Defend what you create

その他

  • free.drweb.co.jp: 無料ユーティリティ、プラグイン、インフォーマー
  • av-desk.com: Dr.Web AV-Deskサービスプロバイダーのためのインターネットサービス
  • curenet.drweb.co.jp:ネットワーク修復ユーティリティDr.Web CureNet!
閉じる

マイライブラリ
マイライブラリ

+ マイライブラリに追加

電話
24時間体制サポート | テクニカルサポート利用方法

お問い合わせ履歴

電話する

+7 (495) 789-45-86

Profile

ニュース一覧に戻る

大見出し、小ニュース

2017年7月19日

株式会社Doctor Web Pacific


パニックを呼んだ見出しが付いたニュース記事について、私たちの意見を何点かお伝えします。例えばこの記事では、アンチウイルス対策ソフトがある種類のマルウェアを検出できないと主張されています。

「ウイルス対策ソフトやファイアウォールはどちらもマルウェアを検出できず、ブロックもできない。そのためマルウェアは感染したホストにあるデータを自由に収集できてしまう。」

悲しいことにこの文章はITプロフェッショナルを対象としていたものであり、この意見が正確ではないと指摘できた人はいませんでした。 どこが間違っているのかを見ていきましょう。

最近、Anti-virus Timesの読者は、攻撃者がIntel AMT(Intel Active Management Technology)をどのように悪用できるかについて議論しました( https://www.drweb.com/pravda/issue/?number=237&lng=enを参照 )。我々は同様の問題について、Intelの技術は犯罪者にとって大きな可能性を秘めてはいるものの、脆弱性があるにもかかわらず、Intel AMTは未だに悪用されていないと指摘しました。

1~2ヶ月後:

ハッカーは感染したPC間でIntel AMTを利用してメッセージを転送している。

MicrosoftはIntel AMTが攻撃者によって悪用される可能性があることをユーザーに警告した。

Intel AMTは攻撃者によって悪用される可能性があるのでしょうか?

Intelマネジメントエンジン (ME) はIntelシリアルオーバーLAN (またはAMT SOL) を搭載しています。 Intel MEはIntelチップセットの一部であり、CPU、オペレーティング・システム、インストール済みのセキュリティ・ソフトウェア (ウイルス対策ソフトウェアを含む) とは独立して、内蔵プロセッサ上で独自のオペレーティング・システムを稼働します。 ウイルス対策ソフトはドライバと同時にファイルで実行されますが、Intel MEはハードウェアレベルで動作します。 さらに、Intel MEはコンピュータ (およびCPU) がシャットダウンされても管理者や攻撃者が使用することができますが、PCはネットワークを介してアクセス可能な状態のまま残ってしまいます。

内蔵のIntel MEプロセッサは、リモートにあるパワー・サイクリングやキーボード、ビデオ、マウス制御 (KVM) など、アウトオブバンド (OOB) 方式のリモート管理機能を提供する。

SOLはホスト上で接続が利用できない場合でも、ローカルネットワーク上の通信を手助けすることができる。

マルウェア自体に関する意見:

マイクロソフトによれば、SOLを使用するマルウェアは、南アジアや東南アジア地域で数年間活発に活動してきたPlatinumグループの仕業だとのことだ。そのサイバー・スパイグループは2009年に注目を集めて以来、多数の攻撃を行ってきた。昨年Platinumは、システムを再起動しなくとも更新プログラムを適用できるMicrosoftのホットパッチを悪用して、標的のホストにマルウェアをインストールしたと言われている。

まとめに入りましょう。普通のオペレーティング・システムにインストールできるマルウェアはありますが、それは特定のプロトコルを使用してネットワーク経由で通信しなくてはなりません。

確かにウイルス対策ソフトはAMT SOLプロトコルの解析や分析を行いません。 しかし、プロトコルはシステムを感染させるために使用されないため、その部分の解析や分析は必須ではありません。プロトコルは過去にインストールされたマルウェアとの通信を支援するためだけに使用されます。 つまり、この脅威を排除する方法は、コンピュータにマルウェアがインストールされないようにすることだけです。 つまりユーザーのアクセス権を制限し、ウイルス対策ソフトをインストールするだけです。

最後にもう一つ。

侵入者が攻撃を実行するためには、まずは管理者にアカウント情報を漏らさせる必要がある。

#technologies #vulnerability #anti-virus_scan #security_updates #password

Tell us what you think

You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。

1992年に製品の開発をスタートしました。

Dr.Webは世界200ヶ国以上のユーザーに利用されています。

2007 年、アンチウウイルスサービス(SaaS)の提供が開始しました。

24時間体制サポート

© Doctor Web
2003 — 2019

Doctor Webは、ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。その製品の開発は1992年に始まりました。

株式会社Doctor Web Pacific 〒105-0003 東京都港区西新橋1-14-10 西新橋スタービル 2F