- 締切済み
セキュリティソフトアップデート時の更新先偽装
アンチウイルスソフトのオンラインアップデート時にもしサーバーのIPアドレス を確認してその企業のサーバーであっていても ハッカーはIPアドレスを偽装してその更新先と同じIPアドレスに成りすまし 偽の定義ファイルをダウンロードさせるができますか? そういうことがあるんならオフライン用定義ファイルアップデートファイル でウイルス定義ファイルを更新するしかないですがファイルのサイズとハッシュ値 を確認して。 今のところオフライン定義ファイルを配布しているのはしっている所で ノートンとAviraとAvastくらいですが企業の人はどうアップデートしているんですか? spybotで更新ファイルのハッシュ値がチェックされてるにもかかわらず 改ざんされびっくりしました。前の質問で。
- みんなの回答 (5)
- 専門家の回答
みんなの回答
- JidousyaGaisya
- ベストアンサー率23% (45/189)
たとえReputationやらDNSsecやらもが、どれ程に発達しましても、 油断させては貰えないのでしょうね。
- wamos101
- ベストアンサー率25% (221/852)
当方、アングラ突入調査や対策ソフトの性能テスト、Malwareの解析なんかもちょこっとやったりします。 あのですね、よく使われる手法としては予め調べて用意しておいたアップデート先のリストを使ってアップデートさせないというのが主流です。まあ、DNSポイズニンングというのもありますけど。これはどっちかというとフィッシングで使われますね。 あるいは、これもしばしばありますが、対策ソフト自体の無効化ないしは機能の改変。トレイアイコン自体は表示されてるが機能は無効化されてるとか。
- _himajin_
- ベストアンサー率65% (128/195)
> もしハッカーによってアップデート時違うところに > つながれたり、偽の定義ファイルをダウンロードさせられたりしたら > 警告とかでるんですか? アプリケーションに依存します。 警告が出るかもしれないし、警告が出ずに適用されないだけかもしれません。使っているソフトウェアのメーカーに問い合わせてください。 > 自動アップデートは危険とハッカーの本で読みましたが > それでも大丈夫なんですか? はい。(前回の例のようにファイルがデジタル署名で保護されているような場合) いろいろ書いたのですがわかりづらくなってしまったので、要点だけにします。 ファイルが十分な強度を持ったデジタル署名などで保護されている場合、他の手段を用いるより安全かつ簡単です。 デジタル署名による改ざんチェックは、すごく大雑把に言ってしまえばハッシュを自動的に確認していることと同じです。 # だからと言ってMD5ハッシュを確認すれば安全、と言うわけではないことに注意してください。 # ハッシュにも種類があり、MD5ハッシュでは安全とは言えません。
- _himajin_
- ベストアンサー率65% (128/195)
前提として、ファイルが本物かどうかを確認する手段には、IPアドレスやホスト名に頼らないもっと別な手段があります。 アンチウィルスソフトの定義ファイルなどでは通常そちらを使っていると私は解釈しています。 これは私の希望的観測なので、たとえば Spybot などではもしかするとまったく対策されていないのかも知れません。 が、少なくとも Symantec の LiveUpdate では実際にこのような手段がとられているようです。(参考URL参照) なお、ここでいう「別な手段」には「MD5ハッシュ」は含みません。 > ほかにオフラインアップデートできるアンチウイルス製品知りませんか? 例示されたものを見てみましたが、Symantec のように定義ファイル自体に署名が埋め込まれている場合など、その信用度は「オンラインアップデート」と同等です。 もしそのような対策が取られていない場合、「オンラインアップデート」と同等かそれ以下の信用度しかありません。 また、MD5ハッシュが書かれたものもありますが、これはダウンロードエラーなどの簡易的なエラーチェック用で、改ざんチェックには使えません。(詳しい理由は割愛します) > 企業もあまり気にしてないんですね。 直接担当しているわけではないので、気にしているかいないかはわかりませんが、 通常の方法でセキュリティが確保されていると確認または判断しているか、それを気にしてアップデートしないよりはリスクが低いと判断しているのではないでしょうか。 > IPアドレスが更新先と一致してれば100%改ざんされてませんか? いいえ。 難しいとは書きましたが、IPアドレスの成りすましも(少なくとも理論上は)可能なはずです。 > DNS名は信用するなということですね? はい、ともいいえ、とも言い切れません。どちらかと言えば、いいえ。 ホスト名をまったく信用しない、と言う選択肢は現実的ではないためです。 信用できない可能性がある、くらいが妥当だと思います。 セキュリティ関係や金融機関など高い信用を必要とするところでは他の手段による補強が必要だとは思いますが。
