ウイルス対策ソフトだけではセキュリティ対策にはならない 49
ストーリー by hylom
必要条件 部門より
必要条件 部門より
あるAnonymous Coward 曰く、
早稲田大学が使用していたスケジュール管理Webアプリケーションが、外部から不正侵入を受けて改ざんされていたという(早稲田大学の発表)。攻撃されたサーバーにはウイルス対策ソフトをインストールしていたものの、OSのセキュリティアップデートは適用しておらず、またファイアウォールを適切に使用していなかったために不正侵入を受けてしまったようだ。これについてセキュリティ研究者徳丸浩氏が、「ウェブサイトに侵入された大学のリリースに見る侵入対策への誤解」として、ウイルス対策ソフトだけではセキュリティ対策にならないということを述べている。
近年ではウイルス対策ソフトを導入していても攻撃されてしまうケースが少なくなく、全幅の信頼を置けるものではなくなっている。あくまで対策の1つとして考え、ウイルス対策ソフトが効かないことを想定した対策が必要だろう。
何でもかんでも「セキュリティ対策」でまとめるな (スコア:4, おもしろおかしい)
「何から何を守る(守りたい)のか明確にしないと意味がない」
と、私が申しております、上司様。
Re: (スコア:0)
セキュリティー = 害からの保護( https://ja.wikipedia.org/wiki/%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%... [wikipedia.org] )
対策 = 事件の成行きや相手の態度に応じて取る方策。( https://ja.wiktionary.org/wiki/%E5%AF%BE%E7%AD%96 [wiktionary.org] )
セキュリティー対策 = 害からの保護に応じて取る方策 = OSやウイルス対策ソフ
Re:何でもかんでも「セキュリティ対策」でまとめるな (スコア:1)
そうそう。これ前から思ってたんだけど誰も突っ込まないのな。
既に「ウィルスソフト」並みに浸透してるので、言ったら白い眼で見られそうで怖いけど。
#御社はウィルスソフトでセキュリティ対策してますかっ!?(←ある意味筋が通ってる)
Re: (スコア:0)
節電対策もそうだよな。
セキュリティーの為の対策ってことなんだろうけど。
Re:何でもかんでも「セキュリティ対策」でまとめるな (スコア:1)
こうなるともう完全にオフトピですが
「高燃費!」
をうたう乗り物のチラシも見たことがあります。
Re: (スコア:0)
マジレス:現状や目標とする害からの保護の程度に応じてとる方策=セキュリティ対策
Re: (スコア:0)
あなたから上司の威厳を守りたい。
Re: (スコア:0)
無いものは守れない。
Re: (スコア:0)
無いものは守れないのではない。守る「必要が」ないだけだ。
守るふりはできるし、守ったと言い張ることもできる。
Re:何でもかんでも「セキュリティ対策」でまとめるな (スコア:1)
守るふりで、だいたい安全になってるのがだいたいの企業のような気がする。
そういうところから「そーっと」盗んでいって「こっそり」使われているケースって
絶対あるとおもうんだよね。
漁場を荒らさずに漁を続ける分別のある侵入者なら。
防御方法の守備範囲(注:正確な表現ではない) (スコア:2, すばらしい洞察)
・セキュリティアップデート
主にシステムに存在する、「開発元が把握し対応した」バグや仕様上の欠陥による攻撃を防ぐ。
いわゆるゼロデイ攻撃には対応できない。
・アンチウィルス・IDS
「場合によっては」セキュリティアップデートで保護される範囲をカバーする時もある。
仕様上許される範囲だが悪意ある動作を行う攻撃を「開発元が把握し対応した範囲で」阻止できる。
「仕様上許される範囲」であるため既知の攻撃と完全に合致しない場合は阻止できる確率が激減する。
ヒューリスティックなどにより未知の攻撃を防ぐ場合もあるが誤爆と表裏一体で精度はイマイチ。
IDSは直接攻撃、アンチウィルスはファイル化された攻撃を主に検知する。
・ファイヤウォール
補助的なアクセス制限機能を追加するだけ。通過可能なアクセス中に紛れ込んだ攻撃には対応できない。
いずれの場合も未知の攻撃に弱いのだから万全の対策というのはありえない。
# 特にアンチウィルスやIDSは具体的な内容レベルで既知の攻撃でないと防げない場合が多いので標的型攻撃だと辛い。
そもそもこの場合、サーバの場合「仕様上許される範囲」にマルウェアが入ってこない(サーバ上で実行はされない)んだから、
サーバ自体を保護するのに必要なのはまずセキュリティアップデートで次にファイヤウォールやIDSだろう。
アンチウィルスはサーバ自体を攻撃できないマルウェアをファイルとして媒介しないための対策にすぎん。
サーバにアクセスしてくるクライアントのためのセキュリティでありサーバの為のセキュリティとしてはほとんど機能しない。
Re:防御方法の守備範囲(注:正確な表現ではない) (スコア:1)
最善の防御を行っても(行ってなかったわけだが)侵入は防げないんだから、通信の怪しさ検知による出口対策が必要だろう。
# クイズ王プログラムの本業は「微妙な怪しさの検知」だと聞きました。
Jubilee
