• 前置き
  • 実はvvvウイルスの感染数は増えている
  • Flashはいつ無くなるのか
• おさらいvvvウイルス（Telsacrypt2.2.0）
  • メールも添付ファイルさえ開かなければ大丈夫というわけではない？
  • ドライブバイダウンロードの流れ
  • エクスプロイトキットとは
  • ちゃんとOSやプラグインを更新して、セキュリティソフトを入れてもエクスプロイトキットがゼロデイ攻撃してきたらどうしょうもないのではないか？
• どちらかは入れたほうがいい？！ゼロデイ攻撃に特化したセキュリティソフト２つ
  •  １．Malwarebytes Anti-Exploit　（筆者インストール済み）
  • ２．Enhanced Mitigation Experience Toolkit
• 統合型セキュリティソフト
  • カスペルスキー
  • ソースネクスト スーパーセキュリティZERO
• 無料のアンチウイルスソフト+無料のファイアーウォール
  • AviraFree + Comodo Firewall　（筆者インストール済み）
• ホワイトリスト型セキュリティソフト
  • DefensePlatform　（無期限無償版あり）　（筆者インストール済み）
• 未知の脅威を先読みするセキュリティソフト
  • Mr.F　FFRI
• 無料のサブ？セキュリティソフト
  • Malwarebytes Anti-Malware　（機能制限無償・有償あり）
  •  複数のアンチウイルスソフトで検査してくれるオンラインサービスVirus Totalに簡単にアップしてくれるフリーソフト　PhrozenSoft VirusTotal Uploader　（筆者インストール済み）
• プラグインの更新確認ツール
  • MyJVNバージョンチェッカ　（筆者インストール済み）
  • Qualys BrowserCheck
• ボリュームシャドウコピーを有効に使う
  • データフォルダは編集不可にする
• おまけ
  • アドウェア・不要ソフトウェアのインストールを警告してくれるソフト
  • Unchecky - Keeps your checkboxes clear
  •  カスペルスキー製の無償パスワード管理ツール　Kaspersky Password Manager
  • オンラインバンキング用フィッシング詐欺対策ツール　PhishWall

 

前置き

実はvvvウイルスの感染数は増えている

話題の盛り上がりは落ち着いてきたましたが、感染はむしろ増加傾向にあるようですね。

vvvウイルス(teslacrypt)については感染源はやはり広告やweb改ざんからのFlashの脆弱性といったブラウザからと、メールの添付ファイルやフィッシングサイト誘導などの手段のようです。

 

vvvウイルス「日本への流入は少量と見ていたが…」、トレンドマイクロが警戒強める - インターネットコム
http://internetcom.jp/busnews/20151211/is-vvv-virus-still-dangerous-for-japanese.html

 

 （画像トレンドマイクロより）

 

今のところWEBサイトということが前面に出ている感じですが、メールも気をつけたほうが良さそうですね。

メーラで基本htmlを表示させないほうが良いと思いますし、Java、Flash等プラグインを出来るだけオフにしましょう。

 

Flashはいつ無くなるのか

ジョブズに叩かれている時から結構たちましたが、Flashは終焉に向かってるんでしょうか。

元々マクロメディア社の技術者が抜けてソースもスパゲッティでワケワカメという書き込みを見たことがあります。

Adobeが「Flashを使うのをやめよう」ということで名前をFlash Professionalから「Adobe Animate CC」に - GIGAZINE
http://gigazine.net/news/20151202-adobe-animate-cc/

  

イギリスの大手ニュースサイトThe IndependentやDailyMotionも感染源になっていたみたいですね

 The Independentについては、Wordpressの脆弱性をついて改ざんされたようです。つまり広告ブロックは根本的な解決にならないということですね。

 ※Wordpressに限らずにいえば日本でも企業や官公庁のサイトが多く改ざんの被害をうけているようなので、日本の被害が増えてきたと話題になってから対処したのでは遅いと思います。

 

