ウイルス

(Source:Born's Tech / gHacks / Reddit / HP Support Forum)

HPは自社製品を使用するユーザのPCに『HP Touchpoint Manager』というソフトの配信とインストールを開始しました。このソフトがインストールされると、同時に『HP Touchpoint Analytics』というテレメトリサービスまでインストールされてしまいます。

このテレメトリサービスは1日1回、HPにデータを送信しているようですが、送信されるデータの中身については明らかになっていません。また、このテレメトリサービスがインストールされていると、CPUの負荷が高くなり、システムに大幅なパフォーマンス低下を引き起こす場合があります。

他にも、このテレメトリサービスをインストールされたユーザからは　「同意なしにいつの間にかサイレントインストールされていた」　との非難の声も出ています。

インストール経路はハッキリとは判明していませんが、一部のユーザは　「HP Support AssistantにHP Touchpoint Analyticsが追加されていた」　と報告しており、HP Support Assistantを介して適用されている可能性が濃厚となっています。

このテレメトリサービスがお使いのPCに混入しているかは、サービスに『HP Touchpoint Analytics』があるかどうかで確認できます。もし、あった場合はテレメトリサービスがインストールされています。

ユーザにとっては何のメリットもなく、無駄にCPUリソースを使われて電力を消費されるため、　「それでもHPに協力したい！」　という人以外は、下記の手順でアンインストールすることをおすすめいたします。

1.サービスを開いて『HP Touchpoint Analytics』をダブルクリック
2.サービスの状態を『停止』にして、スタートアップの種類を『無効』にして『OK』を押す
3.コントロールパネルの『プログラムと機能』を開いて『HP Touchpoint Manager』をアンインストールする

なお、HP Support Assistantを使い続けるかぎり、今後も似たようなことがまた起こる可能性は高いと思われます。HP Support Assistantの使用についてもご一考した方が良いでしょう。

関連記事
【ウイルス】 HP製ノートPC数百台にキーロガーが混入

Internet Explorerに新たな脆弱性が見つかりました。今回見つかったものは悪意のあるコードが仕掛けられたサイト上で、アドレスバーに入力した内容が盗み取られるというものです。どういうことか、下記の動画をご覧ください。

こんな風に、コードが仕掛けられたサイト上で入力した内容がサイト管理者にダダ漏れになります。

この脆弱性を体験できるページが公開されており、実際に影響を受けるかどうか下記のページで確認することができます。

　PoC - Revealing the content of the address-bar on IE
　https://www.cracking.com.ar/demos/ieaddressbarguess/

(Source:Security Notification for CCleaner v5.33.6162 ... / Hackers compromised free CCleaner ...)

Piriformの32bit版『CCleaner v5.33.6162』と『CCleaner Cloud v1.07.3191』に、ウイルスの混入があったことが判明しました。このバージョンは2017年8月から公開されており、いくつかの悪意のあるWebサイトへ接続するリモート管理ツールが含まれています。

ウイルスに感染すると機密性の低いデータ(コンピュータ名、IPアドレス、インストールされたソフトウェア、実行中のソフトウェア、ネットワークアダプタのリスト)が第三者の保有する米国のサーバに送信されます。他のデータが送信されたという兆候は今のところ見つかっていません。

Piriformは米国の法執行機関と協力して、2017年9月15日にトラフィックが誘導されるサーバを停止し、既知の被害が発生することはなくなりました。

今回のウイルス混入はハッカーがPiriformにマルウェアを侵入させたことが起因して起こり、影響を受けるユーザは約227万人になるとのことです。

Piriformはプレスリリースで謝罪しており、該当バージョンをお使いの方はウイルスが除去された最新バージョンの使用を推奨しています。

(Source:ZDNet / eTeknix)

＜ザックリ意訳＞
Microsoftは2017年6月8日にブログで　「Windows 10 Sは既知のランサムウェアの影響を受けない」　と豪語した。これが本当かどうか、ZDNetはセキュリティ研究者のMatthew Hickey氏に依頼してWindows 10 Sをランサムウェアに感染させることが可能か試すことにした。

結果、Matthew Hickey氏はわずか3時間ほどで成功した。Matthew Hickey氏は　「簡単すぎて正直驚いている」　と述べている。

攻撃には悪意のあるマクロベースのWord文書を作成し、Word文書を開くとDLLインジェクションが行われる方法を利用した。そこを起点にクラックを進め、最終的にはシステム特権を得てコンピュータを自由にリモートアクセスできるようになった。

Matthew Hickey氏は　「この状態はアンチマルウェアやファイアウォールなどを無効にしたり、重要なWindowsのファイルを上書きすることができる。ランサムウェアをインストールすることもできる。ゲームオーバーだ」　と述べた。

上記内容がZDNetなどの海外メディア各所で報じられました。

Windows 10 Sは基本的にWindowsストアのアプリケーションしか動作しないため、比較的ウイルスの影響を受けにくい仕様だとは思いますが、Microsoftが主張する　「Windows 10 Sは既知のランサムウェアの影響を受けない」　というのは誇大広告だったようです。