Re: (スコア:0)
機器が導入されていても適切な運用されているか疑わしいところは結構見る
導入したらそれで終わり。法定停電の時に手順に従って電源を切るだけの簡単なお仕事
せめてログだけでも見てくれよ。全部見ろとは言わないけどさぁ
じゃあ適切な運用って何なんだよ、という話もあるけどそれが分からないならどこかに運用委託しちゃった方がいいんじゃないかな
Re: (スコア:0)
> 対策に一番金をかける部分は利用者・運用者の教育だと思うよ
昔からそう言ってきて
そうだねーそうだねーって言ってきて
けど、そうなんだけどそれは無理でした。
少なくとも (スコア:1)
・定期的にウィスルパターンをアップデートしているか
・その上で Windows Update をしているか
これらぐらいは自分自身で把握して管理して欲しいです。
いやね、よくいるんですよ、「PC購入時にインストールされていたけど、何も弄っていない」とか
「回線契約した時についてきた」とか言われる方が。
そういうものでもある程度は防いでくれますから、お願いですからちゃんとお世話してあげて下さい。
Re:少なくとも (スコア:1)
なんか違うでしょ。
個人で利用するマシンとサーバーで行うべき事は異なる。
個人利用ならセキュリティソフトを第一に考えてもいいが、サーバーならアップデートやファイアウォール設置をまずやるべきだって話。
Re: (スコア:0)
ある程度っつったって
無料期間過ぎて古いパターンマッチのみ
またはその予備軍ってのが
一般人じゃないのかなぁ
まともにセキュリティ対策できてる時点で
十二分に逸般人ってのが現実
# 覚えがあるでしょ?社会に出て初めて知った社会の幼稚さ
Re: (スコア:0)
MSEでも期限切れたのよりは百倍マシだろ
Re:少なくとも (スコア:1)
Windows8以降は標準でアンチウイルスが付いてるけど、サードパーティ製のアンチウイルスが期限切れたら自動的に標準のアンチウイルスに切り替える機能が欲しいですよね。
Re: (スコア:0)
それって『アンチウイルスソフトをそのソフト側で確認なしにリプレースする機能』じゃん。
その機能がウイルスに乗っ取られると酷い事になるぞ。
その程度は本人の管理責任のうちとしておいた方が良いのじゃ。
Re: (スコア:0)
いや、アンチウイルスソフトが自ら更新停止1ヶ月とかで機能不全状態のようなステータスを通知→OSはそれ検知して代替ソフト有効に切り替え、のような仕組みをつくってくれれば。
Re:少なくとも (スコア:1)
現状は「対策ソフト自身が機能不全ステートを検知」→「ライセンス購入を促すポップアップ出して放置」ですからねぃ…
そもそもがライセンス購入を促すためのプリインストールである以上、OS側にそんな機能が用意されても対策ソフトベンダー側がそれに沿った実装を行うことはまるで期待できないという。
RYZEN始めました
Re: (スコア:0)
インターネットサービスプロバイダーが、
Windows や Mac を接続するには、これこれのアンチウイルスソフトの月額版のインストール必須です。
みたいにしてくれるといいような気がする。Linux を使いたい人には特別な契約を準備するとかね。
で、PC メーカーは余計なセキュリティソフトをバンドルしてプロバイダーの邪魔はしないようにすると。
Re: (スコア:0)
最近は、プロバイダ契約に無償提供版(期限付き)がバンドルされていますよ。
インストールは自由ということになっていますが。
ただ、個人的には、良い方法とは思えません。何か、プロバイダの領分を逸脱している気がするんですよね・・・。
Re: (スコア:0)
>プロバイダの領分
クライアントインストールタイプじゃなくてセキュリティアプライアンスとか?
Re: (スコア:0)
随分前から、NTT西はフレッツとセットで配ってますね
Re: (スコア:0)
あの類のバンドルは、アンチウィルスベンダーがPCベンダーに金払ってインストールベースを稼いでるのですよ、そのまま金払って更新してくれるのを期待して。
同じ理由でマカフィーがマザーボードにバンドルされてるのも、チップのディスカウントが…(ごにょごにょ)
Re: (スコア:0)
つまるところ
#2836475
はセキュリティ対策不足
Re: (スコア:0)
サーバの場合与えられたファイルやプログラムを解釈・実行するようなフローが存在しない場合が多いので、
アンチウィルスが捕捉するようなタイプの攻撃が直接命中するような事態が通常では発生しません。
サーバ内でそれらが活動するのは何らかの攻撃が完了し汚染た後の話なので、作動した時には手遅れです。
サーバにアップロードされクライアントがダウンロードするファイルの安全確認には使えますがそれだけです。
「アンチウィルスは入れていた」というのはサーバ自身の保護に限って言うならほぼ無意味です。
ファイヤーウォールなりサービスの起動設定なりで突破口になりうるアクセス手段を最小化し、
残したアクセス手段を提供するソフトウェアのセキュリティアップデートをこまめに適用しましょう。
は? (スコア:0)
> あくまで対策の1つとして考え、ウイルス対策ソフトが効かないことを想定した対策が必要だろう。
そういうことじゃないでしょ。徳丸さんのブログちゃんと読んだ?
