怒多婆蛇激

Microsoft、Intelの脆弱性対策を無効化する緊急アップデートを配信
https://pc.watch.impress.co.jp/docs/news/1103769.html

年初からお騒がせなCPUの脆弱性問題だが、関係各社の対策が始まり、情報もある程度出て落ち着いたと思いきや、Intel製CPUに関してはいまだに騒ぎが続いている状況。

一度出した対策を引っ込めたり、それでも収拾が付かず対策に対する対策を出すことになるとは。


なお、この問題はコンピュータのUEFIを更新しなければ起きない（その代わり脆弱性は残る）ので、更新していない人には関係ない。

UEFIの更新をしていなかったり、まだCPU脆弱性問題の対策されたUEFIが存在しない人は運がいい。というかその必要性を認識していない人がほとんどだと思うが。

Intel製のシステムでUEFIの更新を検討している人は、もうしばらく様子見をすべきだ。

Windows 10 Polaris？

Micro$oft社は、次世代の新しいWindowzを準備しはじめているらしい。

その次世代Windowzの名は「Polaris」といい、Windowz 10の派生製品である。


「Polaris」の特徴は「UWPプラットフォームをベースとしたOS」である事。UWP自体は既存のWindowz10と同じであるが、それ以外の要素を省いているために従来のx86互換ソフトウェアは完全に排除される。

単にアプリケーションソフトウェアを利用するだけの消費者視点から見ると、Microsoft Storeからダウンロード出来るソフトウェア以外の利用が出来ない。

そしてこれは私の憶測だが、恐らくOSやハードウェアにアクセスする事が出来る、一般のユーザーが触れる可能性が低いあらゆるレガシーインターフェイスが消える。わかりやすく言えば、スマートフォンのユーザーインターフェイスみたいに単純化されるとも言えるかもしれない。(当然、コマンドプロンプトやPowerShell等も使えない)


Micro$oftの主張によれば、これはカジュアルなユーザー向けの仕様だという。
企業やヘビーユーザー向けにWindowz10 Proは残り、それ以外の消費者向けがPolarisであるようだ。
つまりWindowz10 Homeが消え、代わりにPolarisになるのかもしれない。

考えてみれば、Windowzを利用する人の大多数は昔からあるWindowz用アプリケーションは不要に思える。
単に書類を作ったりWebコンテンツを消費する程度なら、ファイルやハードウェアに関する細かい操作などまったく不要だからだ。

こうした人達はセキィリティに関する知識は無く、注意する意識も低い。ならば最初からセキュリティリスクに直結する機能を排除し、より利用者の目的に焦点を合わせ機能を限定したOSの方が、生産者(管理者)にも消費者にも都合が良いという考え方は合理的だ。


今回のこの話、Micro$oftが過去にWindowz10sという機能限定版のWindowzを教育現場向けに販売した事を考えると、近い将来、現在Windowz10 Homeが搭載されたパソコンの全てがPolarisをインストールされたものに置き換わる可能性は決して低くはないと思う。

Windows10をスマートフォンに展開する事に失敗したMicro$oftである。
Microsoft Store普及のため、今度はそういう方向に舵取りしたとしても不思議ではない。


参考記事

Microsoft is building a true 'modern' version of Windows 10 for PCs codenamed Polaris
https://www.windowscentral.com/windows-core-polaris

Windows 10 Sは成功するだろうか
https://17inch.blog.so-net.ne.jp/2017-05-06

制御不能
https://17inch.blog.so-net.ne.jp/2017-08-30

進化を続けるマルウエアの隠蔽能力
https://17inch.blog.so-net.ne.jp/2018-01-23

進化を続けるマルウエアの隠蔽能力

ここ数年、ウイルスを含むマルウエアの目的は金銭や情報収集などに特化し、その手段として出来るだけ長期間目標となるコンピュータで動作を続け、情報収集などを行うように進化を続けている（ランサムウェア等活動を表面化する事で金銭を得るものを省く）。