『Wana Decrypt0r 2.0』『WannaCry 2.0』などで呼ばれるランサムウェアによって暗号化されたファイルを復号する『Wannakey』が有志により作成されました。この復号ソフトは下記サイトからダウンロードが可能で、対象OSはWindows XP専用となります。

　GitHub - aguinet/wannakey: Wannacry in-memory key recovery for WinXP
　https://github.com/aguinet/wannakey

復号の仕組みは、暗号化の際に使用したメモリ領域が開放されていなければ、メモリ上の情報を読み取って復号を可能にするとのこと。つまるところ、PCの再起動や、その他の処理などでメモリ上の情報が消えているとNGとなります。

条件はかなり厳しく、また、これらの条件が揃っていても成功するとは限らず　「成功するには運が必要になる」　と作者は語っています。

(Source:http://blog.trendmicro.co.jp/archives/14979)

トレンドマイクロによると日本国内で大規模なマルウェアスパムのキャンペーンが行われていて、2017年5月14日から5月18日までの5日間で、43万件以上のウイルス添付メールが確認されているとのこと。

主な送信日時と件名は下記になります。

これらの件名が使用されているメールの添付ファイルを開くと、銀行やクレジットカードなどのアカウント情報をターゲットにしたウイルスに感染します。

トレンドマイクロは　「この一連のスパムメールの拡散活動は継続して行われており、ユーザはこれらの添付ファイル付きのスパムメールを安易に開かないよう注意が必要です」　と注意を呼びかけています。

2017年4月に『Wana Decrypt0r 2.0』『WannaCry 2.0』の元となったエクスプロイトを流出させたハッカー集団のShadow Brokersですが、2017年6月に新たなエクスプロイトの販売を開始することをBlogで予告しました。

Blogでは、毎月の会費を支払うことで『Windows 10の新たなエクスプロイト』『ブラウザやルータ、スマートフォン向けのエクスプロイト』などを提供すると述べています。

これらが『Wana Decrypt0r 2.0』『WannaCry 2.0』の第2波となるほど脅威になるかはわかりませんが、バックアップ等、万が一に備えた対策をしっかりととっておくことが推奨されます。

関連記事
【ウイルス】 『WannaCry 2.0』によって暗号化されたファイルを復号するソフト『Wannakey』が登場。ただし……
【ウイルス】 『Wana Decrypt0r 2.0』『WannaCry 2.0』の実行ファイル名は『taskse.exe』
【ウイルス】 約100か国で大規模なサイバー攻撃、ランサムウェアの被害が約7万5000件 [Update 1: Win7/8.1/10でSMB1自体を無効化する方法を記載]

世間を賑わせているランサムウェアの『Wana Decrypt0r 2.0』『WannaCry 2.0』ですが、有志によりその実行ファイル名等が判明しました。

(Source:日産英工場にも被害…サイバー攻撃100か国に)

『ランサム（身代金）ウェア』と呼ばれるウイルスによる大規模なサイバー攻撃が12日、世界へと広がった。英BBCなどは、英米露など約100か国・地域で約7万5000件の被害が出たと伝え、日産自動車の英工場にも影響が及んだ。オランダ・ハーグの欧州警察機構(ユーロポール)は13日、　「攻撃は前例を見ない水準だ」　とする声明を発表し、国際協力を呼びかけた。

12日、独フランクフルトの鉄道駅で、支払い要求のメッセージが表示された電光掲示板

上記内容が各所で報じられました。イングランドとスコットランドでは医療機関のシステムが被害を受けて、手術が中止になるケースもあったようです。

『Wana Decrypt0r 2.0』『WannaCry 2.0』などの名前を持つこのランサムウェアは、SMB1の脆弱性(MS17-010 / CVE-2017-0144)を悪用していますが、サポート期間中のOSは2017年3月度のWindows Updateで修正済みとなっています。

しかし、Microsoftは今回の騒動を受けて、サポートが既に終了しているOS(XPなど)用の修正パッチ(KB4012598)も緊急リリースしました。現在、下記のアドレスからダウンロードができるようになっています。

　Microsoft Updateカタログ 『KB4012598』
　http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

＜ Update 1: Win7/8.1/10でSMB1自体を無効化する方法 ＞

(Source:Leaked NSA point-and-pwn hack tools... / NSA's Windows Hacking Tools Leaked... / NSA-leaking...)

