ゲームやOS、各種PC環境を快適にするためのニッチな情報
ザックリ翻訳
DELL固有のDSDTestProvider証明書は、eDellRoot証明書と同様の脆弱性を持ちます。先日公開されたeDellRootのアンインストールツールを使って削除することは出来ません。手動で削除する必要があります。この件に関して、DELLに問い合わせていますが、まだ回答は得られません。
(ソース:The Dell System Detect application also installs a self-signed root certificate on computers)
DELLの代わりにこの証明書について回答してみましょう。
「この証明書はお客様により良いサービスを提供するために使用されます。この証明書は、マルウェアやアドウェアではありません!」
どうせこんなところでしょう。ヘドが出るで候。
11/26追記
最後の続報書きました。
関連記事
【PC】 DELL製PCのファッキンルート証明書の続報
【PC】 DELL製のPCにSuperfishばりにファックなマルウェア搭載?
先日のeDellRootの件でDELLから公式発表がありました。以下ザックリ翻訳になります。
eDellRoot証明書はお客様に、より良い、より速く、より簡単にサポート体験を提供するために使用されます。この証明書は、マルウェアやアドウェアではありません。
私たちはこの証明書を使い、お客様のコンピュータモデルを識別することを可能にして、デルオンラインサポートで迅速にサービスを提供することを目的としました。
この証明書は、個人顧客情報を収集するために使用されていません。
サポセン「ではPCと接続させていただきますね」
質問者「はい、どうぞ」
サポセン「お使いのコンピュータは○○ですね?」
質問者「なんでわかったんですか?」
サポセン「分かるツールが組み込まれているからです」
こんな感じのやり取りが可能になるってことですよね。こっちが出していない情報が相手には分かるってことですよね。
たしかにやり取りが簡略化されて便利ではあるかもしれませんが、これを許可するかしないかの告知と選択肢は設けるべきでしょう。許可したくない人からすれば、不信感を抱かれても仕方が無いと思います。
ハッキリ言ってしまえば、「便利」だとか「お客様のため」だとかを大義名分として何を仕込んでいるかわからない企業、そう思われても仕方が無い説明だと思います。LenovoやMicrosoftみたいに。「客のためにやったんだ」と思っているようで謝罪も特にはありません。なるほどなるほど。
「客のため」って言っておけば何をやっても許される、問題がない、そう思っているのか、これを言い訳にしている糞企業は多いですよね。割とうんざりする。
そして問題は、この証明書自体が悪用しようと思えば可能となりうる脆弱性であることでしょう。
この証明書は下記のDELLサイトに自動アンインストールツールと、手動でのアンインストール方法が記載されております。ファックと思った方はどうぞ。
Information on the eDellRoot certificate
http://www.dell.com/support/Article/us/en/19/SLN300321/EN
DELLのPCに「eDellRoot」というルート証明書があり、悪用されれば暗号化された通信ですら割り込むことが可能で、重大な脆弱性となりうると各所で話題になっております。現在、DELLは調査中とのことで公式発表はまだありません。
今回の件で不信感を抱き、自己防衛したい人は「eDellRoot」を削除することが出来ますが、削除しても再インストールされる仕様となっているようです。
この再インストールを防ぐには「Dell.Foundation.Agent.Plugins.eDell.dll」というモジュールをシステムから削除する必要があります。
しかし、削除したことによって、PCの挙動にどのような影響が出るのかは明らかにはなっておりません。各種駆除をやろうと思っている方は、一応、バックアップを取ってから行った方が良いと思います。
消しても大丈夫のようです。詳細は下記の続報をどうぞ。
11/25追記
続報を書きました。
ソース
Duo Secrity
Dude, You Got Dell'd: Publishing Your Privates
The Register
Superfish 2.0 worsens: Dell's dodgy security certificate is an unkillable zombie
ザックリ意訳
ifwatch(あるいはWifatch)と呼ばれるマルウェアは、デフォルトのパスワードが設定されていたり、パスワードすら設定されていないオープンなWiFiの無線LANルータをハッキングして「あのさぁ、お宅のセキュリティガバガバなんですけど。パスワードを変えるとかしようや」というメッセージを通知します。このマルウェアの除去方法はデバイスをリセットすることで完了します。専門家は「このマルウェアは悪意のある活動は行っていない。しかし、法的には違法である」と述べています。
ソース
TechWorm
New Vigilante Malware Protects Routers Against Security Threats
Malware Battle
Helpful Malware Infected And Secure Routers
中々おもしろいマルウェアだと思いました。もう一点、おもしろいと思ったのは、このマルウェアのコード内に
「このメッセージを読んでいるNSA、FBIエージェントへ。あなたの行いは正しいか考えてください。スノーデンの例に倣うことも必要となります(※意訳)」
といったメッセージが含まれています。スノーデン氏というと一時期話題になったものの、最近ではあまり目にしなくなりました。スノーデン氏について知りたい方はWikiページをご参照ください。
そんなスノーデン氏ですが、先月末にツイッターを開始しました。うける。中々、米国を挑発していますね。
スノーデン氏のツイッター
https://twitter.com/snowden
WinRAR5.21の機能を悪用して、アーカイブ内の任意のexeファイルを実行出来る脆弱性があるそうです。↓こんな感じ。
対策方法としては
・WinRAR5.21を使わない
・そもそも信頼の出来ない圧縮ファイルに触れない
・他の圧縮・解凍ソフトを使う
など。
