ウイルス対策ソフトウェア、Windowsの更新プログラムへの対応状況は? 50
ストーリー by headless
対応 部門より
対応 部門より
Spectre/Meltdown脆弱性緩和策を含むWindowsの更新プログラムでは一部のウイルス対策ソフトウェアで互換性の問題が発生しており、Microsoftはベンダーに対して対応済みであることを示すレジストリ値のセットを要求している。これについて、セキュリティ専門家のKevin Beaumont氏が各製品の対応状況をまとめている(DoublePulsarの記事、
対応状況一覧、
The Registerの記事)。
リストアップされている製品では既に大半が互換性の問題を解決しており、未対応なのは11日時点で360 Total SecurityおよびCounterTack Sentinelのみとなっている。一方、対応済みであってもレジストリ値のセットをユーザー任せにしている製品も多い。そのため、ユーザーが自分でレジストリ値をセットしなければ今回の更新プログラムだけでなく、今後のセキュリティ更新プログラムも受け取ることができなくなる。
レジストリ値のセットをユーザー任せにしているのは、主に次世代エンドポイントプロテクションなどと呼ばれる製品だ。こういった製品は従来、もう一つの保護レイヤーとしてウイルス対策ソフトウェアに追加する使い方が提案されてきたが、最近ではセキュリティ関連の予算が厳しい企業にも受け入れられるようにウイルス対策ソフトウェアの置き換えを提案することが増えているという。しかし、ウイルス対策ソフトウェアと共存している環境では問題が発生する可能性もあるため、手動でのレジストリ設定を選択しているようだ。
互換性の問題は、ウイルス対策ソフトウェアがWindowsカーネルメモリにサポートされない呼び出しを行うことで発生する。そのため、Beaumont氏はウイルス対策ソフトウェアベンダーに対し、非公開APIなどを使ってメモリアドレスを特定するような手法をやめるよう呼び掛けている。また、「次世代」製品のベンダーには、ウイルス対策ソフトウェアの置き換えとして製品を売るならウイルス対策ソフトウェアベンダーとしてふるまうべきだと提案する。さらにMicrosoftに対しては、レジストリによる互換性チェックには終了日を設ける必要があると述べている。
なお、Windows Serverの場合、更新プログラムを適用しただけでは緩和策が有効にならず、有効にするには別途レジストリの設定が必要になるとのことだ(KB4072698)。
リストアップされている製品では既に大半が互換性の問題を解決しており、未対応なのは11日時点で360 Total SecurityおよびCounterTack Sentinelのみとなっている。一方、対応済みであってもレジストリ値のセットをユーザー任せにしている製品も多い。そのため、ユーザーが自分でレジストリ値をセットしなければ今回の更新プログラムだけでなく、今後のセキュリティ更新プログラムも受け取ることができなくなる。
レジストリ値のセットをユーザー任せにしているのは、主に次世代エンドポイントプロテクションなどと呼ばれる製品だ。こういった製品は従来、もう一つの保護レイヤーとしてウイルス対策ソフトウェアに追加する使い方が提案されてきたが、最近ではセキュリティ関連の予算が厳しい企業にも受け入れられるようにウイルス対策ソフトウェアの置き換えを提案することが増えているという。しかし、ウイルス対策ソフトウェアと共存している環境では問題が発生する可能性もあるため、手動でのレジストリ設定を選択しているようだ。
互換性の問題は、ウイルス対策ソフトウェアがWindowsカーネルメモリにサポートされない呼び出しを行うことで発生する。そのため、Beaumont氏はウイルス対策ソフトウェアベンダーに対し、非公開APIなどを使ってメモリアドレスを特定するような手法をやめるよう呼び掛けている。また、「次世代」製品のベンダーには、ウイルス対策ソフトウェアの置き換えとして製品を売るならウイルス対策ソフトウェアベンダーとしてふるまうべきだと提案する。さらにMicrosoftに対しては、レジストリによる互換性チェックには終了日を設ける必要があると述べている。
なお、Windows Serverの場合、更新プログラムを適用しただけでは緩和策が有効にならず、有効にするには別途レジストリの設定が必要になるとのことだ(KB4072698)。
あるある (スコア:1)
社内での会話
「もうウイルス更新した?」
「した」
# ワクチンという用語を提唱したい
Re:あるある (スコア:2)
ウイルスソフトと言う人もちらほら居ますね。
元の意味を考えずに中途半端に短縮して、意味を変えちゃったり話をややこしくする人は苦手。
Re: (スコア:0)
処方側が無害と主張する変異ウイルスや抗原を受け入れる事だから
まさにワクチンですよね
Re: (スコア:0)
アンチウイルスソフトはOSを破壊したりするからウイルスで合ってる
Re: (スコア:0)
アンチウイルスソフトが伝播するとは初耳ですね。
Re: (スコア:0)
自然界でも珍しいことじゃない。他の動物に運んでもらったりね。
どうすんだよこれ・・・ (スコア:0)
Spectre/Meltdownの件、問題多すぎて頭抱えてるんだが。
収拾つくのかこれ?
