「Rootkit
の話題って目立ちましたね・総集編」の続きです。
- アンインストール・ツールを悪用するWebサイト
- セキュリティ企業の衝撃
- ソニーBMG社に対する訴訟
- XCPの完全な除去は
- 問題はXCPだけでは無かった
- マイクロソフトの対応
- 年が明けてrootkit問題は
- マイクロソフトも今後rootkit対策を強化
- PCをコントロールする権利は誰にあるのか
1.アンインストール・ツールを悪用するWebサイト
前述の通り、ソニーBMGが問題のコンポーネントを削除するサービスパックを公開したは11月2日です。第四段階でソニーBMGの「rootkit」は、悪者が自分の姿を隠すのに悪用されはじめた(正確には報告された)のは11/10でした。
そしてダン・カミンスキーが「惑星ソニーへようこそ」で「少なくとも56万8200のネームサーバがrootkitに関連するDNSクエリーに答えている」と報告したのと同じ日、2005年11月15日にプリンストン大学のEd
Felten教授によって「ソニーが提供していたアンインストール用ツールによって、コンピュータに深刻な脆弱性が生じるおそれがある」と公表されました。
早くもその翌日、11/16 3:52 PM PST CNET News.com に Attack
targets Sony 'rootkit' fix と言う記事が投稿されました。ソニーBMGの「rootkit」CD修正用プログラムがさっそく攻撃の的に と。このアンインストーラの配布は直ちに中止されましたが、約半月の間にこのアンインストーラを使った人はかえって穴を広げてしまった訳です。
ソニーBMGのアンインストール・ツールを悪用するWebサイトが出現 (ITPro:2005/11/18)
ところが,同社のWebサイトで公開していたアンインストール・ツール(ActiveXコントロール)には問題があることが発覚。ツールの公開を中止した。ツールを悪用すれば,攻撃者のWebサイトへIEでアクセスしたユーザーに任意のプログラムを実行させることなどが可能となる。
そして今回,実際にツールを悪用するWebサイトが確認されたという。ソニーBMGのWebサイトへアクセスしてツール(ActiveXコントロール)をインストールしたユーザーが,それらのWebサイトへアクセスすると,パソコンを再起動させられたり,攻撃者が指定したプログラムがダウンロードおよび実行されたりする可能性があるという。
古いアンインストール・ツールを実行してしまったユーザーが取りうる回避策の一つは,Webページ中のスクリプトからローカルのActiveXコントロールを呼び出されないようにすること。
具体的には,IEのセキュリティ設定を変更する。「インターネット
オプション」の「セキュリティ」タブから,「インターネット」ゾーンのセキュリティレベルを「高」にすれば,ActiveXコントロールの悪用を防げる。「レベルのカスタマイズ」から「スクリプトを実行しても安全だとマークされているActiveXコントロールのスクリプトの実行」を「無効にする」ことでも防げる。
ただしこれらの方法だと,問題のActiveXコントロール以外も実行できなくなる。レジストリを変更すれば,問題のActiveXコントロールだけを呼び出せないようにできる。米Microsoftの情報によると,問題のActiveXコントロールのクラス識別子(CLSID)が{80E8743E-8AC5-46F1-96A0-59FA30740C51}
および {4EA7C4C5-C5C0-4F5C-A008-8293505F71CC} なので,これらに「Kill
Bit」を設定すれば悪用を防げるとしている。
国内ではAntinnyまでが・・・・
Antinnyを投下するトロイの木馬、コピー防止ソフト「XCP」で隠蔽工作か 2005/12/08
米Symantecは6日、「W32.HLLW.Antinny」を投下するトロイの木馬型ウイルス「Trojan.Welomoch」を警告した。コピー防止ソフト「XCP」を悪用して、Antinnyの存在を隠すという。
2.セキュリティ企業の衝撃
その一方でセキュリティ企業の間でもこの問題はかなりの衝撃を与えました。
SONY
BMGが加速した、セキュリティベンダーのrootkit対策 (1/2) 2005.11.17
マーク・ルシノビッチ氏は先日、SONY
BMGが自社のデジタル著作権管理(DRM)技術の存在を隠すためにひそかにrootkit的な技術を使っていることを指摘したが、スパイウェアの研究者たちは、そのかなり以前から、この物議をかもしているSONY
BMGのXCP技術の痕跡を、感染したWindowsマシン上で発見していたという。
問題は、彼らにはそれが何なのか見当がつかなかったことだ。
