Windows


(Source:Malwarebytes)

アンチウイルスソフトMalwarebytesに2018年1月27日(現地時間)のアップデートを適用すると、上記画像のように『MBAMService.exe』が90%以上のCPU使用率になり、多くのメモリを使用するという不具合が出ています。

この問題はその後のアップデートで修正されているため、お困りの方は新しいアップデートの確認と適用で解決します。もし、あまりにもPCが重すぎて上手く動作しない場合は、タスクマネージャから『MBAMService.exe』を終了してMalwarebytesの再起動後に適用をお試しくださいませ。

CPU,ウイルス

Intel Active Management Technology (以下、Intel AMT)のパスワードを設定して、機能を無効にする方法をご紹介。

Intel AMTをバックドアとして悪用する方法なんてものがF-Secureにより報じられましたが、多くの人は 「自分には関係なさそうだな」 なんて思ったのではないでしょうか。

いえいえ、これが案外お使いのPCにも関係あるかもしれません。例えば中古ノートPC。購入したものが法人向けモデルだった場合、この機能があったりします。うちの中古ノートPCにもありました\(^o^)/

パッと見てわかりやすい部分だと、

PCにこういった『vPro』と書かれたシールが貼られていたらIntel AMTが搭載されています。ちなみに、個人向けモデルにはまずありません。

ということで、サクッとIntel AMTのパスワードを設定して機能を無効化しちゃいましょう。以下、自分のノートPCでの設定のため、他のものとは異なる部分があるかもしれませんが、概ね似たようなものだと思います。

CPU,ウイルス


(Source:A Security Issue in Intel’s Active Management Technology (AMT))

Intelの企業・ビジネス向けノートPCなどに採用されているのリモート機能、Intel Active Management Technology (以下、Intel AMT)をバックドアとして悪用することができるとF-Secureが報じました。悪用するための条件は、同じネットワークセグメントにいることと、わずかな時間、物理的にターゲットのマシンにアクセスできることです。

Intel AMTをバックドアとして悪用するためにはターゲットのマシンを起動、もしくは再起動をして、[CTRL] + [P]を押してIntel Management Engine BIOS Extension (MEBx)のメニューに入ります。そこでパスワードの入力が必要になりますが、攻撃者はパスワードを知らないため、通常ならこれ以上のことはできません。しかし、F-Secureによると、多くのユーザはデフォルトのパスワード『admin』から変更していない可能性が高いそうです。

攻撃者は『admin』を使用してログインし、新しいパスワードを設定してリモートアクセスの有効化を行い、『User Opt-in』を『NONE』に変更すれば、同じネットワークセグメントにいる限り、ターゲットのマシンにリモートアクセスが可能になります。これら一連の行動は1分以内に完了するとのことです。

つまるところ、パスワードをしっかりと設定し、必要でなければIntel AMT無効にしていれば、このような被害に遭うことはありません。お心当たりのある方は、設定を見直してみてはいかがでしょうか。

詳細な設定・無効化方法は下記の記事をご覧くださいませ。

CPU,ウイルス

CPUの脆弱性問題でサーバが悲鳴を上げているようです。Epic Gamesは、自社が使用するサーバについて、下記のアナウンスを行いました。

この図は、Meltdownの脆弱性に対処するためホストサーバにパッチを適用後、CPU使用率に大きな影響が出ていることを示しています。

来週、私たちが使用ているクラウドサービスがアップデートされます。それに伴って予期せぬ問題が発生する可能性があります。

当社は、さらなる問題を防ぐためにクラウドサービスプロバイダと協力しており、可能な限り迅速に発生する問題を軽減し解決するためにできる限りの努力をします。

(Source:Epic Games)

対策前と対策後を示したこのグラフは、CPU使用率が倍以上になっていることを示しています。これまで出来ていたことの半分の処理能力しか出ないようでは、サーバ業界への影響は必至となるでしょう。

CPU,ウイルス

Intel関連の話題を、2本立てでお届けいたします。

 

Intel、脆弱性を知りながらCoffee Lakeを発売か

Google Project ZeroによってMeltdownとSpectreが報告されたのは2017年中頃、Coffee Lakeの発売は2017年10月、つまり、Intelは脆弱性のことを知りつつCoffee Lakeを発売したと海外メディアのTECH POWER UPが報じました。

もし、Coffee Lakeのユーザが集団訴訟を起こした場合、この事実はIntelの責任問題となり裁判に影響する可能性があると言われています。

 

ハードウェア的な解決はまだまだ先?

ho

PC Watchによると、

 Intelによれば、次期プロセッサでは、この問題を軽減する対策と性能強化を行なうとしており、既存製品に関しては、それぞれの脆弱性に対応した緩和策などを提示している。