Re:どうすんだよこれ・・・ (スコア:1)
これから本番のSpectre variant2マイクロコードアップデートだよ。
Sandy,Ivyの対応は無さそうなので、機材交換。AMDはブル、ボブぐらいまでかね。
PCメーカー、マザーメーカーがどこまでBIOS/UEFIを更新するのかも不明。
ARMは多すぎてどうなるのやら。
コンパイラーの変更、ソフトウェアのリコンパイルも控えてる。
CPUへの安全な投機実行の実装は、何年後か分からん。
Re: (スコア:0)
最近はOSからマイクロコードのアップデートできるでしょ
Re: (スコア:0)
できたところで攻撃成功率をちょっと下げるだけに終わって
また企業管理職向けリスクウェアとか著作権系ルートキットが業務をぶっ壊す副作用とさらに激しい性能低下が来るんだろ
Re: (スコア:0)
ARMはそれほど多くはならないと予想。
なぜなら、大抵の組み込み向けARM系プロセッサはアウトオブオーダーも投機的実行機能も搭載してないから。
スマートデバイスでもSnapdragon系なら600番台や400番台のミドルクラス以下は対象外。
問題になるのは800番台のハイエンドクラスだけ。
Re:どうすんだよこれ・・・ (スコア:3, 参考になる)
スマートデバイスでもSnapdragon系なら600番台や400番台のミドルクラス以下は対象外。問題になるのは800番台のハイエンドクラスだけ。
ARM の資料 [arm.com]によると、
近年のスマートフォン向けでは A53 *** だけ *** が Spectre 対象外なので400番台と 610, 615, 617 はセーフ。
A57/A72/A73 がアウトなので Snapdragon 618, 620, 650, 652, 808, 810 は要対応。
Meltdown については A75 がアウト。A15/A57/A72 は類似の脆弱性はあるが、In general, it is not believed that software mitigations for this issue are necessary とのこと。
Re:どうすんだよこれ・・・ (スコア:1)
600番台でも対象がありましたか…。
ところで、名称変更により618=650で620=652なので600番台ではこの2つが要対応ってことになりますね。
あと気になったんですが、660とか835あたりに搭載されてるKryoコアがA73のセミカスタムみたいなのでこれもSpectreに該当するかも知れませんね。
Re: (スコア:0)
あと気になったんですが、660とか835あたりに搭載されてるKryoコアがA73のセミカスタムみたいなのでこれもSpectreに該当するかも知れませんね。
別途アナウンスがない限り該当でいいと思う。
Re:どうすんだよこれ・・・ (スコア:1)
> ARMはそれほど多くはならないと予想。
むしろ非常に多い
なにせ出荷数が多いからな
http://monoist.atmarkit.co.jp/mn/articles/1801/05/news062.html [atmarkit.co.jp]
仮にARMコアだけを見ても
Spectreに該当しているものが多く、MeltdownもA15、A57、A72、A75が該当
結果として
> Cortex-R7やCortex-R8といったリアルタイム処理が必要な機器向けに高性能化したプロセッサコアや、
> IoT(モノのインターネット)デバイスに広く用いられている「Cortex-Aシリーズ」は対象になっている。
> OSやアプリケーションのアップデートを着実に行うことが必要だ。
という当たり前の話になっているし、これらに対してはARMがアップデートを支援するよう負担を負うべき
さらに、ARMコア設計をカスタムしているベンダーの場合、そちらのほうが別途問題を抱えている
たとえばAppleのAxチップはMeltdownにもSpectreにも該当していたので、AppleがiOS11.2で対応していると明確に発表している
クアルコムやその他の設計も同様である可能性が高い
(というより常識的に考えたら該当しているほうが当然)ので、
本来はここでARMが音頭を取ってARMコア採用製品全般についてのSpectre、Meltdown脆弱性の該当リストを出すのが市場に対する道義的責任といえる
保守契約してアップデート可能な状態 (スコア:0)
パターン更新が可能なF-secureは対応してたな
ところで (スコア:0)
最後の「なお、Windows Serverの場合~別途レジストリ設定が必要」のくだりは
Spectre/Meltdownの緩和策有効化についてであって、
更新プログラム適用可否については直接は関係ないよね?
