ウイルス

CPUの脆弱性問題でサーバが悲鳴を上げているようです。Epic Gamesは、自社が使用するサーバについて、下記のアナウンスを行いました。

対策前と対策後を示したこのグラフは、CPU使用率が倍以上になっていることを示しています。これまで出来ていたことの半分の処理能力しか出ないようでは、サーバ業界への影響は必至となるでしょう。

Intel関連の話題を、2本立てでお届けいたします。

Google Project ZeroによってMeltdownとSpectreが報告されたのは2017年中頃、Coffee Lakeの発売は2017年10月、つまり、Intelは脆弱性のことを知りつつCoffee Lakeを発売したと海外メディアのTECH POWER UPが報じました。

もし、Coffee Lakeのユーザが集団訴訟を起こした場合、この事実はIntelの責任問題となり裁判に影響する可能性があると言われています。

PC Watchによると、

上記のように報じられており、次期プロセッサでも完全な解決とはならず、　「問題を軽減する対策」　に留まるようです。

ここでいう次期プロセッサが何を指しているのかはわかりませんが、ハードウェア的に完全に解決されたCPUが登場するまで、まだしばらく時間がかかりそうです。

CPUの脆弱性について、『Meltdown』に『Spectre』、どこのCPUがどの影響を受けるのかいまいちパッとしませんよね。海外で影響を受けるCPUリストが公開されました。それがこちら。

(Source:CENT / VideoCardz / WCCFTECH)

Intel CPUの脆弱性について、『Meltdown』と『Spectre』と呼ばれる2種類の脆弱性があることが明らかになりました。このうちの『Meltdown』は先日から話題になっている脆弱性でIntel CPUとARMのCortex-A75が影響を受けて、『Spectre』はIntel / AMD / ARMが影響を受けると言われています。

以下、各社の発表になります。

(Source:Phoronix / LKML)

Intel CPUの脆弱性を修正するとパフォーマンスダウンする問題ですが、LinuxではAMD CPUまでとばっちりを受けてパフォーマンスダウンをしています。Linux kernel 4.15でAMD CPUが除外されておらず、安全でないCPU(insecure_cpu)のバグとして扱われているためこの現象が生じています。

2017年12月26日に、AMDのTom Lendacky氏が同社のCPUは今回の脆弱性の影響を受けないことをLinux kernelのメーリングリストで伝えていますが、1週間経過してもLinux kernelには反映されていません。

AMDの主張どおり、今回の脆弱性の影響を受けないのであれば、パフォーマンスダウンはとばっちり以外のなにものでもないため一刻も早い反映が望まれます。

2018/1/4追記
続報書きました。上記の脆弱性は『Meltdown』と呼ばれ、AMD CPUは影響を受けませんが、他にも『Spectre』という脆弱性があり、そっちはAMD CPUにも影響があるとのことです。詳細は下記の記事へどうぞ。

【CPU】 CPUの脆弱性タイプと各社の主張

(Source:The Register / ComputerBase / TPU / Phoronix 12 / Reddit)

過去10年間に製造されたIntelのCPUに、カーネルメモリの内容を読み取られる脆弱性があることが判明しました。

この脆弱性を悪用すると、データセンターやクラウドコンピューティングなどで使用されている仮想マシン上にいるユーザは、同じ物理マシン上の他の仮想マシンのデータへのアクセスが可能となり、パスワードやIDなどの情報を読み取るといったことが可能になると言われています。

OMEN、ENVY、EliteBookなどのHP製ノートPC数百台に、キーロガーとして悪用できるデバッグコードが含まれていることが判明しました。このコードはSynaptics TouchpadドライバのSynTP.sysに仕込まれており、デフォルトでは無効になっているものの、下記のレジストリ値を設定すれば有効にできるとのことです。

HKLM\Software\Synaptics\%ProductName% HKLM\Software\Synaptics\%ProductName%\Default