このため、マルウエアの隠蔽は巧妙を極め、現在ではコンピュータ内にファイルとして存在する必要が無いものが増えているらしい。

コンピュータ内にファイルとして存在しないとなると、既存のセキュリティ対策ソフトで発見する事は極めて困難になる。

実際、今回私が駆除を依頼された「マルウエアに感染したパソコン」も、通常のファイル型ウイルスだけでなく、ルートキットとしても発見する事が出来なかった。


依頼を受けたパソコンは、幸か不幸かマルウエアとして目に見える形で感染を確認できた。

具体的にはWindows(Windowz7)のUIがクラシックのような外見になり、さらに一部のアイコンが上から薄灰色に塗りつぶされて、一見するとアイコンが消えてクリックできないように見える。

それ以外にはWindows updateが不明のエラーで実行できなくなったり、セキュリティ対策ソフトが動作しないか機能不全や強制終了されるようになっていた（有償無償問わず複数のソフトで検証）。


これらは発端として「Reimage Repair」という詐欺ソフトのインストールが確認された。挙動から他にもインストールされていたと予想されるが、少なくともコントロールパネルの「プログラムのアンインストール」からは確認出来なかった。

そこで私は「Reimage Repair」についての情報収集を行い、一般にこれらのアンインストールで行われる「プロセス強制終了の後に普通にアンインストール」を実行。これにより「Reimage Repair」は当該のパソコンから削除できたが、その後、先に挙げたような症状が残った。

このような場合、通常はタスクマネージャーなどを使って不正なプロセスなどが動作していないかを確認する。もちろんmsconfigやレジストリエディタなども使うし、イベントビュアーも使って確認する。これで原因が発見出来れば、該当するレジストリと実行ファイルを消してパソコンを再起動する事でマルウエアの駆除は終わるのだが、今回は私の知識とスキルではまったく歯が立たなかった。

他にはセキュリティソフトを販売する各社のツールを十数個、一通り使ってみるもまったく検出されず。

結局、Windowzの再インストールで対処する事になった。


さて。

今回のマルウエア、私がかつて経験した事の無い挙動を見せていたのだが、それは「インターネットに接続していないと症状が出ない」というもの。

スタンドアロンで電源を入れると、数時間動作させてまったく症状が出ない。

もちろんWindows updateは謎のエラーで動作しないが、バッチファイルで回復させる手段を使うとあっさり元通り。この状態でならば手動でアップデートできるので、約一年半もの間行われていなかったWindows updateを手動で行った。

その後インターネットに接続すると、数十秒間はWindows updateも正常動作して新しいアップデートファイルを見つけてくるのだが、しばらくするとデスクトップやアプリケーションを開いたウインドウがマルウエアによる改変でおかしくなり、それまで正常に動作していたセキュリティソフトも動作しなくなる。こうなると当然、Windows updateも不明なエラーでWindows update clientが停止する。

この症状はセーフモードやWindows起動前の検査でウイルスを探しても発見出来なかったため、最初はルートキットを疑いルートキットに特化したツールで駆除を試みたが、４社ほど（カスペルスキーやノートンなど）のツールを試して全滅。

その後なんとかセキュリティソフトを正常に動作させる事には成功し、二つほどなんらかのウイルスを削除したものの症状は変わらず。そしてさらに調べ、UIがおかしくなるのは不正なテーマが適用されている事を突き止め、テーマを手動で削除すると一旦は正常になるが、やはり再起動してインターネットに接続すると元に戻る。
せっかく正常動作に成功したセキュリティソフトも、この段階で強制終了や動作不良（常駐の監視やアップデートが不可能）になってしまう。


こうなると考えられるのは、「インターネットからウイルス本体をダウンロードするためにパソコンのディスク上にウイルスが存在しない」ということ。過去にそのような事例を見た記憶が無かったが、ネットで検索すると2014年にはすでに報告があった。