Re:は? (スコア:2)
Re: (スコア:0)
それは みちゅひろ 大先生では
Re: (スコア:0)
貴様 hylom か?
Re:は? (スコア:1)
ガードしてても、防御不可の強上段もあるけど、
そもそも立ちガードじゃ下段は防げないよね、って話ですね。
セキュリティ (スコア:0)
「ウィルス対策ソフト」「OSのアップデート」「ファイアウォール」
これ全部やってセキュリティ(最低限)。
その最低限をやってない人がいると言いたいのはわからんでもない。
でも「ウィルス対策ソフトだけではセキュリティ対策にならない」それは当たり前というか、ここで言うようなレベルの話ではない。
Re: (スコア:0)
サーバーでの話らしいんだけど、
>「ウィルス対策ソフト」「OSのアップデート」「ファイアウォール」
これのうち、「ウィルス対策ソフト」を入れているLinuxサーバってどれくらいの比率あるんだろう?
オンプレとクラウド・VPSでは比率はどうか?
オプソだからウィルス対策ソフト要らない。
リモート管理しにくいからiptables切っておくね。
アップデート? 自動的にクラウドの会社がやってるんじゃないかな。
そういうクラウド上のサーバって多いんじゃないかと、最近のサイバー攻撃元の大部分がクラウド上にある現実から感じてる。
Re:セキュリティ (スコア:1)
うちは100%入れてますね
パッチは2週に1回
パターンファイルアップデートは30分に1回
WAFのパターンは1日1回
上記の作業はパッチ適用の検証のみ手動で後は全自動にしてます。
仕組みとマニュアル作るまでがしんどいけど、できてしまえばバイトでも可能。
あと、SELinuxをDisableにしない。
SELniuxを切る必要のあるソフトウェアは選定段階で落とす。
これが意外と効果的でした。
提供されたWebアプリケーションが腐ってましたが、一歩手前で防いでくれていました。
それと、たいてい入力と転送の通信はデフォで制限かかっていますが
OutBoundのiptablesも有効にしている。
これが有効な事態に陥ったことはないけど念のため。
ログは転送して集めて常時監視。
Re: (スコア:0)
最低限?
社員教育が抜けてるぞ
#どんなにガッチガチに固めても使うヤツにその意識が無ければ焼け石に水だよね
ウェブサイトに侵入された大学のリリースに見る侵入対策への誤解という誤解 (スコア:0)
大学がウィルス対策ソフトを導入するのは「対策してました〜」っていう事実(アリバイ)を作るためだから、
これで正しい使い方なんだよ。
Re:ウェブサイトに侵入された大学のリリースに見る侵入対策への誤解という誤解 (スコア:1)
それ、大学だけでない、と思うけど。
最近、オレオレ証明のサイトがあって驚いた。
... それも大手で。
ウイスル (スコア:0)
Webアプリケーションが侵入されたんだったら、 (スコア:0)
そのWebアプリケーションに問題があったのでは?
Webアプリケーションは自家製じゃ無かったのかね?
OSのアップデートと侵入された原因の関係性が書かれていない気がするので、
何か見当違いな事をやって対策した気分になってるだけ、って気がするが。
Re: (スコア:0)
ファイヤーウォールが云々とも書いてあるから、開けっぱになってたサービスの脆弱性突っつかれた可能性はありそうだけど。
Webアプリケーション固有のバグを探すのと、既知のエクスプロイトをブチ込むのとどっちが楽かってのは微妙なライン。
ファイアウォールやIPSより先に (スコア:0)
サーバのログを誰か見ているか、解析にかけているのでしょうか?
Re: (スコア:0)
サーバのログ?とっくに改ざんされてるんじゃね?
ウイルス対策ソフトの有効性 (スコア:0)
昔と比較してウイルス対策ソフトの有効性が低下していることは正しく認識されていないのだろうか?
常に標的型の攻撃の対象になっているような組織の関係者が「ウイルス対策ソフト使ってるから安全」みたいに思っていたら怖い
そうだよね、ウイルス対策ソフトじゃダメだよね (スコア:0)
ファイヤーウォールがあるからセキュリティは大丈夫
って政府関係者も言ってましたし
Re: (スコア:0)
炎上さえしなければ何ら問題ないのです(キリッ
ただ一つだけ言えることは (スコア:0)
XPパンデミックなど無かった