(Source:PC Watch)

上記のように報じられており、次期プロセッサでも完全な解決とはならず、 「問題を軽減する対策」 に留まるようです。

ここでいう次期プロセッサが何を指しているのかはわかりませんが、ハードウェア的に完全に解決されたCPUが登場するまで、まだしばらく時間がかかりそうです。

CPU,ウイルス

CPUの脆弱性について、『Meltdown』に『Spectre』、どこのCPUがどの影響を受けるのかいまいちパッとしませんよね。海外で影響を受けるCPUリストが公開されました。それがこちら。

CPU,ウイルス


(Source:CENT / VideoCardz / WCCFTECH)

Intel CPUの脆弱性について、『Meltdown』と『Spectre』と呼ばれる2種類の脆弱性があることが明らかになりました。このうちの『Meltdown』は先日から話題になっている脆弱性でIntel CPUとARMのCortex-A75が影響を受けて、『Spectre』はIntel / AMD / ARMが影響を受けると言われています。

以下、各社の発表になります。

CPU,ウイルス


(Source:Phoronix / LKML)

Intel CPUの脆弱性を修正するとパフォーマンスダウンする問題ですが、LinuxではAMD CPUまでとばっちりを受けてパフォーマンスダウンをしています。Linux kernel 4.15でAMD CPUが除外されておらず、安全でないCPU(insecure_cpu)のバグとして扱われているためこの現象が生じています。

2017年12月26日に、AMDのTom Lendacky氏が同社のCPUは今回の脆弱性の影響を受けないことをLinux kernelのメーリングリストで伝えていますが、1週間経過してもLinux kernelには反映されていません。

AMDの主張どおり、今回の脆弱性の影響を受けないのであれば、パフォーマンスダウンはとばっちり以外のなにものでもないため一刻も早い反映が望まれます。

2018/1/4追記
続報書きました。上記の脆弱性は『Meltdown』と呼ばれ、AMD CPUは影響を受けませんが、他にも『Spectre』という脆弱性があり、そっちはAMD CPUにも影響があるとのことです。詳細は下記の記事へどうぞ。

CPU,ウイルス


(Source:The Register / ComputerBase / TPU / Phoronix 12 / Reddit)

過去10年間に製造されたIntelのCPUに、カーネルメモリの内容を読み取られる脆弱性があることが判明しました。

この脆弱性を悪用すると、データセンターやクラウドコンピューティングなどで使用されている仮想マシン上にいるユーザは、同じ物理マシン上の他の仮想マシンのデータへのアクセスが可能となり、パスワードやIDなどの情報を読み取るといったことが可能になると言われています。

ウイルス,ハードウェア全般

OMEN、ENVY、EliteBookなどのHP製ノートPC数百台に、キーロガーとして悪用できるデバッグコードが含まれていることが判明しました。このコードはSynaptics TouchpadドライバのSynTP.sysに仕込まれており、デフォルトでは無効になっているものの、下記のレジストリ値を設定すれば有効にできるとのことです。

    HKLM\Software\Synaptics\%ProductName% HKLM\Software\Synaptics\%ProductName%\Default

HPは影響を受けるノートPCのリストと、ドライバのアップデートを公開しました。HP製ノートPCをお使いの方は、下記のリンク先で確認しておいた方が良いでしょう。

HPはつい先日もテレメトリサービスを配信して、大幅なパフォーマンスの低下を引き起こしたり、同意なくインストールされたなどとしてユーザから非難を浴びています。

Windows,ウイルス


(Source:Windows 10 Forums / Kaspersky Lak Forum)

カスペルスキーインターネットセキュリティ2018(以下、KIS2018)の導入環境で、Firefox 57.0.1を起動したときや終了したときなどにBSoDが発生するという不具合が出ています。

この不具合はKIS2018のバージョン18.0.0.405(d)が原因となっており、カスペルスキーは問題を修正したバージョン18.0.0.405(e)の作成に取り組んでいます。

今のところ、KIS2018だけの報告しか見当たりませんが、カスペルスキー系のエンジンを使用したアンチウイルスソフトでも同様の不具合が生じる可能性が懸念されるため、カスペルスキー系アンチウイルスソフトをお使いの方はお気をつけくださいませ。

Windows,ウイルス


(Source:Born's Tech / gHacks / Reddit / HP Support Forum)

HPは自社製品を使用するユーザのPCに『HP Touchpoint Manager』というソフトの配信とインストールを開始しました。このソフトがインストールされると、同時に『HP Touchpoint Analytics』というテレメトリサービスまでインストールされてしまいます。