Malvertising Hits DailyMotion, Serves Up Angler EK | Malwarebytes Unpacked

 

vvvウイルスにピンポイントで気をつければ安心というわけでもないので、これを機にパソコンやスマホのセキュリティを高くするといいのではないでしょうか。

因みに会社で感染した方もいるそうで、サーバーのファイルが暗号化されて大変だったみたいです。

また、来年はiOSがドンドン狙われる年になりそうということです。

と書くとスマホのセキュリティ対策みたいな感じですが、そのうち書きたいと思います。

 

おさらいvvvウイルス（Telsacrypt2.2.0）

なぜWEBサイトを閲覧するだけでウイルスが実行されてしまうのか？

実験のために検体を入手しましたが、vvvウイルス本体はexeファイルでした。

このexeファイルがTelsacrypt2.2.0。実はこのexe自体は検知出来るウイルス対策ソフトは多かったみたいです。

少しコンピュータになれている人だったら、ブラウザが勝手に保存し始めた心当たりのないexeファイルなんて絶対に開かないですよね。

※もし開いてるんだったら絶対やめましょう。

 

WEBサイトを閲覧しただけで、exeファイルをダウンロードも実行もしていないのに、勝手にウイルスのexeファイルをダウンロードして実行されてしまう。

これがドライブバイダウンロードというものらしいです。

 

メールも添付ファイルさえ開かなければ大丈夫というわけではない？

メール経由の感染については詳細を見てないのですが、メーラもwebブラウザ機能を有してることが多く（IEコンポーネントなのかmozillaなのかwebkitなのか分かりませんが）、ドライブバイダウンロードの攻撃の対象になりえそうですね。

僕はサンダーバード使ってるんですが、今アドオン見たらびっくりしました。flash有効なんですね。

メーラの画面でflash必要とするサイトなんてみないんですけどねぇ・・・

正直めったに開かないのでメーラのセキュリティなんて気にしたことなかったのですが、もっと意識しないとだめですね。

すぐ無効にしました。（あとなんでゲームのプラグインが入ってるんだろう・・・）

 

ドライブバイダウンロードの流れ

１．Dailymotionなどの悪意のある広告が配信されてしまったWEBサイトを閲覧する。

２．悪意のある広告に埋め込まれたJavaScript等で、ウイルスをダウンロード、実行させるためのページに転送される（読み込ませる）

３．エクスプロイトキット（Angler Exploit Kit）が実行され被害者のPCの脆弱性をスキャンする。今回はFlashの脆弱性CVE-2015-7645だったようです。（10月に修正済み）

４．Flashの脆弱性CVE-2015-7645があればvvvウイルス（Telsacrypt2.2.0）が被害者のパソコンにエクスプロイトキットによって勝手にダウンロードされ、勝手に実行されてしまう。

５．あとは有名なこの状態になるだけですね。

 

エクスプロイトキットとは

※エクスプロイトキット　Exploit KitとはOS、ブラウザ、プラグイン等の脆弱性をスキャンして該当の脆弱性があればウイルスを実行させるツールのことのようです。問題なのは既知の脆弱性だけではなく、ゼロデイ（修正前）の脆弱性も盛り込まれてる場合があるようです。今回のVVVウイルスを感染させたExploit KitはFlashの既知の脆弱性を利用していたようですが、タイミングによってはゼロデイ攻撃もあるようです。

また、頻繁に更新されているようでエクスプロイトキット自体を検知して防ぐのも中々難しいようです。

もちろんFlashだけでなく、java、OS、ブラウザ、Adobe Reader等が標的になることが多いとのこと。

Exploit Kit自体は技術力の高いクラッカーが作っていて時間課金等で使えるそうです。

※エクスプロイトキットの中にはカスペルスキーやトレンドマイクロのセキュリティソフトが入っていると攻撃をやめる種類のものもあるようです。掲示板などではこれをうけて偽装出来ないか？と書いてありましたが、ドライバフォルダの中に不要なものを入れて無害かわからないので何ともいえないです。ただファイル名をチェックしているだけのように見えるので、適当に同ファイル名のものをドライバフォルダに突っ込んでおけばカラス避けぐらいの効果があるかもしれないです。本物が必要なら体験版をインストールした後にそれをコピーしておけばいいのではないでしょうか。