アンチスパイウェアフォーラムの常連であるエリック・ハウズ氏は次のように語っている。「皆、何カ月も前から、このrootkitに遭遇していたが、われわれにはそれがどこから来ているものなのかが分からなかった。ソニーと結び付けて考えるなど、誰にも思いつかなかった」
フィンランドのアンチウイルスベンダーF-Secureはセキュリティスイートに最初にrootkit探知エンジンを追加しているが、Symantec、McAfee、Trend
Microなど、そのほかの大手アンチウイルスベンダーにとっては、まだ本当の意味でのrootkit探知/削除機能は存在していない。
「技術的には、rootkit技術の方が理解が難しい。rootkitは実際にはウイルスでもマルウェアでもないからだ。rootkitは単に、見つからない場所にマルウェアを配置するためのツールだ。当然ながら、セキュリティソフトウェアを打ち負かすことが、rootkitの次なるステップとなるだろう」と同氏。
セキュリティ専門家のブルース・シュナイアー氏は
ソニーCDが明らかにしたセキュリティー業界の本質的問題(上) 11.17
ここで本当に眼を向けなければならないのは、われわれのコンピューター利用を支配しようとしている大手メディア企業と、われわれを守ってくれるはずのセキュリティー企業とが、なれ合っているのではないかということだ。
ソニーCDが明らかにしたセキュリティー業界の本質的問題(下) 11.21
現時点の推計でも、ソニーBMG社のルートキットに感染したパソコンは全世界で50万台以上にのぼる(日本語版記事)とされている。この感染台数は驚異的な数字で、『ブラスター』、『スラマー』、『コード・レッド』、『ニムダ』といったウイルスに匹敵する史上最悪規模の感染と言える。・・・
間違いではないが、推定200万台近いと考えれば「匹敵」ではなくそれを大きく上回るかもしれない。それはともかく、セキュリティ専門家のブルース・シュナイアー氏はウイルス対策ソフトベンダーの一見生ぬるい対応を強く非難します。
しかし、セキュリティー企業がルシノビッチ氏が気づくまでこの件を突き止められなかったことよりも、発覚後も沈黙を決め込んでいたことのほうが、はるかに大きな問題なのだ。いつもなら、新種のマルウェア(悪意のあるソフトウェア)が見つかると、セキュリティー企業は必死になってウイルス駆除とネットワークの感染防止に努める。しかし今回は違った。
米マカフィー社は11月9日になってやっと検出プログラムを追加したが、11月15日現在では、ルートキットの削除はせず、ファイルを隠す機能の除去しか行なっていない。同社自身、ウェブページでこれがひどい妥協の産物であることを認めている。最新のウイルス定義ファイルを使えば、「XCPの検出、駆除、再インストールの防止が可能」だとマカフィー社のウェブページに書かれている。XCPというのは、特定のファイルを隠すプログラムのことだ。「駆除を行なっても、CDからインストールした著作権保護メカニズムが損なわれることはありませんが、XCPのアンインストールが原因と思われるシステムクラッシュが複数報告されています」。何とも立派なご忠告だ。
米シマンテック社の場合、ルートキットへの対応は――好意的な言い方をすれば――良くなってはきている。同社は当初、XCPは断じてマルウェアではないと考えていた。そして、11月11日になってやっとファイルを隠す機能を除去するツールを発表した。だが、11月15日時点でも「このルートキットは、正規のアプリケーションを隠すために設計されたものですが、悪意あるソフトウェアを含む他のオブジェクトを隠す目的で使われる可能性もあります」との説明文を掲載しただけで、ルートキットに対してはっきりした評価は示していない。
これはしょうがないことでしょう。かつてアドウエアを検出・除去して訴訟を起こされたこともありますから。企業としては自分だけの価値観で人のPCからプログラムを削除することは出来ません。それなりの社会的コンセンサスが必要です。
この事件の意義はそのコンセンサスのきっかけになったことでしょう。そしてそれはこういう方向へ向かいつつあると思います。
ユーザーのPCをコントロールする権利は誰にあるのか 2005.11.25
3.ソニーBMG社に対する訴訟
この間にアメリカを中心にソニーBMG社に対する訴訟が始まります。
米テキサス州,ルートキット型コピー防止付きCDを巡ってソニーBMGを提訴 (日経 IT Pro,
2005.11.22)
電子フロンティア財団もSONY BMG相手取り集団訴訟 (ITmedia, 2005.11.22)
訴訟問題に解決を見たのは年が明けてからでした。
ソニーBMG、「rootkit」集団訴訟で和解が成立
2006/01/04
XCP