HPは影響を受けるノートPCのリストと、ドライバのアップデートを公開しました。HP製ノートPCをお使いの方は、下記のリンク先で確認しておいた方が良いでしょう。

HP Customer Support
https://support.hp.com/us-en/document/c05827409

HPはつい先日もテレメトリサービスを配信して、大幅なパフォーマンスの低下を引き起こしたり、同意なくインストールされたなどとしてユーザから非難を浴びています。

(Source:Windows 10 Forums / Kaspersky Lak Forum)

カスペルスキーインターネットセキュリティ2018(以下、KIS2018)の導入環境で、Firefox 57.0.1を起動したときや終了したときなどにBSoDが発生するという不具合が出ています。

この不具合はKIS2018のバージョン18.0.0.405(d)が原因となっており、カスペルスキーは問題を修正したバージョン18.0.0.405(e)の作成に取り組んでいます。

今のところ、KIS2018だけの報告しか見当たりませんが、カスペルスキー系のエンジンを使用したアンチウイルスソフトでも同様の不具合が生じる可能性が懸念されるため、カスペルスキー系アンチウイルスソフトをお使いの方はお気をつけくださいませ。

(Source:Born's Tech / gHacks / Reddit / HP Support Forum)

HPは自社製品を使用するユーザのPCに『HP Touchpoint Manager』というソフトの配信とインストールを開始しました。このソフトがインストールされると、同時に『HP Touchpoint Analytics』というテレメトリサービスまでインストールされてしまいます。

このテレメトリサービスは1日1回、HPにデータを送信しているようですが、送信されるデータの中身については明らかになっていません。また、このテレメトリサービスがインストールされていると、CPUの負荷が高くなり、システムに大幅なパフォーマンス低下を引き起こす場合があります。

他にも、このテレメトリサービスをインストールされたユーザからは　「同意なしにいつの間にかサイレントインストールされていた」　との非難の声も出ています。

インストール経路はハッキリとは判明していませんが、一部のユーザは　「HP Support AssistantにHP Touchpoint Analyticsが追加されていた」　と報告しており、HP Support Assistantを介して適用されている可能性が濃厚となっています。

このテレメトリサービスがお使いのPCに混入しているかは、サービスに『HP Touchpoint Analytics』があるかどうかで確認できます。もし、あった場合はテレメトリサービスがインストールされています。

ユーザにとっては何のメリットもなく、無駄にCPUリソースを使われて電力を消費されるため、　「それでもHPに協力したい！」　という人以外は、下記の手順でアンインストールすることをおすすめいたします。

1. サービスを開いて『HP Touchpoint Analytics』をダブルクリック
2. サービスの状態を『停止』にして、スタートアップの種類を『無効』にして『OK』を押す
3. コントロールパネルの『プログラムと機能』を開いて『HP Touchpoint Manager』をアンインストールする

なお、HP Support Assistantを使い続けるかぎり、今後も似たようなことがまた起こる可能性は高いと思われます。HP Support Assistantの使用についてもご一考した方が良いでしょう。

ウイルス対策ソフト『ESET Smart Security Premium』のバージョンアップが公開されています。V10.1.219からV10.1.231にすることで、Windows10 Fall Creators Updateに対応するとのことです。

いただいた情報によると、V10.1.231へは自動更新されず、手動で更新する必要があるそうです。『ESET Smart Security Premium』をお使いの方は、下記のページを参考にアップデートをどうぞ。

　ESET Internet Security V10.1 へのバージョンアップ
　https://eset-info.canon-its.jp/support/versionup/eis.html

(Source:Security Notification for CCleaner v5.33.6162 ... / Hackers compromised free CCleaner ...)

