アカウント名:
パスワード:
で見ただけで感染するぞ!って触れ込みじゃなかったっけ?しょぼくなってないか
これはゼロデイ攻撃だ!最新パッチでも対応できない!って断定してた人もいましたな。
そもそも、Twitterで感染した人は、Flashのセキュリティ更新も当てており、Javaもインストールしていない。そこそこのITリテラシーのある人で、感染ルートがはっきりわからずゼロディでなかったとは断言できない。TesraCrypt は脆弱性を探してそれをダウンロードしてきて実行する仕組みになっていて、ゼロディのあるアプリケーションがあればそれにも対応できるようになってるのだ。ちなみに、TesraCrypt の感染レポートには Flash/Java だけでなく、Silverlightの脆弱性を利用したものもある。
TesraCrypt自体が利用しているツールキットが最新のゼロディにも対応できる以上『ゼロディで感染するのはデマでセキュリティ更新さえしていれば安全』と断言する方がデマだと思う
そもそも、Twitterで感染した人は、Flashのセキュリティ更新も当てており、Javaもインストールしていない。
これどうやって確認したの?まさか確認した人の自己申告?エビデンスあるの?Flashのセキュリティ更新なんて情シスとかで常時チェックしてる人でもない限り、明確に「最新のを当ててた」と言い張れるとは思わないんだけど。
そもそも、Twitterで感染した人は、Flashのセキュリティ更新も当てており、Javaもインストールしていない。そこそこのITリテラシーのある人で、感染ルートがはっきりわからずゼロディでなかったとは断言できない。
これは「悪魔の証明」だから言い方が不適当。少なくともゼロデイがあったという証拠がなければゼロデイがなかったとするしかない。ましてや本当にゼロデイだったとしたら感染例はもっと多いはずだという傍証はある。「~があったかもしれないから、~が無いというのは嘘」という言い回しを使う時点で、技術論を語る資格などないよ。# その言い回しを認めるなら「STAP細胞が無かった証拠」は存在しない(「STAP細胞があったという証拠」が虚偽だったという証拠しかない)
で、そもそも、だ。時間のスコープをもうちょっと考えろよ。
「ゼロデイ攻撃だったのはデマ」というのは、せいぜいここ1~2週間の話でしかないのはそれに付随してる情報を見れば明確なんだよ。何も未来永劫、TesraCryptがゼロデイ攻撃をしないなんて言ってるわけじゃない。たとえば本日(12/16)時点でゼロデイ攻撃が確認されていないから、ゼロデイ攻撃だったというのはデマ、と言い切ったとしよう。これで12/17にゼロデイ攻撃が行われたとしても、前述の情報が嘘だったわけじゃない。何しろ12/16の時点ではゼロデイ攻撃が行われたという情報は間違ってたんだから。そもそも12月の頭に騒ぎになった頃からして、結局はゼロデイ攻撃だったことは確認されていないのだから、当時「ゼロデイ攻撃だ」と言ってたのは明確に間違いなんだよ。そこで「ゼロデイ攻撃だとは言った、でも今行われてるとは言ってない、将来の可能性も考えて言っただけだ」と言うなら、それは詭弁を通り越して屁理屈でしかない。
もっと根本的な話をしようか。
将来的にTesraCryptがどう変化していくかは我々には判らない。もしかしたらMacやAndroid、iPhoneにも感染するバージョンが出るかもしれない。あるいはPC画面等から何らかの信号を出して人間そのものの身体に危害を加えるよう変化するかもしれない。健康被害から逃れたければ金払えーとか言ってな。もしかしたら「感染機器の無線LAN等のワイヤレスネットワーク機能を乗っ取り、他の無線機器の脆弱性をついて無理矢理に感染することで、インターネットに接続していないデバイスであっても無線機器がついてれば感染する」ようになるかもしれない。まあ現状ではありえないが、将来的に「絶対ない」とはいいきれないわけだ、君の理論だと。だってTesraCryptが使ってるルートキットが「FlashやJava、あるいはSilverlightの脆弱性しか使用しない」なんて保障はどこにもないのだから。
じゃあ「TesraCryptはMacやAndroid、iPhoneに感染する!それどころか無線機能を備えた機器はなんでも感染する!そして人体にも有害で感染したPCの所有者は命の危険すら発生しうる!」と主張するかい?そしてそれをデマだと断言する人に「デマだと断言するほうがデマ」と言い張るかい?
君の言ってることはそういうことだよ。現在起きている事象とそれに伴う対策の話と、将来的に視野に入れるべき対策や可能性を一緒くたにすることは科学的ではないし、災害対策(ウイルスを人災と言うかは人によるかもしれないが)やセキュリティの話題では一番やっちゃいけないことだ。それが理解できないならデマ煽動者の道を歩むだけだよ。それが望みなら勝手にしろとしか言いようが無いが。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲはアレゲを呼ぶ -- ある傍観者
あれ?Flashの脆弱 (スコア:0)
で見ただけで感染するぞ!