痕跡ゼロ？　メモリ常駐で検出を妨害する「インメモリマルウェア」の脅威
http://techtarget.itmedia.co.jp/tt/news/1401/29/news06.html


「POWELIKS」：Windows レジストリに不正なコードを隠ぺいする不正プログラムを確認
http://blog.trendmicro.co.jp/archives/9595


インターネットからウイルス本体をダウンロードするとはいえ、そのための“仕掛け”が必要。一体どうやって？と思ったが、どうやらレジストリなどにスクリプトや暗号化されたデータとして保存し、これらをWindows起動時に実行させて必要なプログラムをダウンロードさせているようだ。
しかもこれはWindowsの標準機能なので、これ自体を不正な動作として検出する事は出来ないらしい。

さらにこれらはレジストリエディタなどで表示できない。表示できないのならば当然、該当するキーとデータなどをレジストリから消す事も出来ない。


という事で、今回は「目に見える症状」のおかげで隠されたマルウエアの存在は確認出来たが、それが何なのかもわからず、推測で「実行ファイルがローカルディスクに存在しない」という結論しか出せなかった。

今回はたまたま目に見える形で影響が確認できたが、近年の巧妙に隠蔽されたマルウエアは、多くのケースで感染してからパソコンを廃棄するまでの数年間ずっと動作し続け、情報を盗んだり次々と新しいウイルスに感染させてセキュリティ対策ソフトの目を欺き続けているのだと想像できる。

そのうち、世界中のほとんど全てのパソコンやスマートフォンが、マルウエアの感染に気付かず使われる時代が来るのかもしれない。


その他の情報：

LINEユーザーを標的にした高度なAndroidスパイウェア「Skygofree」
https://blogs.mcafee.jp/line-android-spyware-skygofee

「Operation Dragonfly」の分析：以前の攻撃との関連性を示唆
https://blogs.mcafee.jp/operation-dragonfly-analysis-suggests-links-to-earlier-attacks

まだあるのか

インテル半導体、新世代でも再起動頻発の可能性　パッチの問題で
https://jp.reuters.com/article/intel-chip-idJPKBN1F70D4


現在複数の問題が取り沙汰されているIntel製CPUだが、最新のCPUは古い世代よりも問題が少ないという認識が一般的である。

そこに来てこのニュース。


AMD製CPUでもパッチを当てた後OSが起動しない、というような例はあるが、これは10年以上前のCPUで、それ以降のCPUでこのような問題は発生していない（今のところは）。


これらの件に関して、Intel製CPUが問題解決した製品を出荷できるのは早くても来年になると思われる。

AMDはこの隙にシェアを伸ばせるのだろうか。

・・・多分無理だろうなぁ。



1/19追記

Intel、Sandy BridgeからKaby Lakeのシステムで“再起動問題”が発生中
https://pc.watch.impress.co.jp/docs/news/1101991.html

ファームウェアアップデートとあるので、UEFIをアップデートした人の一部に影響が出ているのだろうか？
だとすれば、UEFIをアップデートしなければこの影響を受けないので、ほとんどの個人用パソコンには無関係な話かもしれない。


追記：

脆弱性対策パッチの導入中止を――「リブート問題」でIntelが呼び掛け
http://www.itmedia.co.jp/enterprise/articles/1801/23/news057.html


記事によると

“現行バージョンのパッチについては「リブートが予想以上に増えるなど”

となっており、十分なテストをせずに出したツケが廻っている模様。

Intel敗って流

パスワード「admin」で簡単にIntel AMTに入れ、リモートアクセスできる問題が発覚
https://pc.watch.impress.co.jp/docs/news/1101452.html

昨年暮れもIntel MEの問題が発覚していたが、先日の投機実行に関する問題に続いてさらに追い討ちを与える問題が発覚したようだ。


ところで私は、過去数年間の間にIntel製CPUでパソコンを組んだ際、Intel MEのドライバをあえてインストースしなかった。理由はIntel MEの仕様からセキュリティのリスクがあると思ったから。

