進化した MAC Defender、ユーザ名とパスワードの入力いらず 97
ストーリー by reo
大変便利になりました 部門より
大変便利になりました 部門より
danceman 曰く、
先日の記事でも取り上げられた Mac OS X を対象とするマルウェア「MAC Defender」だが、マルウェアがインストールされる際には管理者権限をもつユーザ名とパスワードの入力が必要であったため、注意深く見れば感染するような事はなかった。が、進化した MAC Defender はユーザー名とパスワードの入力を必要としなくなった (Naked Security の記事、本家 /. 記事より) 。
新型 MAC Defender "OSX/FakeAvDl-A" は一般ユーザ権限しか求められないシステム領域にインストールされるため認証を求められない。これは Windows で UAC の警告を回避する手法に相当する。
ユーザが Safari を使って問題のあるページにアクセスしたとする。直接そのページにアクセスせずとも、例えば Google 画像検索などでうっかりサムネイルをクリックしてしまったりしても同様である。すると Safari はそのファイルをダウンロードし、自動的に Mac Guard と呼ばれるインストーラを起動する。このインストーラは普通の手順を踏んでいるように見えるが、ユーザ名もパスワードも要求しない。インストール先のドライブを選択すると、偽物のアンチウィルスソフトが入るという具合である。インストールされればこのソフトは Mac 上に大量のマルウェアが見つかった事を警告し、正規品を購入すれば除去できるよと促してくるあたりは以前のバージョンと同じ。うっかり引っかかってしまうとクレジットカード番号を知られてしまうことになる。
ユーザー名とパスワードの入力を必要としなくなった (スコア:1, 興味深い)
権限はともかく (スコア:1)
そのままインストールしたら、なにもかも(ユーザー権限とはいえ)あかんやん。
# 現状、(被害が多かったので)Windowsは羹に懲りて膾を吹けてれば、まあ、イキナリインストールってこともない気がする
M-FalconSky (暑いか寒い)
進化したつーより (スコア:0)
Re: (スコア:0)
今まではセキュリティソフトっぽさの演出のために管理者権限を要求してたけど
そもそもこんなのに引っかかるような相手には不要と気づいたんでしょうか
認証回避かと思いきや (スコア:0)
どっかシステムの穴を突いて認証回避して管理者権限を取得するんかと思ったら違うのかよ。
UNIX では昔からやってたこと Re:認証回避かと思いきや (スコア:2)
システム管理者がタコでフリーソフト入れてくれない(又は更新してくれない)ので、自分のホームディレクトリ配下にせこせこと TeX やら何やらインストールしてましたなぁ。
#私じゃないけどね。私は、自分のシステムでやってましたので。
Re:UNIX では昔からやってたこと Re:認証回避かと思いきや (スコア:1)
morikun
Re:UNIX では昔からやってたこと Re:認証回避かと思いきや (スコア:1)
みゅっ!
nemacs やら TeX やら X11R4 やら NCSA mosaic やら CERN httpd やら…
httpd はコンパイルだけして install はセンターの人にしてもらったはず。
Re: (スコア:0)
某大学ではUnixなら好きなソフトを入れられるよ、と情報センター自ら学生にアピールしてたりしました
#Windowsが必要な時は、Unix上からリモートでWindows Serverにログインするシステムだったと思う
#確かにそっちはかなり権限を削られていた
Re: (スコア:0)
その手法で某大学計算機室のDEC ALPHAでフリーウェアを充実させてたのは私です。mnewsから最新版Netscapeからゲームまで、いろいろ取り揃えてました。
# ん? いつの話だ?
Re:認証回避かと思いきや (スコア:1, すばらしい洞察)
ユーザの権限でも盗めるものは結構あるんですよ。
管理者権限なければ大丈夫なんてのは仕組みが分かってない人間のいうことです。
Re: (スコア:0)
Re:認証回避かと思いきや (スコア:1, すばらしい洞察)
Re: (スコア:0)
Appleユーザの無知と、じゃね?
