パスワードを忘れた? アカウント作成
13501986 story
Windows

ウイルス対策ソフトウェア、Windowsの更新プログラムへの対応状況は? 50

ストーリー by headless
対応 部門より
Spectre/Meltdown脆弱性緩和策を含むWindowsの更新プログラムでは一部のウイルス対策ソフトウェアで互換性の問題が発生しており、Microsoftはベンダーに対して対応済みであることを示すレジストリ値のセットを要求している。これについて、セキュリティ専門家のKevin Beaumont氏が各製品の対応状況をまとめている(DoublePulsarの記事対応状況一覧The Registerの記事)。

リストアップされている製品では既に大半が互換性の問題を解決しており、未対応なのは11日時点で360 Total SecurityおよびCounterTack Sentinelのみとなっている。一方、対応済みであってもレジストリ値のセットをユーザー任せにしている製品も多い。そのため、ユーザーが自分でレジストリ値をセットしなければ今回の更新プログラムだけでなく、今後のセキュリティ更新プログラムも受け取ることができなくなる。

レジストリ値のセットをユーザー任せにしているのは、主に次世代エンドポイントプロテクションなどと呼ばれる製品だ。こういった製品は従来、もう一つの保護レイヤーとしてウイルス対策ソフトウェアに追加する使い方が提案されてきたが、最近ではセキュリティ関連の予算が厳しい企業にも受け入れられるようにウイルス対策ソフトウェアの置き換えを提案することが増えているという。しかし、ウイルス対策ソフトウェアと共存している環境では問題が発生する可能性もあるため、手動でのレジストリ設定を選択しているようだ。

互換性の問題は、ウイルス対策ソフトウェアがWindowsカーネルメモリにサポートされない呼び出しを行うことで発生する。そのため、Beaumont氏はウイルス対策ソフトウェアベンダーに対し、非公開APIなどを使ってメモリアドレスを特定するような手法をやめるよう呼び掛けている。また、「次世代」製品のベンダーには、ウイルス対策ソフトウェアの置き換えとして製品を売るならウイルス対策ソフトウェアベンダーとしてふるまうべきだと提案する。さらにMicrosoftに対しては、レジストリによる互換性チェックには終了日を設ける必要があると述べている。

なお、Windows Serverの場合、更新プログラムを適用しただけでは緩和策が有効にならず、有効にするには別途レジストリの設定が必要になるとのことだ(KB4072698)。
  • by Anonymous Coward on 2018年01月14日 13時49分 (#3344273)

    社内での会話
    「もうウイルス更新した?」
    「した」

    # ワクチンという用語を提唱したい

    ここに返信
    • by Ykr (46986) on 2018年01月14日 17時56分 (#3344355)

      ウイルスソフトと言う人もちらほら居ますね。
      元の意味を考えずに中途半端に短縮して、意味を変えちゃったり話をややこしくする人は苦手。

    • by Anonymous Coward

      処方側が無害と主張する変異ウイルスや抗原を受け入れる事だから
      まさにワクチンですよね

    • by Anonymous Coward

      アンチウイルスソフトはOSを破壊したりするからウイルスで合ってる

      • by Anonymous Coward

        アンチウイルスソフトが伝播するとは初耳ですね。

        • by Anonymous Coward

          自然界でも珍しいことじゃない。他の動物に運んでもらったりね。

  • by Anonymous Coward on 2018年01月14日 12時52分 (#3344258)

    Spectre/Meltdownの件、問題多すぎて頭抱えてるんだが。
    収拾つくのかこれ?

    ここに返信
    • これから本番のSpectre variant2マイクロコードアップデートだよ。
      Sandy,Ivyの対応は無さそうなので、機材交換。AMDはブル、ボブぐらいまでかね。
      PCメーカー、マザーメーカーがどこまでBIOS/UEFIを更新するのかも不明。
      ARMは多すぎてどうなるのやら。
      コンパイラーの変更、ソフトウェアのリコンパイルも控えてる。
      CPUへの安全な投機実行の実装は、何年後か分からん。

      • by Anonymous Coward

        最近はOSからマイクロコードのアップデートできるでしょ

        • by Anonymous Coward

          できたところで攻撃成功率をちょっと下げるだけに終わって
          また企業管理職向けリスクウェアとか著作権系ルートキットが業務をぶっ壊す副作用とさらに激しい性能低下が来るんだろ

      • by Anonymous Coward

        ARMはそれほど多くはならないと予想。
        なぜなら、大抵の組み込み向けARM系プロセッサはアウトオブオーダーも投機的実行機能も搭載してないから。
        スマートデバイスでもSnapdragon系なら600番台や400番台のミドルクラス以下は対象外。
        問題になるのは800番台のハイエンドクラスだけ。