が、Intel MEに関する一連の問題は、Windowsでドライバをインストールしないだけで回避できるものなのだろうか？

今回発覚した問題も含め、少なくともIntel MEが動作しない環境？であれば影響が無いはずだが。

DELLなどではIntel ME自体を無効にする対策を採っているらしいが、この辺り調べてみる必要がありそうだ。



「Intel AMT」にセキュリティ上の問題、ノートPCが遠隔操作される恐れ
https://japan.zdnet.com/article/35113125/


一部コンピュータベンダーがインテルの「Management Engine」を無効化
https://japan.zdnet.com/article/35111413/

CPU脆弱性問題は結局どうなのか

1月3日のニュースを発端に、主に業界を騒がせている例の問題。

「Spectre」と「Meltdown」と名付けられたこれらは、結局末端の消費者である我々にどのような影響があるのか。

情報収集の結果、あくまで消費者の視点で言えば「直近のセキュリティに関する影響は無い」と言える。

とはいえ近い将来起こり得る問題は依然として存在するし、対策が行われない機器が少なくないという問題も残るが、「Spectre」は攻撃を成功させるハードルが高い事や、「Meltdown」はOSやブラウザ等アプリケーション側の対策でも攻撃を防げるので、“少なくとも自分自身がアップデートを適切に行えば大した問題ではないように思える。
また、CPUの処理能力が低い製品の場合そもそもこの問題の根源である“投機実行”の機能が存在しない場合が多いため、IoT機器の場合この問題が最初から無い製品が大半であるように思う。

従って、“よほどの事が無い限り”、この問題が重大な影響を及ぼす前に問題が解決される可能性が高いと私は考えている。


となると、末端の消費者である我々にとって関心事となるのはセキュリティよりも“対策による処理能力の低下がどうなのか”という事だ。


まず私の場合、スマートフォンの「VAIO Phone A」はCPUにCortex-A53が使われる“Snapdragon 617”が採用されているので、投機実行の機能が無いためこの問題はまったく影響を受けない。

パソコンに関してはメインのRYZEN5 1600Xを使うパソコンは「Meltdown」の影響を受けない。「Spectre」の影響は一部受ける可能性が存在するが、ソフトウェアの修正による速度低下は「Meltdown」のそれよりも少ないため、実質ゼロらしい。

またサブPCのA8-3870KはCPUコアがPhenomⅡ系であるが、これもRYZENと同様に対策後の影響はほぼ無いようだ。

ああ、AMDで良かった。


というわけで私の所有するパソコンにはほぼ影響が無い今回の問題。

インターネットサービスプロバイダや各種買い物サイト及びG Mail等のメールサービスなどに使われるサーバーが対策をしてくれない場合には情報漏洩などの影響を受ける可能性があるが。

ひとまず安心かなあとは思うが、引き続き警戒はしようと思う。


なお、私と違いＩｎｔｅｌ製のＣＰＵを使うパソコンや、VAIO Pone A以外のスマートフォンを使う方は、以下の情報を参考に自分の責任で判断しよう。


Meltdown
https://ja.wikipedia.org/wiki/Meltdown

Spectre
https://ja.wikipedia.org/wiki/Spectre


Googleが発見した「CPUの脆弱性」とは何なのか。ゲーマーに捧ぐ「正しく恐れる」その方法まとめ
http://www.4gamer.net/games/999/G999902/20180105085/

Intel・AMD・ARM等のCPUに関する重大な問題

昨日、私はこんな記事を書いた。

Intel製CPUの致命的問題が発覚
https://17inch.blog.so-net.ne.jp/2018-01-03

記事中で私は「AMDやARMなんかでも、発覚していないだけで潜在的に持っているのでは、と思う。」と書いたが、この懸念はやはり当たっていたようで、今日、様々なニュースサイトで一斉にこの問題に関するニュースが記事となっている。