CDを購入した消費者は、200以上のタイトル一覧から好きなアルバム3枚をダウンロードするか、7.50ドルの返金とアルバム1枚を無料でダウンロードするかを選択できる。このインセンティブを受けるには、ソニーへXCP
CDを返却するか、11月14日以降に小売店にCDを返却したか、交換したことを証明するレシートを提示しなければならない。
4.XCPの完全な除去は
問題のrootkitですが、かなりしぶといものであることが日本語記事でも判ってきます。
元麻布春男の週刊PCホットライン: rootkit入り環境で各種セキュリティソフトを試す
(PC Watch, 11/25)
前回まで、何回かにわたってSony
BMGのrootkit問題について取り上げてきた。しかしそこには、rootkitによる被害を受けないためにはどうすれば良いのか、もしXCPが含まれたCCCDを再生したことのあるユーザーはどうすれば良いのか、という極めて重要なポイントが抜けていた。いつまでもXCPを非難しているだけでは何も解決しない。今回は、この点を考えてみたいと思う。
で、結論は、rootkitを無害化は出来るけど、「XCPの完全な除去は現時点では不可能」。
う~ん。(^_^;)
ソニーBMG が問題を解決したアンインストーラの新版をリリースしたのは12/4(US)です。
ソニーBMG,“ルートキット”を削除するツールの新版をリリース
(日経 IT Pro, 2005.12.05)
今回公開された新しいアンインストール・ツールは,サービス・パックの機能も備える。つまり,XCPをアンイストールするか,ルートキットの機能だけを削除するのかユーザーが選択できる。また,古いアンインストール・ツールをパソコンから削除する機能も備える。・・・
加えて同社では,今回の新ツール公開に併せて,XCPに関するページ(http://cp.sonybmg.com/xcp/)へのリンク「INFORMATION
ON XCP CONTENT PROTECTION」を,同社のトップページ(http://www.sonybmg.com/)に掲載した。
すぐにこうすればよかったのにと思いますが。
コピープロテクションXCPのアンインストーラを検証 2005.12.22
~rootkit問題ようやく決着?(元麻布春男の週刊PCホットライン)
アンインストールを選択すると、ファイルのコピー作業が行なわれ、すぐに処理は完了する。システムの再起動を促す画面3が表示され、再起動すると、system32フォルダからXCPは消えていた。ちなみに、ユーザーが無理やりXCPを削除し、WindowsがCD-ROMドライブを認識しなくなった状況を作り出して、アンインストーラを実行してみたが、ちゃんとCD-ROMドライブが復活することを確認した。
5.問題はXCPだけでは無かった
しかし問題はXCPだけでは無かったようで、XCPとはべつのCDコピー防止技術であるMediaMaxに関しても新たなセキュリティホールが有りました。
ところがSONY
BMGがやっと用意したXCPアンインストーラもプリンストン大学のEd
Felten教授はこのXCPアンインストーラもまたコンピュータに深刻な脆弱性が生じるおそれがあることを指摘されます。
SONY BMGのMediaMax脆弱性問題でEFFが対策に協力 2005.12.07
米ソニーBMG、別方式のCDも問題が発覚 2005.12.07
ソニーBMGのコピー防止機能付きCDでまた問題--今度はパッチに脆弱性 2005.12.9
EFFが態度一転、「SONY BMGのパッチはインストールしないで」 2005/12/09
また、MediaMaxの使用許諾契約を拒否しても、同技術が組み込まれたCDをPCのドライブに挿入しただけで、攻撃者がトラップを仕掛けられるようになることも分かったという。
フェルテン氏はWindows
PCユーザーに対し、MediaMaxのパッチを使わないこと、先日リリースされたMediaMaxのアンインストーラを使わないこと、MediaMaxが組み込まれたCDをPCのドライブに入れないことを勧めている。
SONY
BMGは8日に、「潜在的なセキュリティ問題に対応するため」として、新しいMediaMaxパッチをリリースした。さらに同社は同技術のアンインストーラもアップデートした。
6.マイクロソフトの対応
マイクロソフトがこの問題にコメントしたのは国内記事では11/13のMicrosoftも「駆除」決定でした。それが実際にでてきたのは翌12月の10日にリリースされた「悪意のあるソフトウェアの削除ツール V1.11
」が第一弾です。ウイルス対策掲示板 では・・・
投稿者/ Yukky -(2005/12/14(Wed) 01:10:31)
このウイルス対策掲示板 Ver. 2 でも話題になった
◆MS が Sony の Rootkit を駆除決定
