めもちょう。

オヤジはこれだから！

ひさしぶりのセキュネタ。
Norton Internet Securityの使用期限が切れました。

Nortonシリーズの2008版が出たあたりからコミケ準備でわたわたしていたせいもあって
情報を一切調べなかったワタクシ。
期限切れ当日になって「2007を更新」しようと思ったらSymantecのサーバーになかなか繋がらず挫折
全く前情報のないまま、2008をダウンロード購入しました。

メール受信ができません・・・

Beckyちゃん（メーラー）からはサーバーに接続できないって言われるし
Norton親父（我が家ではピーター・ノートンを「親父」よばわりです（笑））は
「問題が発生したため、Symantec Service Framework を 終了します。ご不便をおかけして申し訳ありません」
というエラーメッセージを残して落っこちる。

どうしよう・・・困ったなあ。
とりあえずエラーメッセージでググってみるか・・・

・・・（検索中）

うわいっぱい出てきた！

検索結果ページにうまいことリンク張れないんでやめますが（気になる方はご自分でググってくだされ）
とにかく同症状ネタのblogやQ&Aサイトのやりとりがボロボロと！
Outlook ExpressやVista標準メーラーなど、Becky以外でも同様の症状が起こってるようで
どうやらNISと特定メーラーの相性というよりは、Nortonが原因（つーかバグ）っぽい。
で、先人の皆様がSymantecに問い合わせて教えてもらった対処方法はというと

電子メール保護を無効にする

つまり、メール送受信時のリアルタイムスキャンをやめるということです。
（ただしそれで一度問題なく受信できたら、もう一度有効にして様子を見るべしとのことですが）

どうも送受信メールのヘッダに変な記述（文字化けとか時間の矛盾とか）があったときに発生するらしいので
あらかじめサーバーからあやしいメールを削除してから受信すれば、もしかしたら大丈夫かも知れませんが
（試してないので実際に有効かどうかはわかりません）
それで上手く行くとしても、メールを自動受信しないようにしないといけないので、これはこれで非現実的ではないかと思います。

Symantecは今まで変な挙動をしても「仕様」で済ませて放置することがありますが
さすがにこれは治して欲しいなあ・・・
先人の皆様がたの問い合わせ状況を見る限り、そんな気は全くなさそうですけどね（がっくり）
（現状では「無効にしっぱなしでもAuto-Protectで対処できるからダイジョウブ！　キニスンナ！」みたいなスタンスらしい）

ああ、ちゃんと調べておけばよかった・・・
（とはいえ一番重宝していた情報源は現在封印状態なので、積極的に調べててもわかんなかったかも？）

新手

なんでこう、原稿がーとかいうときに面白いことになるかなもう・・・

「２ちゃんねるの一部掲示板が見られない」Nortonがアクセス遮断

「基本は」記事を見ていただいたとおりなんですが。
もともと2chのBBSはNorton AntiVirusと相性があまりよくなく、スプリクトとして働かない、掲示板に書かれたテキストをウィルスとして検知してしまう誤動作を起こすなど
他のセキュリティソフトでは起こらないトラブルはあったのですが
今回は ファイアーウォールの機能が誤動作を起こしているようです。

2chだけで問題が起こってるならまあ、2chの仕様にも問題があるでいいんですが
（実際、AntiVirusの誤反応はそういう考え方が主流になってるようですし）
今回の場合は、それだけではすまない恐れがあります。
たとえば、NISを入れたマシンを使って、Googleで、問題の攻撃コードの文字列を検索すると
Googleへの通信がNISにブロックされてしまいます。（これは自分もやってみて、再現することを確認しました）
・・・ほかにも、もしかしたら、そういう動きをするBBSやブログなどがあるかもしれません。
そういうところに、攻撃コードの文字列が貼られてしまったら?