補足
ありがとうございます。 もしハッカーによってアップデート時違うところに つながれたり、偽の定義ファイルをダウンロードさせられたりしたら 警告とかでるんですか? >ファイルが本物かどうかを確認する手段には、IPアドレスやホスト名に >頼らないもっと別な手段があります。 自動アップデートは危険とハッカーの本で読みましたが それでも大丈夫なんですか? 僕はオフライン用の定義ファイルをwebページからダウンロードして メーカーにハッシュ値を問い合わせてダウンロードしたファイルの ハッシュ値と一致したら、適用するのがいいと思いますけど。 シマンテックは配ってますが、なんでカスペルスキーとか 配ってないのか不思議におもいます。
- _himajin_
- ベストアンサー率65% (128/195)
同じIPアドレスに成りすますことは(かなり限定された状況以外では)難しいと思います。 DNS名(たとえば okwave.jp)を騙ることはそれよりだいぶ楽なので、やるとしたらこちらの方法でしょう。 どちらにせよ、偽の定義ファイルをダウンロードするように誘導することは可能です。 ただし、IPアドレスに依存しない相手先の確認方法として、SSLを用いた方法などがあります。 また、公開鍵暗号などで署名しておけば改ざんされているかはチェックできます。 このような対策が取られていれば、偽のアドレスへ誘導されてしまったとしても何らかの保護が可能です。 企業でのアップデートも通常と変わりありません。 トラフィック対策で社内にサーバを用意することはありますが、そこで配布するファイルは通常と同様の手段で取得しています。(少なくとも私が知っている限りでは) # ちなみにオフライン定義ファイルって郵便とかで来るんですか?聞いたことないですが… Spybotのアップデート処理がどんな対策を取っているかは不明ですが、なぜ改ざんされたとわかったのでしょう? # ハッシュエラーが出た?
補足
>Spybotのアップデート処理がどんな対策を取っているかは不明ですが、なぜ改ざんされたとわかったのでしょう? ># ハッシュエラーが出た? http://okwave.jp/qa4011555.html に書いてます。ハッシュエラーは出ず表向きは完璧にアップデートされたようでした。 spy-botは http://www.spybot.info/jp/download/index.html のDetection updates avastは http://www.avast.com/jpn/update_avast_4_vps.html のVpsUpd.exe aviraは http://www.avira.de/en/support/vdf_update.html のivdf_fusebundle_nt_en.zip ノートンは http://www.symantec.com/avcenter/download/pages/JP-N95.html でそれぞれオフライン更新できます。 ほかにオフラインアップデートできるアンチウイルス製品知りませんか? 企業もあまり気にしてないんですね。 IPアドレスが更新先と一致してれば100%改ざんされてませんか? DNS名は信用するなということですね?
補足
http://www.symantec.com/avcenter/download/pages/JP-N95.html のウイルス定義ファイルにデジタル署名 がついていて Symantec Corporation と署名者名がありますが この名前は第三者が真似をして署名できないんですか? ファイルが1バイトでも欠けていたり 改ざんされていると デジタル署名は無くなるらしいですけど。 デジタル署名とSymantec Corporation の名前の署名が確認できれば100%改ざんされてないんですか?