http://antivirus.ddo.jp/abc/cbbs/cbbs.cgi?mode=all&namber=686&type=0&space=0&no=0#723
悪意のあるソフトウェアの削除ツール
V1.11で対応したようです。
◆ダウンロードの詳細 : Microsoft® Windows®
悪意のあるソフトウェアの削除ツール (KB890830)
http://www.microsoft.com/downloads/details.aspx?FamilyId=AD724AE0-E72D-4F54-9AB3-75B8EB148356&displaylang=ja
から「Windows-KB890830-V1.11-JPN.exe」をダウンロードし実行。
「このツールで検出および削除できる悪意のあるソフトウェアの一覧を表示します。」
をクリックすると、rootkit関連で「WinNT/F4IRootkit」があります。
◆Malicious
Software Encyclopedia: WinNT/F4IRootkit
http://www.microsoft.com/security/encyclopedia/details.aspx?name=WinNT%2fF4IRootkit
> Technical Analysis
>
> WinNT/F4IRootkit
is a kernel-mode rootkit distributed on certain Sony BMG audio
CDs.
> These CDs use the Extended Copy Protection (XCP) technology
developed by First 4 Internet Ltd (F4i).
Microsoft
がどういう表現をするか、少し興味があったのですが、名指しですね。
第2弾は2005.12.14 の月次Windows
Updateで MS05-054 をリリース。ランクは最上位の「緊急」です。
Internet
Explorer 用の累積的なセキュリティ更新プログラム (905915)
この更新プログラムはそのほかのセキュリティ関連の変更を含みますか?
この累積的な更新プログラムは First4Internet XCPアンインストーラ ActiveX コントロール Kill Bit
を設定します。・・・
このコントロールの古いバージョンにはセキュリティの脆弱性が存在していることが判明しました。このコントロールをインストールしたお客様を保護するため、この更新プログラムを適用すると
Internet Explorer
で古いバージョンのコントロールが実行されなくなります。すでにサポートされていないこのコントロールの古いバージョンに Kill bit
を設定することで、コントロールの実行を防ぎます。
12月のMSアップデートはSONY BMGのDRMも駆除 2005.12.14 ITmedia
「システムにXCPがインストールされていて、ユーザーが最初のアンインストーラを実行した場合に、今回のアップデートはその(ActiveX)コントロールを削除する」(フェルテン氏) Microsoftの不正コード削除ツールは、SONY
BMGのXCPをまだ削除していないユーザーが、同プログラムを削除するのに使えると同氏は語る。
MS、12月の月例パッチを公開--ソニーBMGの「rootkit」問題に関するものも 2005.12.14
Symantec Security ResponseのシニアマネージャーOliver
Friedrichsは、「これらの脆弱性を悪用して脆弱なコンピュータに悪質なソフトウェアをインストールし、オンライン詐欺を行うケースが次第に増えている」と声明の中で述べ、「Symantecは、こうした脆弱性の一部を悪用した攻撃をすでに検知しており、ユーザーにはなるべく早急にアップデートを適用するよう勧めている」と続けた。
マイクロソフトがウイルス削除ツールの新版,ソニーBMGの“ルートキット”に対応
2005.12.14
それを受けてマイクロソフトでは,「Windows
AntiSpyware(ベータ版)」や「悪意のあるソフトウエアの削除ツール」の新版において,該当プログラムを検出・駆除できるようにすることを11月12日に表明(関連記事)。その予告どおり,今回公開された新版バージョン1.11では,ルートキットの機能を持つXCPのモジュールを「WinNT/F4IRootkit」として検出・駆除する。
伝家の宝刀 Kill bit
