パスワードを忘れた? アカウント作成
14260847 story
Windows

Microsoft Defender Antivirus、Microsoft関連ホストが指定されたhostsファイルを脅威として検出 60

ストーリー by nagazou
脅威 部門より
headless 曰く、

hostsファイルでMicrosoft関連ホストを指定すると、Windows Defender Antivirus(Microsoft Defender Antivirus)やMicrosoft Security Essentialsが脅威として検出するようになっている(Bleeping Computerの記事Ghacksの記事BetaNewsの記事)。

Windows Defender Antivirusの場合は変更がリアルタイムで検出されることはなかったが、ファイルを選択してスキャンすると「SettingsModifier:Win32/HostsFileHijack」として検出される。ここで「削除」(デフォルト)または「検疫」を選択して「操作の開始」をクリックするとhostsファイルが再生成されるようで、既定の内容に戻されてしまう。Microsoft Security Essentialsの場合は変更を保存するとすぐに検出され、自動で既定の内容に戻された。

この脅威を解説するMicrosoftの記事は1月に公開されているが、脅威として検出されるエントリの具体的な内容には触れられていない。ただし、6月から更新していなかったWindows Defender Antivirus(Windows 8.1)とMicrosoft Security Essentials(Windows 7)でも検出されたので、最近の変更ではなさそうだ。スラドでは2009年にWindows Defenderがhostsファイルを書き換えるという話題が出ていたが、この時の脅威(SettingsModifier:Win32/PossibleHostsFileHijack)とは別物だ。2012年にはWindows 8のWindows Defenderがhostsファイルの変更をブロックすることも話題になっている。

なお、Bleeping Computerの記事では15件のMicrosoft関連ホストが検出対象として挙げられているが、手元の環境で試した限りでは「www.microsoft.com」「microsoft.com」「us.vortex-win.data.microsoft.com」のいずれかを追加した場合のみ脅威として検出された。また、「www.microsoft.com」と「microsoft.com」に関しては、エントリを追加しても無視されるようだ。

  • 復旧方法 (スコア:3, 参考になる)

    by Anonymous Coward on 2020年08月07日 18時52分 (#3866897)

    「ウイルスと脅威の防止の設定」で「除外」するファイルとして「C:\Windows\System32\drivers\etc\hosts」を指定。
    その後「脅威履歴」で「SettingsModifier:Win32/HostsFileHijack」を「復元」。

    これで無事に元通り。
    誤って「削除」したらサヨウナラ。

    ここに返信
    • by Anonymous Coward

      除外指定すればいいのは2012年のWindows 8で騒ぎになったときと同じなのね

  • by Anonymous Coward on 2020年08月07日 18時36分 (#3866885)

    hostsファイルが勝手に初期化されるなんて想定外。
    大量に書き込んでいたipアドレス情報が失われました。

    #ウイルスよりもMSのやることの方が脅威度が高い

    ここに返信
    • by Anonymous Coward

      普通、同じ階層に一つ前のリビジョンをバックアップで置いとくだろ

      • by Anonymous Coward

        hosts
        hosts - コピー (1)
        hosts - コピー - コピー
        hosts_20200808最新_上長承認済み
        hosts_new
        hosts_最新版

      • by Anonymous Coward

        ほかのドライブに置いてたバックアップもアクセスしようとしたとたんに脅威判定されたよw

    • by Anonymous Coward

      同じく

      ノートのほうは内外の接続環境によって
      自鯖の参照が変わるため元より
      別ファイルで自動上書き用別ファイルがあって
      事なきを得ましたが
      デスクトップのほうは危なかった
      バックアップ取っておいてよかったよ

      ■今後の対策

      ・Windows Defenderで除外フォルダ指定
      ウィルスと脅威の防止>ウィルスと脅威の防止設定(設定の管理)>除外(除外の追加または削除)

      ・デスクトップもスケジューラで上書くようにする?

      # ウィルスと脅威の防止による強意的な脅威に驚異を禁じ得ない

      • by Anonymous Coward

        ■今後の対策

        ・Windows Defenderで除外フォルダ指定
        ウィルスと脅威の防止>ウィルスと脅威の防止設定(設定の管理)>除外(除外の追加または削除)

        をみこしてそこにウイルスを置く人が増えるだろう。

        • by Anonymous Coward

          特定のファイルだけを除外できるよ。

    • by Anonymous Coward

      一応オフィス用でもあるOSなのに、これは酷い。

    • by Anonymous Coward

      「SettingsModifier:Win32/HostsFileHijack」、名前に偽り無し

  • by Anonymous Coward on 2020年08月07日 18時14分 (#3866863)

    偽サーバに誘導させるためのhosts書き換え攻撃受けてるようにしか見えないし当然だろ

    ここに返信
    • by Anonymous Coward
      じゃあなんでMSのテレメトリ収集サーバのアドレス書き換えにだけ反応するんですかね
      • by Anonymous Coward

        MSのサーバアドレス書き換えへの反応であって、
        テレメトリ収集サーバのアドレス書き換え「だけ」への反応ではありませんよ
        テレメトリ行為を妨害したければ自宅のDNSでレコード書き換えればよいのでは?