        • by Anonymous Coward on 2018年01月14日 20時50分 (#3344423)

          スマートデバイスでもSnapdragon系なら600番台や400番台のミドルクラス以下は対象外。問題になるのは800番台のハイエンドクラスだけ。

          ARM の資料 [arm.com]によると、

          近年のスマートフォン向けでは A53 *** だけ *** が Spectre 対象外なので400番台と 610, 615, 617 はセーフ。
          A57/A72/A73 がアウトなので Snapdragon 618, 620, 650, 652, 808, 810 は要対応。

          Meltdown については A75 がアウト。A15/A57/A72 は類似の脆弱性はあるが、In general, it is not believed that software mitigations for this issue are necessary とのこと。

          • by Anonymous Coward on 2018年01月14日 22時17分 (#3344448)

            600番台でも対象がありましたか…。
            ところで、名称変更により618=650で620=652なので600番台ではこの2つが要対応ってことになりますね。

            あと気になったんですが、660とか835あたりに搭載されてるKryoコアがA73のセミカスタムみたいなのでこれもSpectreに該当するかも知れませんね。

            • by Anonymous Coward

              あと気になったんですが、660とか835あたりに搭載されてるKryoコアがA73のセミカスタムみたいなのでこれもSpectreに該当するかも知れませんね。

              別途アナウンスがない限り該当でいいと思う。

        • by Anonymous Coward on 2018年01月15日 0時48分 (#3344490)

          > ARMはそれほど多くはならないと予想。

          むしろ非常に多い
          なにせ出荷数が多いからな

          http://monoist.atmarkit.co.jp/mn/articles/1801/05/news062.html [atmarkit.co.jp]

          仮にARMコアだけを見ても
          Spectreに該当しているものが多く、MeltdownもA15、A57、A72、A75が該当

          結果として

          > Cortex-R7やCortex-R8といったリアルタイム処理が必要な機器向けに高性能化したプロセッサコアや、
          > IoT(モノのインターネット)デバイスに広く用いられている「Cortex-Aシリーズ」は対象になっている。
          > OSやアプリケーションのアップデートを着実に行うことが必要だ。

          という当たり前の話になっているし、これらに対してはARMがアップデートを支援するよう負担を負うべき

          さらに、ARMコア設計をカスタムしているベンダーの場合、そちらのほうが別途問題を抱えている
          たとえばAppleのAxチップはMeltdownにもSpectreにも該当していたので、AppleがiOS11.2で対応していると明確に発表している
          クアルコムやその他の設計も同様である可能性が高い
          (というより常識的に考えたら該当しているほうが当然)ので、
          本来はここでARMが音頭を取ってARMコア採用製品全般についてのSpectre、Meltdown脆弱性の該当リストを出すのが市場に対する道義的責任といえる

  • by Anonymous Coward on 2018年01月14日 13時00分 (#3344261)

    パターン更新が可能なF-secureは対応してたな

    ここに返信
  • by Anonymous Coward on 2018年01月14日 13時29分 (#3344269)

    最後の「なお、Windows Serverの場合~別途レジストリ設定が必要」のくだりは
    Spectre/Meltdownの緩和策有効化についてであって、
    更新プログラム適用可否については直接は関係ないよね?
    まぁ大抵は両方対応するだろうけど一応確認として。

    ここに返信
    • by Anonymous Coward

      適用そのものはされる。性能が低下するから、攻撃される危険が別途対策されていて性能が大事なケースを考えてデフォルト無効にしてるんだと思う。

      • by Anonymous Coward

        > 適用そのものはされる。性能が低下するから、攻撃される危険が別途対策されていて性能が大事なケースを考えてデフォルト無効にしてるんだと思う。

        ストーリーに沿って考えればそういう話ではなく、
        アンチマルウェアソフトウェアその他の対応が進んで
        不具合が起きなくなってから最終的に有効にしてくれ
        とはいえいきなりサーバが即死するかもしれないようなパッチを有効状態で配るわけにはいかないから
        初期状態では無効にしておく、という話だろうけどね

        パッチとしても適用させないでいると、メインラインの累積パッチと別で動作確認しなきゃいけないツリー分岐状態が発生する

  • by Anonymous Coward on 2018年01月14日 13時58分 (#3344276)

    OS標準機能ブロックに留まらず破壊()する奴あるから手動なんでしょうね。

    体験した限りでは別物と呼べるくらい遅く不安定なOSに変わります。

    ここに返信
  • by Anonymous Coward on 2018年01月14日 15時40分 (#3344301)