このテレメトリサービスは1日1回、HPにデータを送信しているようですが、送信されるデータの中身については明らかになっていません。また、このテレメトリサービスがインストールされていると、CPUの負荷が高くなり、システムに大幅なパフォーマンス低下を引き起こす場合があります。

他にも、このテレメトリサービスをインストールされたユーザからは 「同意なしにいつの間にかサイレントインストールされていた」 との非難の声も出ています。

インストール経路はハッキリとは判明していませんが、一部のユーザは 「HP Support AssistantにHP Touchpoint Analyticsが追加されていた」 と報告しており、HP Support Assistantを介して適用されている可能性が濃厚となっています。

このテレメトリサービスがお使いのPCに混入しているかは、サービスに『HP Touchpoint Analytics』があるかどうかで確認できます。もし、あった場合はテレメトリサービスがインストールされています。

ユーザにとっては何のメリットもなく、無駄にCPUリソースを使われて電力を消費されるため、 「それでもHPに協力したい!」 という人以外は、下記の手順でアンインストールすることをおすすめいたします。

  1. サービスを開いて『HP Touchpoint Analytics』をダブルクリック
  2. サービスの状態を『停止』にして、スタートアップの種類を『無効』にして『OK』を押す
  3. コントロールパネルの『プログラムと機能』を開いて『HP Touchpoint Manager』をアンインストールする

なお、HP Support Assistantを使い続けるかぎり、今後も似たようなことがまた起こる可能性は高いと思われます。HP Support Assistantの使用についてもご一考した方が良いでしょう。

Win10チューニング,WindowsUpdate

ウイルス対策ソフト『ESET Smart Security Premium』のバージョンアップが公開されています。V10.1.219からV10.1.231にすることで、Windows10 Fall Creators Updateに対応するとのことです。

いただいた情報によると、V10.1.231へは自動更新されず、手動で更新する必要があるそうです。『ESET Smart Security Premium』をお使いの方は、下記のページを参考にアップデートをどうぞ。

 ESET Internet Security V10.1 へのバージョンアップ
 https://eset-info.canon-its.jp/support/versionup/eis.html

Windows,ウイルス


(Source:Security Notification for CCleaner v5.33.6162 ... / Hackers compromised free CCleaner ...)

Piriformの32bit版『CCleaner v5.33.6162』と『CCleaner Cloud v1.07.3191』に、ウイルスの混入があったことが判明しました。このバージョンは2017年8月から公開されており、いくつかの悪意のあるWebサイトへ接続するリモート管理ツールが含まれています。

ウイルスに感染すると機密性の低いデータ(コンピュータ名、IPアドレス、インストールされたソフトウェア、実行中のソフトウェア、ネットワークアダプタのリスト)が第三者の保有する米国のサーバに送信されます。他のデータが送信されたという兆候は今のところ見つかっていません。

Piriformは米国の法執行機関と協力して、2017年9月15日にトラフィックが誘導されるサーバを停止し、既知の被害が発生することはなくなりました。

今回のウイルス混入はハッカーがPiriformにマルウェアを侵入させたことが起因して起こり、影響を受けるユーザは約227万人になるとのことです。

Piriformはプレスリリースで謝罪しており、該当バージョンをお使いの方はウイルスが除去された最新バージョンの使用を推奨しています。

Windows,ウイルス


(Source:ZDNet / eTeknix)

<ザックリ意訳>
Microsoftは2017年6月8日にブログで 「Windows 10 Sは既知のランサムウェアの影響を受けない」 と豪語した。これが本当かどうか、ZDNetはセキュリティ研究者のMatthew Hickey氏に依頼してWindows 10 Sをランサムウェアに感染させることが可能か試すことにした。

結果、Matthew Hickey氏はわずか3時間ほどで成功した。Matthew Hickey氏は 「簡単すぎて正直驚いている」 と述べている。

攻撃には悪意のあるマクロベースのWord文書を作成し、Word文書を開くとDLLインジェクションが行われる方法を利用した。そこを起点にクラックを進め、最終的にはシステム特権を得てコンピュータを自由にリモートアクセスできるようになった。

Matthew Hickey氏は 「この状態はアンチマルウェアやファイアウォールなどを無効にしたり、重要なWindowsのファイルを上書きすることができる。ランサムウェアをインストールすることもできる。ゲームオーバーだ」 と述べた。

上記内容がZDNetなどの海外メディア各所で報じられました。

Windows 10 Sは基本的にWindowsストアのアプリケーションしか動作しないため、比較的ウイルスの影響を受けにくい仕様だとは思いますが、Microsoftが主張する 「Windows 10 Sは既知のランサムウェアの影響を受けない」 というのは誇大広告だったようです。