Symantecは「攻撃コードを安易に書き込むな」とコメントしているようですが、それくらいで書き込みが止まるなら
ウィルスやスパイウェアやフィッシング詐欺のような、セキュリティホールを悪用する行為が蔓延するわけはありませんし
セキュリティソフト、及びベンダーの存在する意味もありません。
誤動作を誤動作と認め、いまのうちに適切な対応をすべきではないかと思います。

まー、とっととMicrosoftが、例のIEの脆弱性を修正してくれれば、そのコードの攻撃ブロックをオフにすればいいだけなんですがね。

危険なスペルミス

Googleのスペルミス悪用サイト、アクセスするとPC乗っ取り （IT media）

昨日からいろんなところで話題になってるんですが。コワイですね。
「Google.comのスペルミスサイト」だけで「Google.co.jp」のスペルミスサイトではないあたりは
「日本人としては」不幸中の幸いでしょうか。
（「Googkle.co.jp」をGoogleで検索してみましたがヒットしませんでした）

ここ （セキュリティホール memo） によると、危険なファイルの一部が、セキュリティソフトによっては検出できないこともあるそうですので
決して問題のサイトは見ないようにしましょう。

・・・と言われるとついつい見に行きたくなるんだよなあ（うずうず）
ホラ、罠とわかってても、ダンジョン内の仕掛けはすべて触りたくなるようなあのキモチ（笑）。
自分は今んとこ、理性の制御判定にぎりぎり成功してますが、理性の制御値低いからなあ・・・（おい）

バスター飛ばしすぎ・・・

もうネタとしては出遅れた感もありますし、ニュースでも言ってるくらいだから
知る人ぞ知るな話ですが

ウイルスパターンファイル2.594.00（日本時間：午前7:33頃公開）へのアップデートにおける、コンピュータのCPUが100%になる現象に関して

くわしいこと こちらとか こちらとかを見るといいかと。
いろんな記事にリンク貼ってあるし。

つーか。
パターンファイルの不具合なんて、どのセキュリティソフトでもたまにあることですが
ここまですさまじいとウィルス並ですね・・・
バスターは確か最近から、パターンファイルを毎日更新するようにしたんだったと思いますが
その影響だとすればあまりにも本末転倒なわけで。
あ、でも、その前にも不具合報告多かったし、どうなんだろう？
（ サポート情報のバックナンバーによると、今年に入ってから1月1件、2月7件、3月0件、4月5件ほど、不具合に関する文書が掲載されてまして）

・・・一ヶ月で7件てナンデスカ。
昔、自分が使ってた優良フリーウェア（ぶっちゃけPixia）をウィルスだと誤検出したというのを聞いて以来のバスター嫌いなワタクシですが
こんなに誤検出しまくりだとは驚きです。
Nortonの重さに耐えかね、バスターも視野に入れて乗り換えも検討してましたが
やっぱバスターは候補からはずすこと決定。
やっぱAntiVirusと（AntiVirus単体だとそう重くないらしい）、他社のファイアーウォールを別買いかな・・・

とりあえず、今回の問題は、 修復ツールが出てるようなので、それらで対処を。

・・・て、オンラインで配布しても意味ないんじゃ・・・？

P.S.
こんなのもあるよ。困ったもんデス。
ウイルスバスター2005 インターネット セキュリティ, ウイルスバスター2004 インターネット セキュリティ: アップデートが繰り返し実行される現象について

フィッシングねた

VISAカードの暗証番号を入力させようとする日本語フィッシングメール出現（Internet Watch）
“巧妙な”フィッシングが出現，ポップアップでアドレス・バーを偽装（IT Pro）

上がVISAを偽ったもの、下がシティバンクを偽ったものです。
これらの画像で紹介されている「嘘ページ」を、何の知識もなく見たら、普通
「ホンモノだ」と思っても責められないような気もしないでもないです。

ちなみに、この「嘘ページ」、アドレスも当然嘘です。
ブラウザのセキュリティホールを利用して、それっぽく見せているだけです。
（つまり、実際は、表示されているのと違うアドレスにあるページを表示しているわけです）
この、いわゆる「URL偽装」のセキュリティホールはIEだけでなく
NetscapeだのMozillaだのOperaだのの、いわゆる非IEコンポーネントブラウザにもありますから
非IEコンポーネントなら安全とか思ってる人も注意しないといけません。
ああ、あとSafariにもあったはずですから、Macユーザーさんも気をつけてください。

で、だまされないためにどうすればいいかですが。
だいたいのところは、↑の、IT Proの記事の後半部分に書いてあるので割愛しますが
それにつけくわえて

企業からのお知らせメールの内容は、メール内でのリンクからでなく
公式サイトのトップページに自分でアクセスしてウラをとる

も心がけるといいと思います。
本当に企業が緊急で顧客に知らせたいなら、メールだけでなくサイトにも載せているはずですし
こういう詐欺の報告があれば、必ず顧客が騙されないように告知するはずですからね。