# 少なくとも「親コメントと」で無い事は読めば分かる。
最強伝説 (スコア:0)
Re: (スコア:0)
マイナーという意味なら最強
Re:最強伝説 (スコア:1)
>マイナーという意味なら最強
Caminoもいるでよ。
Re:外堀がこれでまた一つ埋まった (スコア:2, 興味深い)
OSとして見ると脆弱性ではありません。
単にOSを含んだシステム全体のセキュリティレベルが低いだけです。
Windows(OS)+セキュリティスイート(セキュリティ対策)では、
前者のセキュリティレベルを後者が引き上げることで
システム全体のセキュリティレベルを引き上げています。
なので、
悪意あるソフトウェアの可能性は後者により検知されます。
ですので、
Windowsはセキュリティ対策が必要で大変と公言したAppleのような姿勢では、
「セキュリティ対策したWinに比べるとMacはセキュリティレベルが低い」
という現実を受け入れる必要があり、
これを受け入れれば前述のとおりこれはOSの脆弱性ではないことになります。
もし、Appleが頑なな姿勢になってしまい
「これでもWinよりはセキュリティレベルは高いんだ」などと言い出すと、
こんどはMac OSの脆弱性としないといけませんね。
本来Mac OSにはその機能があるべきなのに今は欠けているという判断になっていきますから。
Re: (スコア:0)
Re: (スコア:0)
>WindowsUpdate
悪意あるソフトウェアの駆除ツールは
インストール必須ではないオプションのものですし、
「WindowsUpdate」という名称にはすでにOfficeUpdateなども統合されており
アレはもはや「OS単体」の域ではないと思いますよ。
たしかSecurityEssentialsのパターンファイル更新すら出てくると記憶しています。
どっちかっていうと「Winを対象としたMS製品全般の」アップデートな印象ですね。
Re:外堀がこれでまた一つ埋まった (スコア:1)
いえ、まったく暴論ではないでしょう。Apache httpd を自分でソースコードを拾ってきて入れたにも関わらず「Linux の脆弱性だ」と言うのは暴論というのは同意できますが。
しかし、公式リポジトリーに含まれる「該当ディストリビューションを構成する一連のソフトウェア群」に含まれる Apache httpd を入れたのであれば「該当ディストリビューションを構成するソフトウェアが持つ脆弱性」であって、それをもって「該当ディストリビューションが持つ脆弱性」であると表現するのは暴論ではないでしょう。
リポジトリーに含めるソフトウェアとして何を含めるかを決めるのは、当然 Apache httpd のプロジェクト側ではなくディストリビューター側です。あくまでもディストリビューター側が「自らの目的を達成するために Apache httpd を構成に含めている」訳であり、含めた以上は「一連の配布物を構成する部分」でしかありません。
Linux ディストリビューションの公式リポジトリーに含まれる Apache httpd、FreeBSD のリポジトリーに含まれる OpenSSH、Windows XP に含まれる Adobe Flash Player すべてに共通する同じ話だと思います。
また、Linux 環境上に自分でソースを拾ってきて入れた Apache httpd、FreeBSD ports に含まれる OpenSSH、Windows 環境上に入れる Visual Studio などであればすべてに当てはまらない話でしょう。
前者は「一つの製品を構成するソフトウェア群の一部」であり、後者は「特定の製品と組み合わせて利用可能な他の製品」です。
「LinuxというOS」というのを、「特定ディストリビューターによるディストリビューションとしてリリースされた一連の配布物」という定義として言えば、前者に分類されるものであれば「LinuxというOSの脆弱性」としては yes、後者に分類されるものであれば no となる、という理解は普通に行われないでしょうか。
そうではないというのであれば、FreeBSD や Windows のように「OS としての範囲が明確なもの」とは異なり、OS としての区別される範囲が不明瞭であり、かつ数千、数万もの Linux ディストリビューションに共通して言い切れる「OS としての範囲」を定義しないと、暴論と切り捨てることはできないでしょう。