＜ザックリ意訳＞
2016年夏にNSAからハッキングツールが盗まれた。ハッキングツールを入手したハッカー集団のShadow Brokersはオークションにかけたが、買い手がつかず、無料で公開することにした。現在、このハッキングツールは誰でもダウンロードすることができる。

このハッキングツールはWindows10を除いて、Windows2000からWindows8まで幅広く対応している。セキュリティの専門家は　「知識のある者が使えば、ダウンロードして2分でサーバーをハックすることができる。想像以上に最悪なものだ」　と語った。実際にこのハッキングツールを使って2分でハッキングしている動画も公開されている。

万が一にも影響を受けたくない重要なシステムは、数日間オフラインにしておくことを専門家は推奨しているが、これはあまりにも不便なソリューションと言えるだろう。

この報告を受けて、Microsoftは　「顧客を保護するために必要な措置を講じる」　と述べた。

上記内容が海外メディアの各所で報じられました。

ツールへのリンクは貼りませんが、研究目的などで興味のある方はソース元へ行ってリンクの貼られている『The files』からジャンプしてどうぞ。くれぐれも取り扱いにはお気をつけくださいませ。実行した結果、どうなるかはわかりません。

万が一にもウイルス感染は避けたいといった方は、触らぬ神に祟り無しです。

＜ Update 1 ＞
Microsoftが調査報告を公開しました。曰く　「これらのエクスプロイトを調べた結果、適切にWindows Updateを行っているWindows7以上のバージョンには影響はない」　とのことで、

これまでに配信されたパッチで修正済みだそうです。Windows Updateの提供が終了している製品に関しては影響するようですが、これに関しては仕方なしですね。

(Source:RensenWare Will Only Decrypt Files... / RensomWare Holds Your Files...)

＜ザックリ意訳＞
数日前から『東方星蓮船』というゲームの高難易度モード(Lunatic)で、2億点以上取らないと暗号化したファイルを復号しないというランサムウェア『RensenWare』が話題になっている。

このランサムウェアは金銭の要求をせず、ただ、ゲームで2億点以上取ることを要求していて、それが達成できなければ暗号化されたファイルは永久に失われる。

しかし、暗号化している間にシャドウボリュームの削除をしたり、何かしらの方法で復元されないようさらなる対策を講じるようなことはなく、本気度は低いためジョークではないかと思っていた。

このランサムウェアを作成した韓国の大学生から我々にコンタクトがあり下記のように謝罪した。

私の予想どおりにこのランサムウェアはジョークのようだ。

上記内容が海外メディアのBleeping Computerなどで報じられました。

『RensenWare』は拙いプログラムのため、PCの構成に光学ドライブがあるだけでクラッシュするようですが、それに引っかからずに実行されると実際に暗号化が始まります。

犯人や一次ソースのBleeping Computerの専門家はこのマルウェアをジョークと言っていますが、実際に暗号化までしている時点でどこがジョークと言えるのでしょうか。まったく理解のできない感性をしています。

「ファイルを暗号化されたけど、な～んだ、ジョークか！」

なんて思う人がいるのでしょうか。こんな思考ができるなら、どうかしていると思います。

ジョークというのはPCなどに何も影響が出ないもののことを言います。万が一にもご年配の方が感染して対処できるのでしょうか。このソフトはジョークなんかではなく、れっきとしたマルウェアと呼ぶべきでしょう。

(Source:'Windows 10 destroyed our data!' Microsoft hauled into US court)

＜ザックリ意訳＞
イリノイ州の3人はMicrosoftに対して起訴を起こした。

訴状によれば　「Windows10は欠陥製品であり、Windows10のインストールよって引き起こされる潜在的な危険性や、システムの安定性とデータロストの危険性について、Microsoftは十分な警告を出さなかった」　として訴えている。

原告のStephanie Watsonは『勝手にWindows10にアップグレードされた結果、データも勝手に消されてコンピュータが機能しなくなった』と損害を主張している。

原告のHoward GoldbergとRobert Saigerは『Windows10へのアップグレードに同意したが、結果として上手くいかず、データがロストしてコンピュータが機能しなくなった』と損害を主張している。

この件についてMicrosoftの広報担当者は以下のように述べている。

「Windows10にアップグレードしないという選択肢もありました。また、31日以内であれば元のOSに戻すことができて、我々は無料のカスタマーサポートも行っていました。原告の主張は法的根拠のないものだと信じている」

上記内容が海外メディアのThe Registerで報じられました。勝手にWindows10にアップグレード事件の阿鼻叫喚から1年ほど経ちましたが覚えているでしょうか。Microsoft史上、最低最悪の事件なので早々忘れられるものではないでしょう。

ていうかですね、

こんなゴミクズなUIを作っておいてよくもまぁぬけぬけと　「Windows10にアップグレードしないという選択肢もありました」　なんて言えたものですね。悪意剥きだしで分かりにくくしたり、その『アップグレードしないという選択肢』の分かりにくさから消費者庁にまで注意を呼びかけられたことをもう忘れているのでしょうか。

で、同様のケースでMicrosoftは過去に訴えられていて既に負けています。

　【朗報】 MicrosoftとかいうWin10化ウイルスをばら撒いた糞企業、裁判所が1万ドルの支払いを命じる

今回の裁判では司法はどう判断するのか。続報が待たれます。

関連記事
【Win10】 海外メディアがWindows10の広告OS化に苦言