って触れ込みじゃなかったっけ?
しょぼくなってないか
Re: (スコア:0)
これはゼロデイ攻撃だ!最新パッチでも対応できない!って断定してた人もいましたな。
Re: (スコア:2)
そもそも、Twitterで感染した人は、Flashのセキュリティ更新も当てており、Javaもインストールしていない。そこそこのITリテラシーのある人で、感染ルートがはっきりわからずゼロディでなかったとは断言できない。
TesraCrypt は脆弱性を探してそれをダウンロードしてきて実行する仕組みになっていて、ゼロディのあるアプリケーションがあればそれにも対応できるようになってるのだ。
ちなみに、TesraCrypt の感染レポートには Flash/Java だけでなく、Silverlightの脆弱性を利用したものもある。
TesraCrypt自体が利用しているツールキットが最新のゼロディにも対応できる以上『ゼロディで感染するのはデマでセキュリティ更新さえしていれば安全』と断言する方がデマだと思う
Re:あれ?Flashの脆弱 (スコア:0)
これどうやって確認したの?まさか確認した人の自己申告?エビデンスあるの?
Flashのセキュリティ更新なんて情シスとかで常時チェックしてる人でもない限り、明確に「最新のを当ててた」と言い張れるとは思わないんだけど。
これは「悪魔の証明」だから言い方が不適当。少なくともゼロデイがあったという証拠がなければゼロデイがなかったとするしかない。ましてや本当にゼロデイだったとしたら感染例はもっと多いはずだという傍証はある。
「~があったかもしれないから、~が無いというのは嘘」という言い回しを使う時点で、技術論を語る資格などないよ。
# その言い回しを認めるなら「STAP細胞が無かった証拠」は存在しない(「STAP細胞があったという証拠」が虚偽だったという証拠しかない)
で、そもそも、だ。時間のスコープをもうちょっと考えろよ。
「ゼロデイ攻撃だったのはデマ」というのは、せいぜいここ1~2週間の話でしかないのはそれに付随してる情報を見れば明確なんだよ。何も未来永劫、TesraCryptがゼロデイ攻撃をしないなんて言ってるわけじゃない。
たとえば本日(12/16)時点でゼロデイ攻撃が確認されていないから、ゼロデイ攻撃だったというのはデマ、と言い切ったとしよう。
これで12/17にゼロデイ攻撃が行われたとしても、前述の情報が嘘だったわけじゃない。何しろ12/16の時点ではゼロデイ攻撃が行われたという情報は間違ってたんだから。
そもそも12月の頭に騒ぎになった頃からして、結局はゼロデイ攻撃だったことは確認されていないのだから、当時「ゼロデイ攻撃だ」と言ってたのは明確に間違いなんだよ。そこで「ゼロデイ攻撃だとは言った、でも今行われてるとは言ってない、将来の可能性も考えて言っただけだ」と言うなら、それは詭弁を通り越して屁理屈でしかない。
もっと根本的な話をしようか。
将来的にTesraCryptがどう変化していくかは我々には判らない。もしかしたらMacやAndroid、iPhoneにも感染するバージョンが出るかもしれない。
あるいはPC画面等から何らかの信号を出して人間そのものの身体に危害を加えるよう変化するかもしれない。健康被害から逃れたければ金払えーとか言ってな。
もしかしたら「感染機器の無線LAN等のワイヤレスネットワーク機能を乗っ取り、他の無線機器の脆弱性をついて無理矢理に感染することで、インターネットに接続していないデバイスであっても無線機器がついてれば感染する」ようになるかもしれない。
まあ現状ではありえないが、将来的に「絶対ない」とはいいきれないわけだ、君の理論だと。だってTesraCryptが使ってるルートキットが「FlashやJava、あるいはSilverlightの脆弱性しか使用しない」なんて保障はどこにもないのだから。
じゃあ「TesraCryptはMacやAndroid、iPhoneに感染する!それどころか無線機能を備えた機器はなんでも感染する!そして人体にも有害で感染したPCの所有者は命の危険すら発生しうる!」と主張するかい?そしてそれをデマだと断言する人に「デマだと断言するほうがデマ」と言い張るかい?
君の言ってることはそういうことだよ。
現在起きている事象とそれに伴う対策の話と、将来的に視野に入れるべき対策や可能性を一緒くたにすることは科学的ではないし、災害対策(ウイルスを人災と言うかは人によるかもしれないが)やセキュリティの話題では一番やっちゃいけないことだ。
それが理解できないならデマ煽動者の道を歩むだけだよ。それが望みなら勝手にしろとしか言いようが無いが。