Hypertext Transfer Protocol Secure)は、HTTPによる通信を安全に(セキュアに)行うためのプロトコルおよびURIスキームである。

          https://ja.wikipedia.org/wiki/HTTPS [wikipedia.org]

          「情報の保護における誤解」という項があなたの疑問を解決するかもしれません。

          • by Anonymous Coward

            HTTPSがどういうものかとかの話ではなく、
            HTTPSを使って保護したかったはずの通信内容がブラウザで表示される前に勝手にすり替えられるような事態は、
            ブラウザの方でどうにかして可能な限り阻止しなきゃならないんじゃないかってこと。

        • by Anonymous Coward

          ローカルプロクシ使ってるんでしょ
          あらかじめ証明書ストアに信用させるためのルート証明書をインストールすれば
          ローカルプロクシが偽のサーバー証明書を送っても警告はでなくなる

          • by Anonymous Coward

            ルート証明書のインストールって、一般のソフトがユーザーの知らない間にやれてしまっていいものなのか?

            • by Anonymous Coward

              知らないわけないでしょ。
              カスペルスキーのセットアップ時に全権委任してるわけだから。

        • by Anonymous Coward

          レノボPCで「SSLが崩壊した!」って騒いでいた人に似てる

        • by Anonymous Coward

          PCに入り込んで高位の権限を得た時点で、それどころじゃなく何でもできるで。

          他のコメントにあるように、ルートサーバ証明書をインストールした上で、HTTPS通信に割り込んで、
          通信内容を書き換えて、即興で作った証明書と差し替え、エラーが出なくなるようにも出来るし。

          本当はエラーががんがん出てるのを、ブラウザのバイナリを書き換えて握りつぶすように改造することだって、原理的には出来る。
          そもそもブラウザのバイナリ改造より簡単に、OS自体をそっくりなニセモノに入れ替えることすら出来るし、
          そうなると、何一つ前提は成り立たなくなる。

          rootなりAdministratorなりの権限を渡すというのがどういう意味かもうちょっとちゃんと理解しといた方が良い。

          • by Anonymous Coward

            なんでもできる奴に侵入されたら何をやっても無駄だとしても、限られた細工しか出来ないケースだけでも退けられるようにしとくべきだろ

            • by Anonymous Coward

              ああ、べきだ論?
              「HTTPS通信」というように「セキュアな何か」をうたう以上は、
              何がどうあれその部分のセキュリティは絶対に侵されないようなOS設計にしとけよ、というような。

              その前提と、通信内容を監視してウィルスの有無をチェックするようなソフトは相容れないから、両立は無理だね。

              ウィルス対策ツールとかのAdministrator権限を必要とするようなソフトウェアを一切入れない、という運用にすれば、
              OSが元々持っていたセキュリティを守る仕組みを一切崩さないまま使う、というのは可能なので、そうやるしか。

          • by Anonymous Coward

            >> 他のコメントにあるように、ルートサーバ証明書をインストールした上で、HTTPS通信に割り込んで、通信内容を書き換えて、即興で作った証明書と差し替え、エラーが出なくなるようにも出来るし。

            こう言うのって昔から(2011ぐらいのver.から?)カスペルスキーの「暗号化された接続のスキャン」の仕様なんだけど、
            2013位のver.の頃は、ブラウザのうち唯一Firefoxが警告画面を出すような(よう分からん証明書が入ってまっせ)反応を見せた事があった。
            IEやChromeは無反応、またはHTTPSでの誤動作を起こす(よう分からんけど繋がらへんで)ことがあった。

            2016位

        • by Anonymous Coward

          ヒント:ブラウザは一般権限で動いているから。

          つまりブラウザの挙動を変更できないようにしていないOS側の問題というか仕様。
          通信プロトコルの問題ではない。
          そもそもosやアプリに脆弱性が無ければ
          セキュリティソフトなんて必要ないわけで

    • by Anonymous Coward

      なあ、アドブロッカーってどうやって動作してると思う?

      • by Anonymous Coward

        最近のアドブロッカーは、ブラウザが読み込んだHTMLを解釈するところに割り込んでなんかする感じだろ
        カスの件はview-sourceの時点で改竄されてるし、ブラウザアドオンを削除しても止められないんだから全く別物

        • by Anonymous Coward

          【結果から言うと】
          ・カスペの「暗号化された接続のスキャン」を「しない」に設定すれば、件のスクリプト挿入も止まる。
           →つまり、proxmitron的な手法によってhttp(s)のTCPストリームに割り込んでhttp(s)通信にカスペ謹製スクリプトを挿入していると思われる。
           →httpsに割り込むにはルート証明書でhttps通信自体に割り込む事が必要。
           →よってブラウザのプラグインの方は何らかの協調動作と動作レポート、動作有効無効スイッチ等の役割を果たしているのだろう。