が出てきましたね。最近おなじみです。ただしこのパッチ、及び悪意のあるソフトウェアの削除ツールはXCPをアンイストールするものではありません。それをやると法務的に問題が生じます。マイクロソフトが行ったのはその中のルートキットの機能だけを、そしてその最初のインストーラが作ってしまうセキュリティホールを塞ぐものです。XCPを除去することはソニーBMG が12/4(US)から配布を始めた新版アンインストーラだけです。
7.年が明けてrootkit問題は
年が明けてrootkit問題は思わぬ方向へ飛び火しました。Symantecの「Norton SystemWorks」にも「コンピュータに不正なファイルを隠す場所を攻撃者に与えかねないrootkitタイプの機能を使っていた」と。Symantecの当初の目的は、ユーザーが誤ってファイルを削除してしまわないようにするためだったが「攻撃者が最近利用する手口を考慮し、フォルダを隠すことの意味を見直した」と。
SymantecのNortonにもrootkit
2006/01/12
SONY
BMGのrootkitを指摘したWindows専門家マーク・ルシノビッチ氏と、フィンランドのウイルス対策企業F-Secureの研究者が、SystemWorksの問題を発見したとされている。
rootkit対策ユーティリティ「RootkitRevealer」の開発者であるルシノビッチ氏は、商業ベンダーがrootkitタイプの機能を利用するのは「非常に気掛かりなこと」だとしている。
「問題が起きる恐れがある場所に何かを隠すというのは非常にまずい考えだ。商業ベンダーにそうしたやり方がますます見られるようになっている」と同氏はeWEEKの取材に応えて語った。
「rootkitタイプの技術を使うと、たとえその目的が良いことであっても、ユーザーがマシンを完全にはコントロールできなくなる。持ち主がコントロールできなければ、そのシステムのセキュリティと健康を管理するのは不可能だ」(同氏)
ルシノビッチ氏は、Symantecは隠しディレクトリがユーザーにリスクをもたらすという警告を「非常に素直に聞き入れた」と語る。「SONY
BMGの場合は、rootkitは同社のために組み込まれていた。Symantecの場合、同社は本当に(問題の機能が)コンシューマーのためになると信じていた。わたしにはそのメリットが分からないが、同社には善意があったと思う。同社がこれを変更したのは、正しい対応だった」
F-Secureのウイルス対策研究ディレクター、ミッコ・ヒッポネン氏は、同社の「BlackLight Rootkit
Elimination Technology」も、Windows FindFirst/FindNext
APIから隠されたNProtectディレクトリを検出したとしている。
「2005年3月にBlackLightの最初のβ版をリリースしたときにこのことに気付いた。それから社内の研究室でテストを行い、Symantecでこの機能を確認した。これは大きな問題ではないが、同社がこれを修正したことをうれしく思う」とヒッポネン氏は取材の中で述べた。
ルシノビッチ氏もF-Secureも非常に言葉に気を使っていますね。
シマンテック、「Norton
SystemWorks」のセキュリティ問題を修正 2006/01/12
Symantecは、ソニーBMGのrootkit問題も調査したSysinternalsの研究者Mark
Russinovichと、rootkit検出ソフトを販売するフィンランドのセキュリティ企業F-Secureによる支援の下で問題を解決したとして、両者に謝意を述べている。
そもそもRootkit(ルートキット)って何なの? 判ったような判らないような、すっきりしない、とおっしゃる方は深呼吸をして、覚悟を決めてこちらをお読みください。
ルートキットの正体を暴く(前編)
2006年01月18日
ソニーBMGの音楽CDがユーザーのマシンに「Rootkit(ルートキット)」を組み込むことを発見したMark
Russinovich(ルシノビッチ)氏による「Rootkit」の解説記事です。
ルートキットとは,ソフトウエアを隠ぺいする技術を大まかに総称する言葉だ
ルートキット開発者は,「ROOTKIT」(http://www.rootkit.com/)というWebサイトを中心に活動している。そこには,ルートキットを叩くために活動していると主張する人々が集まっているが,場合によってはしっくりこない,そして物議をかもすルートキットが発表される。このWebサイトで発表されたルートキットには,「Vanquish」「FU」「Afx
Rootkit 2005」「NT Rootkit」「Hacker Defender」などがある。