「これ絶対ウイルスだけどどんなウイルスが入っているか調べてみよう!」なんて好奇心で圧縮ファイルを解凍しようものなら、その時点でアウトになる可能性も。こわ…
ソース
RARLAB
About a supposed WinRAR self-extracting archives vulnerability
WCCF TECH
WinRAR Exploit Could Put 500 Million Users at Risk – Yet to be Patched
ザックリ翻訳
このアプリケーションは起動してから20秒後に悪意のあるフローを開始し、2時間ごとに悪意のあるファイル(バックドア)をダウンロードさせようとします。感染した場合、公式ROMをリフレッシュする必要があります。
ソース
Check Point Blog
BrainTest – A New Level of Sophistication in Mobile Malware
現在は公開が停止されているようです。海外ゲームということもあって手を出している人は少ないでしょうが、50万ダウンロードと中々の数なので、やっちまった人はROMをリフレッシュした方が良いかもしれません。
以下、余談。
この記事を書かれているCheck Pointという会社をご存知でしょうか。Zone Alarmというアンチウイルス系ソフトを作っています。無料版もあって使っている人もいるかもしれませんが、こちらのソフト、中身はカスペルスキーと同じエンジンが使われているので、もしかしたらGeForce355.98ドライバの不具合が発生するかもしれません、しないかもしれません。
WindowsUpdateでちょくちょく見かけるフォント関連の問題について、だらだらと対処方法を書き連ねていこうと思います。
5月KB3048074
特別な細工がされた文書を開いた場合や、TrueTypeフォントファイルが埋め込まれた信頼されていないWebページを表示した場合に、この脆弱性によりリモートでコードが実行される可能性があります。
7月KB3079904
特別な細工がされた文書を開いたり、埋め込まれたOpenTypeフォントを含む信頼されていないWebページにアクセスすると、リモートでコードが実行される可能性があります。
9月KB3086255
OpenTypeフォントファイルが埋め込まれた信頼されていないWebページを表示した場合に、この脆弱性によりリモートでコードが実行される可能性があります。
どれもこれもWebサイトを表示するとリモートでコードが実行される可能性有とのこと。
管理人が軽く検索した限り、Webサイトを見ただけでフォント経由でウイルス感染した、といったような情報は国内では見つからず。だからといって安心は出来ず、脆弱性があることは確か。
そこでふと思ったのですが、未知のフォント関連問題に対処する方法として、フォントのダウンロードを無効にすればいいんじゃね、と。
Internet Explorer
オプション ⇒ 「全般」タブ ⇒ 「ユーザー補助」 ⇒ 「Webページで指定されたフォントスタイルを使用しない」にチェックを入れる。「フォント」からお好みのフォントを指定。「セキュリティ」タブから「フォントのダウンロード」を無効。
Firefox系
about:config ⇒ gfx.downloadable_fonts.enabled ⇒ false
↑これでフォントのダウンロードを無効化して、設定のどこかにある「Webページが指定したフォントを優先する」のチェックを外す
この設定で、恒久的にWebサイトを見ただけでフォント経由による感染が防げるようになる、とまでは言い切れないものの、少なくともサイトに埋め込まれたフォントが読み込まれなくなり、セキュリティは向上するはず。信頼性のよくわからない海外サイトからも情報を拾ってくる人なんかは設定しておけば気休め程度にはなるかも。
問題点があるとすれば、どこのサイトを見ても同じフォントで表示。これを問題と思えるか、まったく問題なしと思えるかはその人次第。
あと、PDF等に埋め込まれたフォントへの対処は不可能です。あくまでWebサイトを見ただけで、フォント経由での感染が防げるかもしれない防げたらいいな、程度の気休め設定ということでひとつ。
実際にこれがどこまで有効な方法かは何とも言えません。ウイルス入りフォントを使ったサイトを探し出して、わざわざ踏みに行って確認、なんて酔狂な真似は管理人にはできまてん。ごめんちゃい。
備考
Webサイト指定フォントの優先を切らなくても、IEも火狐系もフォントのダウンロードを無効化するだけで問題ないかも?ただ、そうなってくると、もし、手元にないフォントを使っているサイトを表示させると、文字が表示されない可能性も?わからん。
そろそろWin7/8系でもDirectX12を動かせる超技術が出てきていないかと検索してみれば、どこからどうみてもマルウェア配布サイトでした。
実際にダウンロードも実行もしていませんが、この手のものはマルウェアと見て間違いないでしょう。FREE EXEて。アドレスは書きませんが、どんなマルウェアが仕込まれているか興味のある方は、一番大きい文字を自己責任でぐぐってどうぞ。
LinuxのWine先生の動向も気になりますが、Linuxにネイティブ対応したゲームでもWindowsに完敗だったこともあり、パフォーマンスを求めるのは酷かもしれません。
ソース
Internet Watch
POSシステムを狙う新たなマルウェア、「機能満載でサポート充実」を売り文句に地下フォーラムで販売
バイナリコードマルウェア設定に各種ツールも付属!バグフィックスにアップデートも無償でご提供!機能満載でカスタマーサポートも充実!お値段なんと…1,800ドル!
これ完全に深夜のテレビショッピングやないですか。
ソースはNHK。
「不正送金の新種ウイルス (全世界で)PC8万台余感染」
http://www3.nhk.or.jp/news/html/20150410/k10010043791000.html
感染者にはプロバイダから直でメールが来るそうです。とりあえず気になる人は、プロバイダからのメールチェックを。日本国内だけで4万4千台ってことは、ビンゴしてしまっている確率は中々なのかも。
それより、どういう挙動なのか、タスクスケジューラに登録されるとか、exeファイルが常駐するとか、サービスで自動起動するとか、その辺の情報が欲しかったのですが、残念ながら見つからない模様。
わかれば感染しているかどうか、自分で調べられるものなのですが。通信ログは取っていますが、管理人のPCに変な通信は無いようです。
通信ログ取りは↓のソフトが便利です。