          【よって結論から言うと】
          ・嫌ならカスペ使うな
          ・「バイナリ覚書」氏のよ

    • by Anonymous Coward

      /.とは思えん質問だ
      Google ChromeでF12キー押してみそ

    • by Anonymous Coward

      マルウェアがよくやってるMITB攻撃まがいの書き換えをやって、jsをインジェクションしてるって事でしょ
      HTTPSは経路を保護するだけのもので、受信後の書き換えに対してはノータッチだよ

  • by Anonymous Coward on 2016年02月03日 9時26分 (#2958768)

    0.5秒ごとに通信なんてされたら初期atomなんかの貧弱なマシンだとそのスクリプトの実行だけでCPU使い切るわ。
    幾らローカルPC内に向けて通信だとはいえ負荷は色々なところにかけるわけでな。

    完全にウィルスだわ、こりゃ。

    • by Anonymous Coward

      単位間違えてませんか。

      500ミリ秒ですよ?。1/2秒。

      1秒に2回、内部プロセス通信するだけでCPU使い切っちゃうほど初期atomって貧弱なんですか?

      • by Anonymous Coward

        >1秒に2回、内部プロセス通信するだけでCPU使い切っちゃうほど初期atomって貧弱なんですか?

        十分その程度に貧弱です。初期atomはシングルコアの上、当然ハイパースレッドなんかもないですから。
        命令セット自体はC2D互換ですが、シングルコア、低クロックのためpentium3にもベンチで負けるレベルです。
        #あくまでも初期型。

        • by Anonymous Coward

          Pentium3 600Mhz相当とどこかで見たな。
          動画再生テスト経験上はCeleron1.1Ghzの遥か下だった。

      • by Anonymous Coward

        今のatomではなく初期atomに限ればそうだと思います。
        ですが、初期atomのネットブックとかOSがXPなので
        使ってる人はもういないんじゃないのかな。

        • by Anonymous Coward

          win7 時代のwintabにも初期atomは搭載されてるので、今も使ってる人はそれなりにいると思う。

      • by Anonymous Coward

        いまどきのページはiframeで色々読み込んでるから、全部改変されてたらかなりの数になるんじゃ
        HTTPSだと取るに足らない通信でも暗号化の負荷がかかるし

    • by Anonymous Coward

      HTMLが勝手に改変されるのも困るな
      今回のがブラウザ以外にも及ぶのかは知らないけど、Wgetのミラーリングでサイトをバックアップするときとか

    • by Anonymous Coward

      なんか、ウィンドウとかタブを閉じた後にも、IEのプロセスがローカルリソースを掴んだまま生き残ってしまい、
      それが増えて行くとリソース不足でPCがまともに動かなくなっていく問題が以前から発生していて、
      似たような症状を訴えるケースが見当たらず、根本的な解決策も見いだせずに困ってる。
      (対症療法として、定期的にタスクマネージャからIEの掃除をしてる)

      なにか、自分の環境に特有のレアな問題なんだろうと思ってたんだけど、もしかしてこれかなぁ。

      • by Anonymous Coward

        【提案】
        IEでなくFirefoxやChromeでも試してみる

        【疑念懸念】
        ・タスクマネージャー覗いてると、少ーーしずつブラウザプロセスのワーキングセットが増えて行く
        ・そもそも、Twitterのブラウザウィンドウ数枚以上開きっぱなしが主因(←そもそもTwitterはサイト的に重い)
        ・この謹製スクリプトの0.5秒通信も、悪化に少々貢献してるかも

        【余談】
        そんでカスペのネットワークモニタ覗いたら律儀に127.245.107.154の通信を大量に羅列しててワロタ
        これはこれで別の問題がありそうな。。。(本チャンの通信が埋もれて読み取りにくくなるってな)

        普段からブラウザウィンドウ数10枚も開いたままにしてるユーザー輩は、(開いたままのウィンドウ数に比例して)それなりにPCリソースと電気代食いそうだわな。

    • by Anonymous Coward

      そうなると「情報処理の高度化等に対処するための刑法等の一部を改正する法律」でもさんざ議論されたように「ウイルス」とは何ぞや?論に至る訳で。

      http://www.moj.go.jp/content/000076666.pdf [moj.go.jp] から引用すると

      『あるプログラムが,使用者の「意図に沿うべき動作をさせず,又は
      ..その意図に反する動作をさせる」ものであるか否かが問題となる場合..におけるその「意図」は,個別具体的な使用者の実際の認識を基準として判断するのではなく,当該プログラムの機能の内容や,機能に関する説明内容,想定される利用方法等を総合的に考慮して,その

  • by Anonymous Coward on 2016年02月03日 9時50分 (#2958791)

    個人的には広告表示は受け入れたいと思ってますが、マルバタイジングが怖いのでバナー広告をブロックしてます。
    その設定をするとHTMLが改変されて、JavaScriptを読み込むようにされますね。
    どういう動きをしているのかわかりませんが。

typodupeerror

一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy

読み込み中...