もっと細かく言えば、glibc、sh、cat、echo、ifconfig、login、OpenSSL、OpenSSH、vi、emacs、GCC、X、GNOME、KDE、LibreOffice、Apache httpd ……等々の中で「どこまでが OS の範疇で、どこまでが OS の範疇ではない」と言い切れるのか、という辺りでしょうか。
これらは大抵のディストリビューターのリポジトリーに含まれていますが、通常はすべて (カーネルまで含めて) 開発主体はディストリビューター外部のプロジェクトですね。
Re:外堀がこれでまた一つ埋まった (スコア:1)
とりあえず私はこう記述しています。
なぜこのように記述しているのかを考えた上で、「Linux という OS」と言うものが何を指しているのか定義していただけませんか。
一般的に、Linux においては "OS" という範囲は明確に定義されていません。
「OS の範囲を言いたいのに、なんでわざわざ Linux なんていう不明瞭なものを出すんだ」という不適切さを示すために「暴論ではないでしょう」と言ってるのですよ。
Linux で一般的にここまでが OS という範囲、という共通的な認識など存在しませんし、「Linux という OS」という言葉であっさり説明できるものだとしている事、それ自体がこのストーリーの中で一番乱暴な話です。
Re: (スコア:0, おもしろおかしい)
一体何と戦ってるんだ...?
普通にMacでもセキュリティーソフト入れればいいだけじゃん。
普通みんな入れてるだろ?
少なくとも、使用頻度の高いMacにセキュリティーソフト入れない奴はWindowsでも入れないよ。
Winでセキュリティーソフト入れない奴なんてそこらじゅうにたくさんいるけど、そいつらと同じ。
で、セキュリティーソフトを入れるかどうかの条件が同じなら、やっぱりMacの方が安全だろうね。
当たり前のことだけど。
Re: (スコア:0)
で、年間セキュリティーホール数でMSを凌駕している
Apple製品がMS製品よりもセキュアである根拠はどちらから出てくるんでしょうか?
Re:外堀がこれでまた一つ埋まった (スコア:1)
>攻撃頻度の低さって利点が失われつつある今
逆、たかだかマルウェアが一個でた程度でニュースバリューとなる。
某OSでは一個一個でそんなニュースバリューないからニュースにならない。
> きっとお花畑
マルウェアのお花畑にいらっしゃると、もはや当たり前なので、それはそれで幸せかもしれませんね。
Re:外堀がこれでまた一つ埋まった (スコア:1)
フロッピー入れただけで感染するとか、ディスクイメージを見つけただけで感染する、なんていう世界もありますので、大抵の環境は五十歩百歩ですよ。
結局「何かしらのトリガーでユーザーが意図せず何らかの処理を実行させること」さえできればいいだけであり、そのトリガーは利用者自身が何かの行動をとる必要がない (特定サービスが起動していてネットワークにさえ繋がっていればいい) 攻撃なんてのも大量にあるわけですから。
世の中で起きている攻撃は別に Windows ユーザーだけを狙っている訳ではないですし、大抵の一般ユーザーが利用している Windows PC なんて、単純な攻撃を受けている頻度としては DMZ にいるサーバー群の比ではありません。
Windows 「が」 Mac 「が」ではなく、すべて等価値に「どのように守るか」が必要なのであって、その時に「Mac OS X に環境はアンチウィルスソフトを入れなくても安全」なんて寝ぼけた人がいるのは困る、というレベルの話でしかありませんよ。
Re:外堀がこれでまた一つ埋まった (スコア:1)
>と言ってきた信者の人たちの外堀がまた一つ埋められました。
外堀だから内堀だか知らないけど、ほんの少数はあるよね..ということは判っていた。
逆に、たかだかマルウェア一個の出現でこれだけニュースになるんだという面で、
「なんだ、どこぞのより、やっぱ少ないってことな」ということになりそう。
>ユーザ権限で勝手にインストールされてしまう。
インストーラでインストールを続けないとインストールされないのだけど....