ルートキットへ非常に簡単にアクセスできることを考慮すると,ここ数年間に野に放たれたウイルスの隠ぺいにルートキットが使用されていないというのは驚きである。もっと驚くのは,スパイウエアやアドウエアの開発者が,彼らの作成したソフトウエアをシステムの深部に侵入させるために,ルートキットを使用していないことである。マイクロソフトのカスタマ・サポート・サービスやウイルス対策ソフト会社が,ユーザーのシステムにインストールされたルートキットを発見するのは,比較的珍しいようだ。
しかしながら昨今,ルートキットがマルウエアの次なる戦場となることに研究者が気づき,ルートキットはマスメディアの大きな注目を集めている。メディアは,エンドユーザーに対してルートキットの危険性を警告しているが,同時にマルウエア作成者に対してルートキットの威力を喧伝することにもなった。いずれ,彼らは,年々強化されるウイルス/スパイウエア対策ソリューションに対抗するために,ルートキットを使用し始めるだろう。ディスクの再フォーマットとOSの再インストールでしか削除できないウイルス,スパイウエア,アドウエアなどがお目見えする日も近いはずだ。
ルートキット開発者は改良を重ねた。特定のプログラムを攻撃するのではなく,プログラムが情報入手に使用するAPI(アプリケーション・プログラミング・インターフェース)を攻撃するようになったのだ。例えば,実行中のプロセスのリストを取得するAPIの処理に割り込んで,アプリケーションに渡されるプロセス・リストからマルウエアのものを削除する仕組みになった。これによってルートキットは自身を,タスク・マネージャや,該当するAPIを直接的または間接的に使うその他のプロセス表示ユーティリティから隠す。現在のルートキットはこの手法により,ファイル,ディレクトリ,レジストリ・キーとレジストリ値,Windowsサービスとデバイス・ドライバ,TCP/IPポート,ユーザー・アカウント,そしてプロセスといったものを隠ぺいしている。当然ながらルートキットは通常,システム上のマルウエア・プロセスを見えなくするときに使われ,マルウエアがシステムを完全にコントロールできるようにする。
もっともハニーポットも同じような技術で作られていますが。
ルートキットの正体を暴く(後編) 006年01月19日
ルートキット技術を採用するマルウエアは,初めからシステムへの侵入を防ぐほうがいい。既にシステムに導入されているものを検出して取り除くのは容易ではないからだ。具体的には,ウイルス/スパイウエア対策ソリューションやファイアウオールを導入したり,管理者グループではないアカウントを使ったりといったセキュリティ対策を実施することになる。
(p2)
私もそれしかないと思います。入り込むことを防ぐのは簡単です。ウイルスやスパイウエア対策となんら変わるところはありません。SONY
BMG は例外中の例外です。
この後編には検出方法も紹介されていますが、これが出来るのは企業のセキュリティ部門か、セキュリティコンサルタント会社だけと思った方が良いです。私ですか? 一応企業のセキュリティ担当ですが、私には出来ません。その危険性があればさっさとリカバリして証拠のバックアップデータをセキュリティコンサルタント会社に渡します。解析するのに何百万円かはかかるでしょうね。見積もりを取ったことはないですが。
この記事はシステムの専門家向けよりさらに狭く、セキュリティ技術の専門家向けと考えてください。
8.マイクロソフトも今後rootkit対策を強化
SONY BMG の功績はこれまで目立たなかったRootkitに光を当てたことでしょう。Windows Vista、rootkit対策を強化 2006年01月25日
カーネルモードrootkitの脅威の高まりを受けて、MicrosoftはWindows
Vista x64版に認定されていないドライバがロードされないよう、大幅なポリシー変更を実施する計画だ。
今回の変更は実質的に以下のことを意味する。
- 管理者でないユーザーは署名のないデバイスドライバをインストールできない。
- 保護されたコンテンツをストリーミングする機器ではドライバに署名が必要。これにはPUMA(Protected User Mode
Audio)、PAP(Protected Audio Path)を利用するオーディオドライバ、PVP-OPM(Protected Video
Path-Output Protection Management)コマンドを処理するビデオデバイスドライバが含まれる。
- 署名のないカーネルモードソフトはx64ベースシステム上でロードされず、実行されない。ブート時のドライバ確認のパフォーマンスを最適化するには、ブートドライババイナリに、署名付きの.catファイルに加えてPICが組み込まれていなければならない。
Microsoftはまた、今回のポリシー変更はシステムクラッシュの診断を向上させる役に立つとも述べている。
マイクロソフトはOSレベルでの対応計画を発表しました。Sunはどうでしょう? Linax
はどうなの?