 

エクスプロイトキットイメージ例：

 

 

ちゃんとOSやプラグインを更新して、セキュリティソフトを入れてもエクスプロイトキットがゼロデイ攻撃してきたらどうしょうもないのではないか？

２大ガバガバプラグインのJAVAはいっそ消してしまって、Flashはクリックしてから実行という設定にするのはどうでしょうか？

しかし両方とも使いますよね。JAVAはマインクラフト等で必要ですし、Flashは動画サイトで未だに使われてるし。

ただJAVAのブラウザのプラグインは基本無効にしたほうが良いと思います。

 

JAVAもFlashも使いたいけどエクスプロイトキットやゼロデイ攻撃を検知するツールがMalwarebytes Anti-ExploitとEnhanced Mitigation Experience Toolkitのこの２つです。

 

どちらかは入れたほうがいい？！ゼロデイ攻撃に特化したセキュリティソフト２つ

 １．Malwarebytes Anti-Exploit　（筆者インストール済み）

通称MBAEというらしいです。

今回のvvvウイルスを防げてたっぽいです。

Flashだけでなく、ブラウザや他プラグインの脆弱性を突かれる段階で弾けるので、より安全ですね。

他の統合型セキュリティソフトと共存可能とのこと。

簡単でいいと思います。

僕もインストールしました。

ただadobe Reader等の対応は有料です。

僕はPDFはchromeやその他ソフトで読めるので消してます。また、chromeでもPDFは自動再生されないようにしています。

 

脆弱性緩和ツール「Malwarebytes Anti-Exploit」v1.08、フィンガープリント検出に対応 - 窓の杜
http://www.forest.impress.co.jp/docs/news/20151112_730227.html

 

公式　Malwarebytes | Malwarebytes Anti-Exploit - Free Zero-Day Exploit Protection
https://www.malwarebytes.org/antiexploit/

 

 

 

２．Enhanced Mitigation Experience Toolkit

マイクロソフト謹製の脆弱性緩和ソフトらしいです。通称EMET。

MBAEより少し設定が必要。といっても簡単っぽいですね。

そのうち試して記事にしたいと思います。

※12/11現在、2chを見ると早く更新してくれとかそういう書き込みがあるので、今から使う人はまずはMBAEを入れて様子見でも良い気がします。

 

Enhanced Mitigation Experience Toolkit（EMET） - 窓の杜ライブラリ
http://www.forest.impress.co.jp/library/software/emet/

 

今からはじめるMicrosoftの脆弱性緩和ツール「EMET 5.0」・第3回 - EMET 5.0の基本的な使い方 (1) EMET 5.0のメインウィンドウと構成 | マイナビニュース
http://news.mynavi.jp/articles/2014/09/09/emet50-3/

 

 

 

統合型セキュリティソフト

カスペルスキー

カスペルスキー｜ウイルス対策ソフト｜インターネットセキュリティ

記事にはしてませんが、実験してみました。

カスペルスキーの体験版をダウンロード（パターンファイルは８月の状態）、インストールしたらパターンファイルが古いのにVVVウイルス（TeslaCrypt）を検知・削除してくれました。

zipから解凍したらすぐ削除してくれたので安心ですね。

検出率と対処の早さからなんとウイルスの方から逃げていく場合もあるらしいです。

ファイアーウォールもカスペルスキー製のがついてるので安心な気がします。

 

 

 他の統合型セキュリティソフトはあまり興味が持てなかったので割愛。

※因みに私はメインでaviraFree使ってますが、vvvウイルスは当初検知出来なかったみたいです。おそらく現在は出来ると思います。使い慣れていて今更変更するのが面倒なので、DefensePlatformやMBAE等で対処していきたいと思います。