        • by Anonymous Coward

          テレメトリ収集サーバのアドレス書き換え「だけ」だよ

          • by Anonymous Coward

            もしかして認証が甘くって第三者のサーバにテレメトリを送られてしまう,みたいな問題があったりするのかな?

    • by Anonymous Coward
      悪意を持った第三者にhostsを書き換える権限取られてる時点で・・・
      • by Anonymous Coward

        イソジンとかマスクが無くなるような世の中、
        このファイルを書き換えれば快適になる!と嘘ネタをテレビで言えば使用者自身がhostsを書き換えますよ

  • by Anonymous Coward on 2020年08月07日 18時45分 (#3866894)

    これは、驚異への対応を名目とした、テレメトリ収集拒否を妨害する行為であって、プライバシーを侵害するリスクがあります。

    そもそも、us.vortex-win.data.microsoft.com (テレメトリ収集サーバ) のIPアドレスを指定する人の大半は、

    0.0.0.0 us.vortex-win.data.microsoft.com
     や
    127.0.0.1 us.vortex-win.data.microsoft.com

    のように無効なIPアドレスやループバックアドレス・プライベートIPアドレス等を指定して、情報収集を拒否する目的です。
    このような 0.0.0.0 や 127.0.0.1 は脅威として検出すべきではありません。
    そもそも、Microsoftによる通信はTLSで暗号化されていますので、悪意のある第三者のサーバのIPアドレスを指定されたところで、証明書エラーで通信できなくなるだけです。

    これを脅威として検出するのは、テレメトリ収集拒否の妨害としか言いようがありません。

    ここに返信
  • そしてMicrosoft DNSサーバでマイクロソフトのアドレスをハードコーディングして書き換えできなくすれば完璧。
    ここに返信
    • by Anonymous Coward

      DNSサーバソフトの「unbound」では、ルートネームサーバがハードコーディングしてある
      よって設定しなくても動く

      • by Anonymous Coward

        ルートネームサーバが変わったらどうすんだ? (実際変わったことあるし)

  • by Anonymous Coward on 2020年08月07日 20時44分 (#3866962)

    Windows Defederの既定設定では、検体はMicrosoftに自動送信されます。
    つまり、不正と身勝手に判定された Hosts ファイルはMicrosoftに収集され、
    Windows以外も含めて組織内のネットワーク情報が漏洩します。

    ここに返信
    • by Anonymous Coward on 2020年08月07日 21時16分 (#3866973)

      Windows Defederの既定設定では、検体はMicrosoftに自動送信されます。

      サンプル送信オンのままの人なんてここにいるん?

      • by Anonymous Coward

        スラドは思考の浅い人ばかりってこと?

        • by Anonymous Coward

          てか、このサイトの利用者は広告ブロック使ってる人多いだろうし、
          職場から見ることもあるだろうから、こういうのは敏感じゃね

          • by Anonymous Coward

            「敏感なんだから文句言うなよ」ってのは気が狂った思考じゃね?

          • by Anonymous Coward

            テレメトリもそうだけど、自分にとって使い勝手が上がったり品質の向上を望むならONにしとくだろ。
            テレメトリ無効にしといたくせにこの機能は使われていないみたいなんで削りますって言ったら発狂するのは愚の極みだろ。

    • by Anonymous Coward

      完全にスパイウエアだな

      #自動サンプル送信をオフ設定してた。セーフ

  • by Anonymous Coward on 2020年08月07日 21時37分 (#3866987)

    よくわからんけど、
    ウィルスと脅威の防止 → ウイルスと脅威の防止の設定 → 除外
    から検疫の除外対象ファイルを設定できるんだから、hostsを除外対象に設定すればいいのでは。

    hostsファイルを改竄するマルウェアは当然想定される以上、Windows Defenderの動作が不適当とも言えないんだから、
    自分で設定して自衛するしかないのでは?
    私は自分のホームフォルダを除外設定してるぞ(PowerShellスクリプトにときどき誤爆するので)。

    ここに返信
    • by Anonymous Coward

      自慢げにホームフォルダ除外とか言うなよ、恥ずかしい。

    • by Anonymous Coward

      問題が起きてから「〜すればいいのでは?」は後出しにも程がある

    • by Anonymous Coward

      いやいや。それじゃ不十分だよ。
      今回はhostsがターゲットとしてやられたけど、今後はどのファイルが同じように脅威判定されるか分からない。

      ウィルスと脅威の防止 → ウイルスと脅威の防止の設定 → 除外
      で、HDD/SSD内の全フォルダを指定しないとダメ

  • by Anonymous Coward on 2020年08月08日 5時10分 (#3867086)

    スマホでガンガン垂れ流しなから喚くあたりが。ルート取って書き換えてるなら妥当ですけど。

    ここに返信
typodupeerror

あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall

読み込み中...