Piriformの32bit版『CCleaner v5.33.6162』と『CCleaner Cloud v1.07.3191』に、ウイルスの混入があったことが判明しました。このバージョンは2017年8月から公開されており、いくつかの悪意のあるWebサイトへ接続するリモート管理ツールが含まれています。

ウイルスに感染すると機密性の低いデータ(コンピュータ名、IPアドレス、インストールされたソフトウェア、実行中のソフトウェア、ネットワークアダプタのリスト)が第三者の保有する米国のサーバに送信されます。他のデータが送信されたという兆候は今のところ見つかっていません。

Piriformは米国の法執行機関と協力して、2017年9月15日にトラフィックが誘導されるサーバを停止し、既知の被害が発生することはなくなりました。

今回のウイルス混入はハッカーがPiriformにマルウェアを侵入させたことが起因して起こり、影響を受けるユーザは約227万人になるとのことです。

Piriformはプレスリリースで謝罪しており、該当バージョンをお使いの方はウイルスが除去された最新バージョンの使用を推奨しています。

(Source:ZDNet / eTeknix)

＜ザックリ意訳＞
Microsoftは2017年6月8日にブログで　「Windows 10 Sは既知のランサムウェアの影響を受けない」　と豪語した。これが本当かどうか、ZDNetはセキュリティ研究者のMatthew Hickey氏に依頼してWindows 10 Sをランサムウェアに感染させることが可能か試すことにした。

結果、Matthew Hickey氏はわずか3時間ほどで成功した。Matthew Hickey氏は　「簡単すぎて正直驚いている」　と述べている。

攻撃には悪意のあるマクロベースのWord文書を作成し、Word文書を開くとDLLインジェクションが行われる方法を利用した。そこを起点にクラックを進め、最終的にはシステム特権を得てコンピュータを自由にリモートアクセスできるようになった。

Matthew Hickey氏は　「この状態はアンチマルウェアやファイアウォールなどを無効にしたり、重要なWindowsのファイルを上書きすることができる。ランサムウェアをインストールすることもできる。ゲームオーバーだ」　と述べた。

上記内容がZDNetなどの海外メディア各所で報じられました。

Windows 10 Sは基本的にWindowsストアのアプリケーションしか動作しないため、比較的ウイルスの影響を受けにくい仕様だとは思いますが、Microsoftが主張する　「Windows 10 Sは既知のランサムウェアの影響を受けない」　というのは誇大広告だったようです。

『Wana Decrypt0r 2.0』『WannaCry 2.0』などで呼ばれるランサムウェアによって暗号化されたファイルを復号する『Wannakey』が有志により作成されました。この復号ソフトは下記サイトからダウンロードが可能で、対象OSはWindows XP専用となります。

　GitHub - aguinet/wannakey: Wannacry in-memory key recovery for WinXP
　https://github.com/aguinet/wannakey

復号の仕組みは、暗号化の際に使用したメモリ領域が開放されていなければ、メモリ上の情報を読み取って復号を可能にするとのこと。つまるところ、PCの再起動や、その他の処理などでメモリ上の情報が消えているとNGとなります。

条件はかなり厳しく、また、これらの条件が揃っていても成功するとは限らず　「成功するには運が必要になる」　と作者は語っています。

(Source:http://blog.trendmicro.co.jp/archives/14979)

トレンドマイクロによると日本国内で大規模なマルウェアスパムのキャンペーンが行われていて、2017年5月14日から5月18日までの5日間で、43万件以上のウイルス添付メールが確認されているとのこと。

主な送信日時と件名は下記になります。

これらの件名が使用されているメールの添付ファイルを開くと、銀行やクレジットカードなどのアカウント情報をターゲットにしたウイルスに感染します。

トレンドマイクロは　「この一連のスパムメールの拡散活動は継続して行われており、ユーザはこれらの添付ファイル付きのスパムメールを安易に開かないよう注意が必要です」　と注意を呼びかけています。

2017年4月に『Wana Decrypt0r 2.0』『WannaCry 2.0』の元となったエクスプロイトを流出させたハッカー集団のShadow Brokersですが、2017年6月に新たなエクスプロイトの販売を開始することをBlogで予告しました。

Blogでは、毎月の会費を支払うことで『Windows 10の新たなエクスプロイト』『ブラウザやルータ、スマートフォン向けのエクスプロイト』などを提供すると述べています。