 

ソースネクスト スーパーセキュリティZERO

スーパーセキュリティ｜更新料0円 ウイルス対策ソフト ZERO｜ソースネクスト・サイト
http://www.sourcenext.com/product/security/zero/ss/

 

多分ひと目でこりゃダメだろって思う方が多い気がしますが、海外のレビューサイトで最高レベルの評価をもらってるBitdefender（ルーマニア）という製品のOEM版のようです。

6点満点中6点と検出率やパフォーマンス、使いやすさ非常に優れていると評価されてます。

Test antivirus software for Windows 7 - August 2015 | AV-TEST
https://www.av-test.org/en/antivirus/home-windows/windows-7/

 

ただカカクコム等の評価を見ると怖いことになってるので、アンチがいるのか本当に不具合が多いのかはちょっと分かりません。

無料版もありますが、日本語表示ではないのと製品版とそもそも同じエンジンなのか不明らしいです。

4000円程度でOSのサポート期限まで使えるらしいのでコスパ的にはいいんじゃないでしょうか。

僕はちょっとソースネクストって時点でなんか使いたくないです。ごめんなさいソースネクストさん。

 

もう一つのウイルスなんとかゼロの方はエンジンがAhnlab（韓国）らしいです。

 

 

 

無料のアンチウイルスソフト+無料のファイアーウォール

AviraFree + Comodo Firewall　（筆者インストール済み）

でいいんじゃないでしょうか。たまに相性が悪いとか見ることもありますが、セキュリティソフトの組み合わせはどうしてもそういうことが起きると思います。試行錯誤するしかないかもしれないですね。

 

Avira Free Antivirus(アビラ フリー アンチウィルス)のダウンロード : Vector ソフトを探す！
http://www.vector.co.jp/soft/dl/winnt/util/se494419.html

 

Comodo Firewall 8.0 - 入手、インストール、日本語化順序
http://mikasaphp.net/cfw_install.html

  

噂だと感染してしまった方はAviraFreeを使っていたということですが、また噂によると12/1に対応済みだったようです。

Antivirus scan for 4e784340f5a1ba34f3c2fee2bc3151aca4dbaf270c610d70bd6438abbb9ef95f at 2015-12-02 11:40:22 UTC - VirusTotal
https://www.virustotal.com/ja/file/4e784340f5a1ba34f3c2fee2bc3151aca4dbaf270c610d70bd6438abbb9ef95f/analysis/1449071631/

 

 ただ無料のセキュリティソフトの検出率をいくら競っても仕方がない気がするので、気に入ったのでいいんじゃないでしょうか。（適当）

 それよりもコンピュータを最新に更新するのと「MBAE」、「DefensePlatform」等を利用することの方が大事なきがしますね。

 

 

ホワイトリスト型セキュリティソフト

DefensePlatform　（無期限無償版あり）　（筆者インストール済み）

ホワイトリスト型でAPIを監視してシステムを守るタイプ。

使いこなせばゼロデイ攻撃にも新種のウイルスにも対応出来る可能性が高い最強クラスのセキュリティソフト。

有償との違いはリスト登録数が１０００件まで。

有償版は２０００円。

VVVウイルスについては私が実験して防げることを確認済みです。

官公庁はこれのSePという方を入れたほうがいいのでは・・・。

 

 

testan.hatenablog.com

 

 

以下のECカレントかact2ストアから無料ダウンロード出来ます。

新規購入・ライセンス更新のご案内｜ディフェンスプラットフォーム Home Edition｜ハミングヘッズ　
http://www.hummingheads.co.jp/pd/dep/storelist/index.html

 

 

 

未知の脅威を先読みするセキュリティソフト

Mr.F　FFRI

検知・防御出来たことを公式で確認済みとのことです。

http://www.ffri.jp/assets/files/docs/1909/release_20151208.pdf

 