インストール先を選択とかいった時点でやめたらオケ。
インストールを続けないと、そこで終わっちゃうんだな。
なので、勝手にインストールされるってのは、ちょっと違うよね。
Re:外堀がこれでまた一つ埋まった (スコア:1)
えーと、単純にそこで「大丈夫」と思っちゃっているのが問題としか言えませんが。
その段階で「アプリケーションが起動し」ているんですよ。
今回はたまたま「偽物のアンチウィルスソフトを導入させ、それにより『発見されたものを駆除するならお金払ってね』と直接クレジットカード番号などを盗む」ものであるためにそう見せているだけであって、肝は「Google 画像検索のサムネイルなどをクリックしちゃっただけでもサーバーからアプリケーションがダウンロードされ自動実行される」点にあります。問題はここ。
単に、今回の目的がカード番号を盗む事にあり、その点で単純にディスク内検索するよりも圧倒的に可能性が高くなる「ユーザーに直接入力させるソーシャルハッキング的手法」を利用しただけでしかなく、ゆっくりとディスク内をクロールしてユーザーが持っている情報を盗むだけだったらとっくにやられている可能性がある、という事です。
Re:外堀がこれでまた一つ埋まった (スコア:1)
>その段階で「アプリケーションが起動し」ているんですよ。
インストーラですよね。
チェックポウントは働いていますな。
>肝は「Google 画像検索のサムネイルなどをクリックしちゃっただけでもサーバーからアプリケーションがダウンロードされ自動実行される」点にあります。問題はここ。
つまり、チェックポイントがあってもだめってことを言ってますね。
でしたら、パスワードいれるチェックポイントもだめで、あらゆるダウンロードした
ソフトがだめってことかな?Firefoxなんかの更新もそうですけどね。
>ゆっくりとディスク内をクロールしてユーザーが持っている情報を盗むだけだったらとっくにやられている可能性がある、という事です。
チェックポイントで拒絶してもダメあったんですか?
Re:外堀がこれでまた一つ埋まった (スコア:1)
あぁ、インストーラーを偽装したアプリケーションが起動しているのかと思ったら、そういう訳ではないようですね。まぁそこに穴があった場合はどうなるのっていうのと、画像をクリックしただけでインストーラーが起動している段階でダメだろうというのはともかく……。
あと気になる点が 2 点ほど。
パスワード不要とのことですが、これはペアレンタルコントロール他の管理機構によるインストール制限を回避するようなパターンとはなりえませんか?
もう一つは、インストール先を選択とかいった時点で止めたら ok ということですが、「安全だと宣伝されてるから安全だろうと思いこんじゃう」素敵なユーザー群が「気付いて止めるに決まってる」と言い切れないのであれば、それは十分に危険と言えるのではないですか?
Re:外堀がこれでまた一つ埋まった (スコア:1)
>まぁそこに穴があった場合はどうなるのっていうのと、画像をクリックしただけでインストーラーが起動している段階でダメだろうというのはともかく……。
Windowsではよくあること。
いまさら、それがダメだとか言ってもね。
>パスワード不要とのことですが、これはペアレンタルコントロール他の管理機構によるインストール制限を回避するようなパターンとはなりえませんか?
なるかもしれないね。
ペアレントにコントロールされる側がそれなりのスキルがあったらね。
でも、ペアレンタルコントロールは、違う方面のコントロールもしているので、
そちらについてもわかりませんなぁ...ということになりますね。
>「安全だと宣伝されてるから安全だろうと思いこんじゃう」素敵なユーザー群が「気付いて止めるに決まってる」と言い切れないのであれば、それは十分に危険と言えるのではないですか?
