ウイルス

CPUの脆弱性について、『Meltdown』に『Spectre』、どこのCPUがどの影響を受けるのかいまいちパッとしませんよね。海外で影響を受けるCPUリストが公開されました。それがこちら。

(Source:CENT / VideoCardz / WCCFTECH)

Intel CPUの脆弱性について、『Meltdown』と『Spectre』と呼ばれる2種類の脆弱性があることが明らかになりました。このうちの『Meltdown』は先日から話題になっている脆弱性でIntel CPUとARMのCortex-A75が影響を受けて、『Spectre』はIntel / AMD / ARMが影響を受けると言われています。

以下、各社の発表になります。

(Source:Phoronix / LKML)

Intel CPUの脆弱性を修正するとパフォーマンスダウンする問題ですが、LinuxではAMD CPUまでとばっちりを受けてパフォーマンスダウンをしています。Linux kernel 4.15でAMD CPUが除外されておらず、安全でないCPU(insecure_cpu)のバグとして扱われているためこの現象が生じています。

2017年12月26日に、AMDのTom Lendacky氏が同社のCPUは今回の脆弱性の影響を受けないことをLinux kernelのメーリングリストで伝えていますが、1週間経過してもLinux kernelには反映されていません。

AMDの主張どおり、今回の脆弱性の影響を受けないのであれば、パフォーマンスダウンはとばっちり以外のなにものでもないため一刻も早い反映が望まれます。

2018/1/4追記
続報書きました。上記の脆弱性は『Meltdown』と呼ばれ、AMD CPUは影響を受けませんが、他にも『Spectre』という脆弱性があり、そっちはAMD CPUにも影響があるとのことです。詳細は下記の記事へどうぞ。

【CPU】 CPUの脆弱性タイプと各社の主張

(Source:The Register / ComputerBase / TPU / Phoronix 12 / Reddit)

過去10年間に製造されたIntelのCPUに、カーネルメモリの内容を読み取られる脆弱性があることが判明しました。

この脆弱性を悪用すると、データセンターやクラウドコンピューティングなどで使用されている仮想マシン上にいるユーザは、同じ物理マシン上の他の仮想マシンのデータへのアクセスが可能となり、パスワードやIDなどの情報を読み取るといったことが可能になると言われています。

OMEN、ENVY、EliteBookなどのHP製ノートPC数百台に、キーロガーとして悪用できるデバッグコードが含まれていることが判明しました。このコードはSynaptics TouchpadドライバのSynTP.sysに仕込まれており、デフォルトでは無効になっているものの、下記のレジストリ値を設定すれば有効にできるとのことです。

HKLM\Software\Synaptics\%ProductName% HKLM\Software\Synaptics\%ProductName%\Default

HPは影響を受けるノートPCのリストと、ドライバのアップデートを公開しました。HP製ノートPCをお使いの方は、下記のリンク先で確認しておいた方が良いでしょう。

HP Customer Support
https://support.hp.com/us-en/document/c05827409

HPはつい先日もテレメトリサービスを配信して、大幅なパフォーマンスの低下を引き起こしたり、同意なくインストールされたなどとしてユーザから非難を浴びています。

(Source:Windows 10 Forums / Kaspersky Lak Forum)

カスペルスキーインターネットセキュリティ2018(以下、KIS2018)の導入環境で、Firefox 57.0.1を起動したときや終了したときなどにBSoDが発生するという不具合が出ています。

この不具合はKIS2018のバージョン18.0.0.405(d)が原因となっており、カスペルスキーは問題を修正したバージョン18.0.0.405(e)の作成に取り組んでいます。

今のところ、KIS2018だけの報告しか見当たりませんが、カスペルスキー系のエンジンを使用したアンチウイルスソフトでも同様の不具合が生じる可能性が懸念されるため、カスペルスキー系アンチウイルスソフトをお使いの方はお気をつけくださいませ。

(Source:Born's Tech / gHacks / Reddit / HP Support Forum)

HPは自社製品を使用するユーザのPCに『HP Touchpoint Manager』というソフトの配信とインストールを開始しました。このソフトがインストールされると、同時に『HP Touchpoint Analytics』というテレメトリサービスまでインストールされてしまいます。

このテレメトリサービスは1日1回、HPにデータを送信しているようですが、送信されるデータの中身については明らかになっていません。また、このテレメトリサービスがインストールされていると、CPUの負荷が高くなり、システムに大幅なパフォーマンス低下を引き起こす場合があります。

他にも、このテレメトリサービスをインストールされたユーザからは　「同意なしにいつの間にかサイレントインストールされていた」　との非難の声も出ています。

インストール経路はハッキリとは判明していませんが、一部のユーザは　「HP Support AssistantにHP Touchpoint Analyticsが追加されていた」　と報告しており、HP Support Assistantを介して適用されている可能性が濃厚となっています。

このテレメトリサービスがお使いのPCに混入しているかは、サービスに『HP Touchpoint Analytics』があるかどうかで確認できます。もし、あった場合はテレメトリサービスがインストールされています。

ユーザにとっては何のメリットもなく、無駄にCPUリソースを使われて電力を消費されるため、　「それでもHPに協力したい！」　という人以外は、下記の手順でアンインストールすることをおすすめいたします。

1. サービスを開いて『HP Touchpoint Analytics』をダブルクリック
2. サービスの状態を『停止』にして、スタートアップの種類を『無効』にして『OK』を押す
3. コントロールパネルの『プログラムと機能』を開いて『HP Touchpoint Manager』をアンインストールする

なお、HP Support Assistantを使い続けるかぎり、今後も似たようなことがまた起こる可能性は高いと思われます。HP Support Assistantの使用についてもご一考した方が良いでしょう。

(Source:Security Notification for CCleaner v5.33.6162 ... / Hackers compromised free CCleaner ...)