Mr.F　FFRI プロアクティブ セキュリティ 製品概要│セキュリティ・リサーチのFFRI（エフエフアールアイ）
http://www.ffri.jp/online_shop/proactive/index.htm

こちらは有料で８５００円とのことです。

 

僕は残念ながら試していません。

こちらは他のウイルス対策ソフトとは基本的に共存しないとのことです。

・Windows Defender
・Microsoft Security Essentials

は共存出来るとのこと。

 

Mr.F　FFRIも国産ソフトのようです。すごいですね。

 

DefensePlatformを使いこなすのが難しいという方はこちらがいいのかな？

ただ併用できるセキュリティソフトが心もとない気もします。

 

 

無料のサブ？セキュリティソフト

Malwarebytes Anti-Malware　（機能制限無償・有償あり）

download.cnet.comでも５位の人気のソフトのようです。

しかしリアルタイム常駐監視保護は有償版の機能のようなので、メインのセキュリティソフトが検出出来ずにウイルス感染してしまった後の対策という使い方にいいのではないでしょうか。

逆に常駐しないので、他のセキュリティソフトと併用出来ると思います。

VVVウイルスも駆除可能のようです。

 

Malwarebytes Anti-Malwareの使い方 無料ウイルスチェック駆除ツール 偽セキュリティソフト・アドウェア削除アンインストール

http://www.geocities.co.jp/Playtown-Yoyo/6130/notes/malwarebytes-anti-malware.htm

  

公式ダウンロード

www.malwarebytes.org

 

 複数のアンチウイルスソフトで検査してくれるオンラインサービスVirus Totalに簡単にアップしてくれるフリーソフト　PhrozenSoft VirusTotal Uploader　（筆者インストール済み）

PhrozenSoft VirusTotal Uploader - ｋ本的に無料ソフト・フリーソフト

http://www.gigafree.net/security/antivirus/PhrozenSoftVirusTotalUploader.html

 

 Virus Totalのようなオンラインで複数のエンジンで検索してくれるサイトは便利ですが、中々サイトを開いてアップして～というのがおっくうですよね。

これを使えばすぐアップ出来るので便利だと思います。複数一気に出来ます。

私もインストールしました。

 

プラグインの更新確認ツール

MyJVNバージョンチェッカ　（筆者インストール済み）

JAVA,FLASHなど簡単に確認出来ます。

Qualys BrowserCheck

webサイトになります。ブラウザのプラグイン等が最新か確認出来ます。

https://browsercheck.qualys.com/

 

 

ボリュームシャドウコピーを有効に使う

 前のエントリで書きましたがボリュームシャドウコピーという自動バックアップ機能が生きていれば、シャドウエクスプローラというフリーソフトで復元出来る可能性があるのできちんと設定しておきましょう。

 

testan.hatenablog.com

 

・ボリュームシャドウコピーを適切な設定にしておく

・UACを有効にしておく

・シャドウエクスプローラ予めをインストールしておく

 

データフォルダは編集不可にする

編集をしないデータについては、フォルダごとやドライブごと等でまとめてフリーソフトなどでアクセス制限をかけて編集不可にしておくと被害を減らせると思います。

 

おまけ

アドウェア・不要ソフトウェアのインストールを警告してくれるソフト

Unchecky - Keeps your checkboxes clear

http://unchecky.com/

  

 カスペルスキー製の無償パスワード管理ツール　Kaspersky Password Manager

【レビュー】カスペルスキー製の無償パスワード管理ツール「Kaspersky Password Manager」 - 窓の杜
http://www.forest.impress.co.jp/docs/review/20150220_689378.html

 

インストールしてみる予定です。

オンラインバンキング用フィッシング詐欺対策ツール　PhishWall

PhishWallクライアント | PhishWall | 株式会社セキュアブレイン
http://www.securebrain.co.jp/products/phishwall/install.html

 

 

よかったらはてブや感想、アドバイス等していただけると嬉しいです！