まぁ、Windowsでも結構あること。
素敵なユーザがいるから、あんなにたくさんのセキュリティ系のおもちゃソフトが売られていたりするわけですからね。
危険がないとは、誰も言っていないですよね。
むしろ、「あの程度でニュースバリューを持つってことは、やはりMacってあまり狙われていないんだろうね」という推測が成り立つ訳です。
しかし、比較の対象がアレなんで、そんなに威張ることでもないと思いますよ。
Re:外堀がこれでまた一つ埋まった (スコア:1)
Microsoft は「それがダメ」だと思ったからこそ、IE ではポリシーによるセキュリティーのモデルが選択できるようになり、XP SP2 では信頼していないネットワークからダウンロードしたファイルにはフラグがセットされ、実行時に「信頼できているのか?」と確認し、IE7 では情報バーが出るようになり、Vista では UAC が搭載されました。
また、定義済みのハッシュ値を持つアプリケーションの実行禁止や任意パス以下でのアプリケーションの実行禁止 (セキュリティーポリシー)、正しく署名されたアプリケーション以外は昇格を許可しない (UAC のポリシー) といった機構も持っています。
Windows ではよくあること、と片付けるには、これらをすべて通り抜けて「ブラウザーから画像をクリックしただけでインストーラーが実行される」状況を作り出す必要があるのですが……。
XP SP3 を管理者権限で利用している状況ですら、IE7 にするとアドオンのインストーラー自動実行を情報バーが防ぐようになりますし、セキュリティーポリシーなどが設定されていればそれらも抜ける必要があります。
つまり、現状サポートされている Windows すべてにおいて「よくあること」と片付けるには、最低限 XP SP3 環境で IE6 を利用しており、かつそれを外部サイトにまで利用していること、加えて IE のゾーン設定を標準から変更しておらず、アクセス先が制限済みサイトに含まれていない事、という前提条件を満たす必要があります。よくあるとするには、ちょっと限定的すぎるかな、と思います。
Mac はそうした機構がどう準備されていて利用できるのかといった点が周知され、どのように設定していったらいいかという点が広く通知されているでしょうか。
「Mac は安全」と言ってしまったがために、そういった点はおろそかになっていないでしょうか。
なお、「Microsoft が Trusted Computing の方向性に舵を切った」事から起きている XP SP2 によるファイアーウォールの搭載、アンチマルウェアソフトの搭載 (Windows Defender)、マルウェア除去サービス (悪意あるソフトウェアの削除ツール)、アンチウィルスソフトの提供 (Microsoft Security Essentials) 他の流れは何年も前からある一連の流れです。今更と言うには、ちょっと時間の経過が長すぎると思いますし、「Mac は安全」という宣伝の前から存在している流れです。
それを「おもちゃ」だと言ってしまっている点に、意識の危うさが出ていると思いますよ。
Windows、Mac OS X、Linux などを使ったクラッキングコンテストでは、現状「標準インストール段階で外部から攻撃して成功するパターンはまず存在しません」。これはいずれのプラットフォームでも同様です。
しかし、「ここにアクセスしてください」が許可された途端、一瞬で攻略が完了するのが Mac OS X であり、これはここ数年まったく変わっていない、という事実があります。
そうした状況でも攻撃を防げる可能性を「持つことができる」のが、あなたが言っているおもちゃです。
もちろん誤認識などもありますし完全だと言うつもりもありませんが、ないよりはマシですね。
Apple 自身が「Mac は安全」と言っているのは、否定ではありませんか。
非 Windows 環境をとっても、Linux や FreeBSD などにもアンチウィルスソフトは存在しますし、Windows は NT4 時代から ACLs などのアクセス制御機構を、Solaris は Trusted Solaris、FreeBSD や Linux は SEBSD や SELinux といった強制アクセス制御などの機構を持つことで、マルウェア対策だけではないセキュリティー機構の堅牢化といった取り組みが行われています。