本当を言うと、アカウントと権限の問題なのです。セキュリティホールが無いかぎりは。ここでも大きな問題は、システムよりもそれを利用・運用しているユーザ側のアカウントと権限のあつかいがいい加減なことではないでしょうか。
マイクロソフト? OSからしてそこがいい加減だったんじゃありませんか? 歴史的に。
まあ、PCの世界にシステム管理者のコントロールなんて概念が出てきたのはほんのこの数年のことで、それも一部の大企業だけの話しです。歴史的に管理者=ユーザ、つまりホストコンピュータやセンターサーバの世界の管理者なんかPCには居ません。歴史的にと言うのはそういう意味も含みます。
9.PCをコントロールする権利は誰にあるのか
更に余震は続きます。問題の所在はこのタイトルが良く表していると私は思います。
ユーザーのPCをコントロールする権利は誰にあるのか 2005.11.25
一部のコンピュータユーザーが知的財産権を尊重しない態度を示しているとすれば、ソニーBMGのコンテンツ保護ツールのほうにも、同じように、PCユーザーが自分のマシンに対して抱く所有権の感覚を全く無視した態度が見られたとする批判的な意見もある。
MicrosoftのMossは、「5~10年ほど前の予想さえ大幅に上回る数の人々がPCを使っている。われわれはいま移行期にあり、バランスを見つけ出すという課題を抱えている」と付け加えた。
一方でこういう動きも。Symantecは自社製品に関して問題を指摘される以前から複数の業界団体に接触し、rootkitの定義を作成するよう持ちかけていたようです。
「Rootkit」が「Rootkit」でなくなる日は来るか
―業界団体が定義の作成へ
(1/3) 2006年01月24日
ご自分でじっくり読まれることをお勧めしますが、時間の無い方は以下のサマリだけでも。
ウイルス対策企業Symantecの支援を受けて、rootkitを明確に定義するベンダー中立的な取り組みが進行中だ。だがセキュリティ専門家は、こうした取り組みは、rootkit技術から危険な部分を抽出して利用するのを合法化してしまう恐れがあるとして、憂慮している。
Sony
BMGがデジタル権利管理(DRM)の一環としてrootkit技術を使用していたことに社会の非難が集中し、リスクに対する認知度も高まったが、rootkitという言葉の使われ方は、Sonyの場合とSymantecの場合では「まったく異なる (Symantec)
「セキュリティについて語るときは、悪質(かつ危険)なrootkitとクローキング技術の違いを明らかにする必要があると考えている。マルウェアは、クローキング技術を悪用することはできない」(カスペルスキー氏)
一方、ルシノビッチ氏も自説を曲げない。同氏は自身のブログ「Systinternals」やeWEEKによるインタビューにおいて、どのような定義に基づくものであれ、rootkit技術の使用を正当化することは「絶対にできない」と断言している。
Sunbelt
Softwareでマルウェア研究の指揮を執るエリック・ハウズ氏も、ルシノビッチ氏の考えを強く支持している。「悪意がないからといって、深刻なセキュリティ問題ではないとは言えない。こうした事実を念頭に置いておく必要がある」(ハウズ氏)
「定義は有益な場合もあるが、今回の動きには、rootkit技術の危険な部分を合法的に利用できるようにしたいという、真の意図が見え隠れしている。そうした偏狭な目的の下でrootkitを定義し、定義そのものに悪意が込められる事態になるのではないかと、大きな不安を感じている。このままでは、企業が情報開示の抜け穴に隠れるようになってしまう」(ハウズ氏)
ハウズ氏はさらに、「厳格な定義が作られたが最後、消費者は手も足も出なくなる。われわれは、アドウェアやスパイウェアでこうした経験をすでにしている。最低限の情報開示を規定して法律上は問題が起こらないようにし、つけはエンドユーザーに回すというわけだ。だが、告知や情報開示が実際どのように行われているのか、われわれはよく知っている」と述べた。
この問題に関連してLarry Seltzer氏のこの記事も読まれることをお勧めします。
SONY BMGが犯した大きな罪とは? 2005年11月22日
私は最近、あるセキュリティの討論グループで、セキュリティの権威であるソロモン博士(その後McAfeeによって買収された有名なウイルス対策製品の作者)と一緒になった。同氏は、SONY
BMGのrootkitはなぜウイルス対策製品が探知すべき存在なのかという疑問を投げ掛けた(もちろん、レトリックとして)。その主要な答え、そしてrootkitが脅威である理由は、rootkitがDRM機能を実行するからではなく、rootkitが自身の存在を隠しながら、こそこそと第三者にシステムをさらしているからだ。
これは私も心底そう思います。