これらが『Wana Decrypt0r 2.0』『WannaCry 2.0』の第2波となるほど脅威になるかはわかりませんが、バックアップ等、万が一に備えた対策をしっかりととっておくことが推奨されます。

関連記事
【ウイルス】 『WannaCry 2.0』によって暗号化されたファイルを復号するソフト『Wannakey』が登場。ただし……
【ウイルス】 『Wana Decrypt0r 2.0』『WannaCry 2.0』の実行ファイル名は『taskse.exe』
【ウイルス】 約100か国で大規模なサイバー攻撃、ランサムウェアの被害が約7万5000件 [Update 1: Win7/8.1/10でSMB1自体を無効化する方法を記載]

世間を賑わせているランサムウェアの『Wana Decrypt0r 2.0』『WannaCry 2.0』ですが、有志によりその実行ファイル名等が判明しました。

(Source:日産英工場にも被害…サイバー攻撃100か国に)

『ランサム（身代金）ウェア』と呼ばれるウイルスによる大規模なサイバー攻撃が12日、世界へと広がった。英BBCなどは、英米露など約100か国・地域で約7万5000件の被害が出たと伝え、日産自動車の英工場にも影響が及んだ。オランダ・ハーグの欧州警察機構(ユーロポール)は13日、　「攻撃は前例を見ない水準だ」　とする声明を発表し、国際協力を呼びかけた。

12日、独フランクフルトの鉄道駅で、支払い要求のメッセージが表示された電光掲示板

上記内容が各所で報じられました。イングランドとスコットランドでは医療機関のシステムが被害を受けて、手術が中止になるケースもあったようです。

『Wana Decrypt0r 2.0』『WannaCry 2.0』などの名前を持つこのランサムウェアは、SMB1の脆弱性(MS17-010 / CVE-2017-0144)を悪用していますが、サポート期間中のOSは2017年3月度のWindows Updateで修正済みとなっています。

しかし、Microsoftは今回の騒動を受けて、サポートが既に終了しているOS(XPなど)用の修正パッチ(KB4012598)も緊急リリースしました。現在、下記のアドレスからダウンロードができるようになっています。

　Microsoft Updateカタログ 『KB4012598』
　http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

＜ Update 1: Win7/8.1/10でSMB1自体を無効化する方法 ＞

(Source:RensenWare Will Only Decrypt Files... / RensomWare Holds Your Files...)

＜ザックリ意訳＞
数日前から『東方星蓮船』というゲームの高難易度モード(Lunatic)で、2億点以上取らないと暗号化したファイルを復号しないというランサムウェア『RensenWare』が話題になっている。

このランサムウェアは金銭の要求をせず、ただ、ゲームで2億点以上取ることを要求していて、それが達成できなければ暗号化されたファイルは永久に失われる。

しかし、暗号化している間にシャドウボリュームの削除をしたり、何かしらの方法で復元されないようさらなる対策を講じるようなことはなく、本気度は低いためジョークではないかと思っていた。

このランサムウェアを作成した韓国の大学生から我々にコンタクトがあり下記のように謝罪した。

私の予想どおりにこのランサムウェアはジョークのようだ。

上記内容が海外メディアのBleeping Computerなどで報じられました。

『RensenWare』は拙いプログラムのため、PCの構成に光学ドライブがあるだけでクラッシュするようですが、それに引っかからずに実行されると実際に暗号化が始まります。

犯人や一次ソースのBleeping Computerの専門家はこのマルウェアをジョークと言っていますが、実際に暗号化までしている時点でどこがジョークと言えるのでしょうか。まったく理解のできない感性をしています。

「ファイルを暗号化されたけど、な～んだ、ジョークか！」

なんて思う人がいるのでしょうか。こんな思考ができるなら、どうかしていると思います。

ジョークというのはPCなどに何も影響が出ないもののことを言います。万が一にもご年配の方が感染して対処できるのでしょうか。このソフトはジョークなんかではなく、れっきとしたマルウェアと呼ぶべきでしょう。