かっとばせヌルポーズ

このNullporceウィルス、先日紹介したページで懸念していた通り
圧縮されたデータを解凍したときに、ウィルスの実行ファイルをスタートアップフォルダに送ってしまう。
スタートアップに置かれた実行データは、OS起動時に自動で実行されてしまうため
ユーザーが能動的にウィルスを実行させなくても発症してしまうというわけ。

で、Nullporceが発症するとどーなるかというと。
こういうダイアログボックスが現れて、山本リンダの「ねらい撃ち」が流れるとのこと。

ゲーリーのバッティングマーチかよ！

ちなみにゲーリーとは、中日ドラゴンズに以前所属していたプロ野球選手で。
「ねらい撃ち」の替え歌がバッティングマーチだったんですよ・・・なつかしいなあ。

じゃなくて。

症状はそれだけじゃないんで、くわしくは下記の参考リンク参照ってことで。

今のところWinny経由での感染が主のようですが、いつny以外の感染経路に流れるかわかりません。
nyを利用していない場合でも
○ウィルス対策ソフトの導入と定義ファイルの更新
○脆弱性を修正している解凍ソフトの導入
○できるなら、解凍ソフトのデフォルト解凍先をCドライブ以外にする
などの対処はすべきかと思います。
もちろん、nyを利用しているなら、すみやかに利用をやめたほうがいいでしょう。

＜参考リンク＞
http://www.symantec.co.jp/region/jp/avcenter/venc/data/jp-trojan.nullpos.html
（Symantecのウィルスデータベース「Trojan.Nullpos」の項目）

夏のジョークにしては悪質？　Winny経由で広まるトロイの木馬「Nullporce」（IT Media）
（Nullporceの詳しい紹介記事。2ページ目の感染実験は必見）

解凍ソフトの脆弱性注意報

多くの解凍ソフトに指定外の場所へファイルが解凍されてしまう脆弱性が存在(窓の杜）

まーぶっちゃけた話、圧縮ファイルを解凍するときに、解凍先に指定した場所以外にも展開ができるということで
ウィルスなんかをスタートアップあたりにつっこまれたら超ヤバイ、というもの。
対応としては、この脆弱性のない解凍ソフトに乗り換えるしかないんですが
Lhasa→+Lhaca→Lhaplusと乗り換えてきた自分としては

めぐりめぐってけっきょくLhasaかよ

という気持ちでいっぱいでして（笑）。
でも、Lhasa作者さんの対応が早かったのはちょっぴり好印象。
脆弱性が見つかった後でかなり早く、脆弱性をつぶした最新版を公開なさったんですよね。

ほかにも脆弱性のない（または少ない）ソフトはありますが（詳しくは紹介ページ参照のこと)
WinRARはシェアウェアだし。
アーカイブXはCAB形式で脆弱性が残ってるみたいだし。
（まーCAB形式なんて滅多に開きませんが念のため。
開くなら、今使ってるLhaplusでもそうは変わらんわ～うわははは（ひらきなおり)）
けっきょくLhasaが最良の選択肢なんですよね。

というわけで、とりあえず今はLhasaを使っておいて
自分が使ってる解凍ソフトの脆弱性が消えるのを待つことをおすすめ。
Lhasaユーザーも、最新版に変えておいたほうがいいです。

【追記】
おう、脆弱性の少ないソフトでeoを忘れていたヨ。
でも、窓の杜のソフト紹介を見る限り、WinXPには未対応っぽいんだ・・・。

ブラクラ画像注意報

IEで開こうとすると、IEが異常終了してしまうGIF画像があるそうです。
IEコンポーネントを使用しているブラウザでも影響があるそうなので注意。
簡単な検証結果は↓を参照の事。

さまざまなアプリケーションを異常終了させるGIF画像がネット上に流出（窓の杜）

ベータテスト中の「WindowsXP SP2」（現在RC2版)に同梱されている
IE6SP2では異常終了が起こらないという報告もあるので
根本的な対策は「正式版発表後に、SP2を導入すること」になると思われます。