まぁ大抵は両方対応するだろうけど一応確認として。
Re: (スコア:0)
適用そのものはされる。性能が低下するから、攻撃される危険が別途対策されていて性能が大事なケースを考えてデフォルト無効にしてるんだと思う。
Re: (スコア:0)
> 適用そのものはされる。性能が低下するから、攻撃される危険が別途対策されていて性能が大事なケースを考えてデフォルト無効にしてるんだと思う。
ストーリーに沿って考えればそういう話ではなく、
アンチマルウェアソフトウェアその他の対応が進んで
不具合が起きなくなってから最終的に有効にしてくれ
とはいえいきなりサーバが即死するかもしれないようなパッチを有効状態で配るわけにはいかないから
初期状態では無効にしておく、という話だろうけどね
パッチとしても適用させないでいると、メインラインの累積パッチと別で動作確認しなきゃいけないツリー分岐状態が発生する
エンドポイントプロテクション() (スコア:0)
OS標準機能ブロックに留まらず破壊()する奴あるから手動なんでしょうね。
体験した限りでは別物と呼べるくらい遅く不安定なOSに変わります。
Re: (スコア:0)
マッチポンプの意味を分かって書いているのだろうか、この人。
ベンダーが悪いようでMSが悪い (スコア:0)
非公開APIを利用していたソフトが、今回のアップデートにより使えなくなった。
これはソフトの開発側が悪い。MS側は非公開なものの互換性まで保証する必要はない。
でも今回の問題は「レジストリにフラグを立てる」という既存ソフトとの互換性を捨てることにより発生してるわけで・・・MSが悪いと思わざるをえない。
Re: (スコア:0)
どう考えてもいまだに対応してないウイルス対策ソフトがアホなだけにしか見えないんだが
Re: (スコア:0)
ある日突然Windowsの仕様変更されて動かなくなったんだよ。そりゃまだ対応してない対策ソフトがアホとも言えるが、急に仕様変えんなよ!って感じじゃん
Re:ベンダーが悪いようでMSが悪い (スコア:1)
やるなよと言われている事をやって、やっぱり動かなくなったなら自業自得。
それどころか過失だろうが!と言いたくなるレベル。
カーネルのメモリ内容を勝手に書き換えるような事をしてるので、メモリレイアウトが変わるとカーネルをアンチウィルスが壊して死ぬ。
Re: (スコア:0)
急に脆弱性を見つけたgoogleに言ってください
Re: (スコア:0)
脆弱性対策と同時に使うとOSが壊れるような怪しいソフトを売る方が悪い。CPUメーカー、クラウド事業者、OSカーネル開発者には昨年中頃に周知されて対策が内密に進んでいたのに、
セキュリティソフトベンダがそこから外されていたことの意味を考えるべきだと思う。専門家からしてみれば信用のおける会社、技術とは思われてないってことだろ。
Re: (スコア:0)
非公開APIは(利用者に対する)仕様の一部ではありません。だから、非公開APIの動作を変更することは
(少なくとも利用者側にとっての)仕様の変更には当たりません。
Re: (スコア:0)
なにをいってるのかわからん。
Re: (スコア:0)
一日一難癖。彼の日課です。
間違いではないが正しくもない (スコア:0)
アップデートしない→アンチウィルスは動くが脆弱性が残る
アップデートする→脆弱性は消えるがアンチウィルスが動かなくてセキュリティがガバガバに
デッドロックかな?
Re:間違いではないが正しくもない (スコア:1)
既存のアンチウィルスをアンインストールし、代わりにWindows Defenderを使う→アンチウイルスが動き、脆弱性もなくなる
Re:間違いではないが正しくもない (スコア:1)
ここの人たちはDefender信者率高いので、怒られるのかもしれないけど
Defenderって新種の検知率低すぎではないですか?
安定性だけをみるとDefenderは確かに一番信頼性高いのかもしれないが
実際問題送付されてくる新しいマルウェアの殆どを駆除できなければ
それは、信頼性高いって言えるのかね?
去年入手した複数の検体は、みんな大嫌いウイルスバスター、シマンテックでは
検知しましたよ・・・。(VirusTotal他、数百程度)
いや、ウイルスの作者もDefenderくらいは通してくることが
背景にあることもわかってはいますが、結局検知や駆除できないのであれば
インストールしている意味ないのでは?
# 個人的にはClamAVに頑張って欲しいけど・・・今の所だめだなぁ
Re: (スコア:0)
アンチウイルスにはさほど期待していないから、じゃないかな。
ちゃんとパッチ当てておけば、アンチウイルスに頼る必要も多くないだろうし。
(アンチウイルスよりパッチの方が重要なので、「アンチウイルスのためにアップデートしない」は論外)
期待していないから、検出率が多少悪かろうがどうでもいい。
とにかく余計なことをしなくて軽ければ。←ここ重要
Re: (スコア:0)
まず一番重要なのは環境を壊さないこと。それをクリアして初めて検知率を評価する。第一段階すらクリアできない時点でそれは信頼性ゼロなんだよ。
Re: (スコア:0)
爆弾降ってくるけど傘で防いでねっていうくらいの検知率に見える。
まぁ、降ってくる量の少ない個人用途ではそれでいいのかもしれませんね
Re: (スコア:0)
OSをいじくるような怪しいツールを使うからいけない
純正品のDefenderを使え
Re: (スコア:0)
今はOS標準のセキュリティ機能を使うのが一番信頼性高い
Re: (スコア:0)
Re: (スコア:0)
Windows Defenderを使用することをセキュリティ対策と認めない風潮をなんとかするところからかな
Re: (スコア:0)
そこでApp Store以外からのソフトのインストールを禁じる + App Storeでウイルススキャナーなどの怪しいアプリを認めない のコンボが便利なんですよ
Re: (スコア:0)
Win 10S「ガタッ」