Mac OS X の場合、FreeBSD をベースとしたユーザーランドは取り込んでいますが、SEBSD による最新の成果などは取り込まれていません。(ベースとした FreeBSD のバージョンが古く、現在開発中の 9.x や現行最新リリースの 8.x とはまったく異なります)
最新系が取り込まれているなら本来消えているはずのファイアーウォールルール定義のバグなども消えているはずですが、どうも消えていないようですし。
「攻撃が当たっても不発弾なら大丈夫」はイコール安全ではないのですが、元々 Apple 自身が言っている「Mac は安全」自体がこの程度の言葉でしかないわけで、「Windows でも結構あること」と言うのであれば、「Apple はああ言っているがこちらとしては別途対策はしておいた方がいいのではないか」「Apple のあの言葉はおかしくないか」という発想の流れにならないのはとても不思議です。
Apple の作ったものに脆弱性がないというのであればともかくそんなことはないですし、脆弱性に関しては OpenBSD や qmail の方がまだマシですし、こちらの方であっても脆弱性が 0 だったという訳ではないですね。
Re: (スコア:0)
Re: (スコア:0)
つまり、
Windowsユーザー >> マカー
Re: (スコア:0)
オフトピですけど、
風営法などの範疇になると治安維持まで視野に入り
場を提供する側にもそれなりの責任が求められますね。
Re: (スコア:0)
詐欺師がいたら、詐欺師がいる場所が脆弱だっていう理論。
Re: (スコア:0)
正直、風営法を否定する反社会的な意識を宣言したいのであれば
今の立場を捨てる覚悟で実IDでの書き込みはいかがでしょうか?
Re: (スコア:0)
Re:外堀がこれでまた一つ埋まった (スコア:1, 興味深い)
Re: (スコア:0)
>Anonymous CowordがAnonymous Cowardに向かってえらそーにIDを要求しますか。
社会的行為と反社会的行為、
どちらがデフォと認識した人格形成をしているかによります。
前者がデフォなら前者はACでも問題なく、
後者を叫ぶ人が実名を出すべきでしょう。
後者がデフォならまぁ大変な人生でしょうががんばってください。
Re: (スコア:0)
>場を提供した /.J の脆弱性です
/.Jがもし風営法の対象であったならば、そういう話にもなりえますね。
Re: (スコア:0)
立派な憲兵になってください。
Re: (スコア:0)
>国家権力を好むナチス的な思考回路ですね。
>立派な憲兵になってください。
さすが、Apple憲兵の御方の発言は説得力がありますね。
多くの人間が、あなたのようにはならないことを心底祈ります。
Re: (スコア:0)
Re: (スコア:0)
まあ、だからAndroid Marketとかは危険だと言われる訳だけどな。
Re: (スコア:0)
「騙される方が悪い」とか「ヨハネスブルグの街角よりは安全」とか
言ってるような店は、問題ですよね。
Re:外堀がこれでまた一つ埋まった (スコア:1)
>嘘つきマカーは全員毒ガス室で処刑すべき
マカーは嘘をつかないので、ガス室送りは皆無かも...www
アメリカではガス室送りが処刑方法だったりするけど、
ガス室に送られたWindowsユーザ数とマカーの数は、どっちが多いのかな?
調べてみたけど、見つからなかった。
Re: (スコア:0)
Re: (スコア:0)
そう思ってた時期が俺にもありました
Re:Apple版のMSEとか出したらいいんじゃない? (スコア:1)
MSE は Windows 正規ユーザー特典として提供されているものなので、Mac 環境にも無償提供されるかどうかは別の話ではないでしょうか。
Bootcamp 上の環境なら問題ないかもしれませんが。
なお、ソースである Naked Security はセキュリティーソリューションを提供する Sophos の blog であり、最後に無償版の Sophos Anti-Virus for Mac Home Edition をきっちり宣伝してますよ。