    非公開APIを利用していたソフトが、今回のアップデートにより使えなくなった。
    これはソフトの開発側が悪い。MS側は非公開なものの互換性まで保証する必要はない。

    でも今回の問題は「レジストリにフラグを立てる」という既存ソフトとの互換性を捨てることにより発生してるわけで・・・MSが悪いと思わざるをえない。

    ここに返信
    • by Anonymous Coward

      どう考えてもいまだに対応してないウイルス対策ソフトがアホなだけにしか見えないんだが

      • by Anonymous Coward

        ある日突然Windowsの仕様変更されて動かなくなったんだよ。そりゃまだ対応してない対策ソフトがアホとも言えるが、急に仕様変えんなよ!って感じじゃん

        • by Anonymous Coward on 2018年01月14日 17時13分 (#3344336)

          やるなよと言われている事をやって、やっぱり動かなくなったなら自業自得。
          それどころか過失だろうが!と言いたくなるレベル。

          カーネルのメモリ内容を勝手に書き換えるような事をしてるので、メモリレイアウトが変わるとカーネルをアンチウィルスが壊して死ぬ。

        • by Anonymous Coward

          急に脆弱性を見つけたgoogleに言ってください

        • by Anonymous Coward

          脆弱性対策と同時に使うとOSが壊れるような怪しいソフトを売る方が悪い。CPUメーカー、クラウド事業者、OSカーネル開発者には昨年中頃に周知されて対策が内密に進んでいたのに、
          セキュリティソフトベンダがそこから外されていたことの意味を考えるべきだと思う。専門家からしてみれば信用のおける会社、技術とは思われてないってことだろ。

        • by Anonymous Coward

          非公開APIは(利用者に対する)仕様の一部ではありません。だから、非公開APIの動作を変更することは
          (少なくとも利用者側にとっての)仕様の変更には当たりません。

    • by Anonymous Coward

      なにをいってるのかわからん。

      • by Anonymous Coward

        一日一難癖。彼の日課です。

  • by Anonymous Coward on 2018年01月14日 16時23分 (#3344312)

    アップデートしない→アンチウィルスは動くが脆弱性が残る
    アップデートする→脆弱性は消えるがアンチウィルスが動かなくてセキュリティがガバガバに
    デッドロックかな?

    ここに返信
    • by Anonymous Coward on 2018年01月14日 19時53分 (#3344397)

      既存のアンチウィルスをアンインストールし、代わりにWindows Defenderを使う→アンチウイルスが動き、脆弱性もなくなる

      • by Anonymous Coward on 2018年01月15日 9時35分 (#3344546)

        ここの人たちはDefender信者率高いので、怒られるのかもしれないけど
        Defenderって新種の検知率低すぎではないですか?

        安定性だけをみるとDefenderは確かに一番信頼性高いのかもしれないが
        実際問題送付されてくる新しいマルウェアの殆どを駆除できなければ
        それは、信頼性高いって言えるのかね?

        去年入手した複数の検体は、みんな大嫌いウイルスバスター、シマンテックでは
        検知しましたよ・・・。(VirusTotal他、数百程度)

        いや、ウイルスの作者もDefenderくらいは通してくることが
        背景にあることもわかってはいますが、結局検知や駆除できないのであれば
        インストールしている意味ないのでは?

        # 個人的にはClamAVに頑張って欲しいけど・・・今の所だめだなぁ

        • by Anonymous Coward

          アンチウイルスにはさほど期待していないから、じゃないかな。
          ちゃんとパッチ当てておけば、アンチウイルスに頼る必要も多くないだろうし。
          (アンチウイルスよりパッチの方が重要なので、「アンチウイルスのためにアップデートしない」は論外)
          期待していないから、検出率が多少悪かろうがどうでもいい。
          とにかく余計なことをしなくて軽ければ。←ここ重要

        • by Anonymous Coward

          まず一番重要なのは環境を壊さないこと。それをクリアして初めて検知率を評価する。第一段階すらクリアできない時点でそれは信頼性ゼロなんだよ。

    • by Anonymous Coward

      OSをいじくるような怪しいツールを使うからいけない
      純正品のDefenderを使え

    • by Anonymous Coward

      今はOS標準のセキュリティ機能を使うのが一番信頼性高い

      • by Anonymous Coward
        どうかお願いですから全世界の情シスにその情報を広めてください
        • by Anonymous Coward

          Windows Defenderを使用することをセキュリティ対策と認めない風潮をなんとかするところからかな

        • by Anonymous Coward

          そこでApp Store以外からのソフトのインストールを禁じる + App Storeでウイルススキャナーなどの怪しいアプリを認めない のコンボが便利なんですよ

typodupeerror

あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー

読み込み中...