Piriformの32bit版『CCleaner v5.33.6162』と『CCleaner Cloud v1.07.3191』に、ウイルスの混入があったことが判明しました。このバージョンは2017年8月から公開されており、いくつかの悪意のあるWebサイトへ接続するリモート管理ツールが含まれています。

ウイルスに感染すると機密性の低いデータ(コンピュータ名、IPアドレス、インストールされたソフトウェア、実行中のソフトウェア、ネットワークアダプタのリスト)が第三者の保有する米国のサーバに送信されます。他のデータが送信されたという兆候は今のところ見つかっていません。

Piriformは米国の法執行機関と協力して、2017年9月15日にトラフィックが誘導されるサーバを停止し、既知の被害が発生することはなくなりました。

今回のウイルス混入はハッカーがPiriformにマルウェアを侵入させたことが起因して起こり、影響を受けるユーザは約227万人になるとのことです。

Piriformはプレスリリースで謝罪しており、該当バージョンをお使いの方はウイルスが除去された最新バージョンの使用を推奨しています。

(Source:ZDNet / eTeknix)

＜ザックリ意訳＞
Microsoftは2017年6月8日にブログで　「Windows 10 Sは既知のランサムウェアの影響を受けない」　と豪語した。これが本当かどうか、ZDNetはセキュリティ研究者のMatthew Hickey氏に依頼してWindows 10 Sをランサムウェアに感染させることが可能か試すことにした。

結果、Matthew Hickey氏はわずか3時間ほどで成功した。Matthew Hickey氏は　「簡単すぎて正直驚いている」　と述べている。

攻撃には悪意のあるマクロベースのWord文書を作成し、Word文書を開くとDLLインジェクションが行われる方法を利用した。そこを起点にクラックを進め、最終的にはシステム特権を得てコンピュータを自由にリモートアクセスできるようになった。

Matthew Hickey氏は　「この状態はアンチマルウェアやファイアウォールなどを無効にしたり、重要なWindowsのファイルを上書きすることができる。ランサムウェアをインストールすることもできる。ゲームオーバーだ」　と述べた。

上記内容がZDNetなどの海外メディア各所で報じられました。

Windows 10 Sは基本的にWindowsストアのアプリケーションしか動作しないため、比較的ウイルスの影響を受けにくい仕様だとは思いますが、Microsoftが主張する　「Windows 10 Sは既知のランサムウェアの影響を受けない」　というのは誇大広告だったようです。

『Wana Decrypt0r 2.0』『WannaCry 2.0』などで呼ばれるランサムウェアによって暗号化されたファイルを復号する『Wannakey』が有志により作成されました。この復号ソフトは下記サイトからダウンロードが可能で、対象OSはWindows XP専用となります。

　GitHub - aguinet/wannakey: Wannacry in-memory key recovery for WinXP
　https://github.com/aguinet/wannakey

復号の仕組みは、暗号化の際に使用したメモリ領域が開放されていなければ、メモリ上の情報を読み取って復号を可能にするとのこと。つまるところ、PCの再起動や、その他の処理などでメモリ上の情報が消えているとNGとなります。

条件はかなり厳しく、また、これらの条件が揃っていても成功するとは限らず　「成功するには運が必要になる」　と作者は語っています。

(Source:http://blog.trendmicro.co.jp/archives/14979)

トレンドマイクロによると日本国内で大規模なマルウェアスパムのキャンペーンが行われていて、2017年5月14日から5月18日までの5日間で、43万件以上のウイルス添付メールが確認されているとのこと。

主な送信日時と件名は下記になります。

これらの件名が使用されているメールの添付ファイルを開くと、銀行やクレジットカードなどのアカウント情報をターゲットにしたウイルスに感染します。

トレンドマイクロは　「この一連のスパムメールの拡散活動は継続して行われており、ユーザはこれらの添付ファイル付きのスパムメールを安易に開かないよう注意が必要です」　と注意を呼びかけています。

2017年4月に『Wana Decrypt0r 2.0』『WannaCry 2.0』の元となったエクスプロイトを流出させたハッカー集団のShadow Brokersですが、2017年6月に新たなエクスプロイトの販売を開始することをBlogで予告しました。

Blogでは、毎月の会費を支払うことで『Windows 10の新たなエクスプロイト』『ブラウザやルータ、スマートフォン向けのエクスプロイト』などを提供すると述べています。

これらが『Wana Decrypt0r 2.0』『WannaCry 2.0』の第2波となるほど脅威になるかはわかりませんが、バックアップ等、万が一に備えた対策をしっかりととっておくことが推奨されます。

関連記事
【ウイルス】 『WannaCry 2.0』によって暗号化されたファイルを復号するソフト『Wannakey』が登場。ただし……
【ウイルス】 『Wana Decrypt0r 2.0』『WannaCry 2.0』の実行ファイル名は『taskse.exe』
【ウイルス】 約100か国で大規模なサイバー攻撃、ランサムウェアの被害が約7万5000件 [Update 1: Win7/8.1/10でSMB1自体を無効化する方法を記載]