Intel製CPUに内在する脆弱性問題の根は深く「すべてのプロセッサが
安全性と高速性を両立できない問題を抱える」との指摘
https://gigazine.net/news/20180104-meltdown-spectre/

Intel、AMD、ARMなどのCPUに深刻な脆弱性、影響を巡る報道で混乱広がる
https://news.mynavi.jp/article/20180104-567288/

Intel、プロセッサ脆弱性はAMDやARMにもあり、対策で協力中と説明
http://www.itmedia.co.jp/news/articles/1801/04/news009.html

プロセッサ脆弱性「Meltdown」と「Spectre」のまとめサイト開設
http://www.itmedia.co.jp/news/articles/1801/04/news010.html

CPUに脆弱性発見、機密データ漏えいの恐れ 業界全体で対応
http://www.afpbb.com/articles/-/3157363


以上、他にも色々あると思うが、内容は大体同じだろうと思う。


まあ細かい内容はさておき、無知な一般の消費者である我々に出来る対策は何があるのか。


それは情報収集と専門家により公開された対策を実行する事。

具体的にはソフトウェアのアップデートだ。


デスクトップやノートパソコンで動作するWindowsならば、Microsoftより提供されるアップデートパッチをインストールする。その他のOSも同様に、OSを提供する組織からアップデートパッチを受け取ってインストールすればいい。


スマートフォンの場合もWindowsなどと同様だが、こちらの場合は対策されない端末が非常に多いと思われる。
一部のメーカー及び機種に限られるとは思うが、アップデートが提供されたら出来るだけ早くアップデートしよう。

そしてアップデートが提供されない端末を所有している人は、出来るだけ早く問題を解決した新しい端末に買い換えるしか方法は無い。


その他の、主にARM系CPUを搭載するIoT機器等は、やはりスマートフォン同様に新しいファームウェアが発表されるのを待ち、発表されたなら即座にアップデートをする。
しかしこれもアップデートが提供されるものは極一部のデバイスのみだと思う。
さらに、まともに管理されていないものがほとんどであるために、問題の解決は絶望的であると思われる。

となると、故障や入れ替えによる新しい機器との交換まで問題が放置されるケースが非常に多いと予想され、これが潜在的な問題となって残ると私は思う。


なお、この混乱に便乗して様々な詐欺等の犯罪が激増すると思われる。

日頃から情報収集と学ぶことを怠っていない人は騙される事が無いと思うが、そうでないひとは騙される可能性が高い。

今からでも遅くは無いので、情報収集と勉強を始めたほうがいい。


さらに、アップデートをしたら新たな問題（例えばパソコン等が壊れる）が発生する可能性もあるだろう。

アップデートする前に重要な情報をバックアップする事も忘れないようにしたい。


※1/5 追記

GIGAZINEに関係各社の対応をまとめた記事が出ている。

CPUに内在する脆弱性問題「メルトダウン」「スペクター」への各社の対応まとめ
https://gigazine.net/news/20180105-meltdown-spectre-security/


記事中に「Firefoxでは、報告された手法に類似した技術を用いて、個人情報を実際に盗み取ることが可能であることを確認。対策を施した「Firefox 57.0.4」をリリースしました。」とあるので、水面下ではすでに影響が出ている可能性があるので注意。

Intel製CPUの致命的問題が発覚

あけましておめでとうございます。

大しておもしろくもない記事ばかりかと思いますが、興味を持って訪れてくれる方々、どうか今年もヨロシク。


とまぁ新しい一年を迎え、心機一転と行きたいところだが、心機一転しようがしまいが変わることの無い現実に埋没する毎日ではそれも意味がない。

何故なら、この現実の中で生きていく為に最も必要なことが“努力の継続と忍耐”（ひらたくいえば悪足掻き）くらいしか無いからだ。

つまり心機一転などというものは気休め程度の効果しか無いのであるが、本当に苦しいからこそ気休め程度でも何か欲しいと思うのかもしれない。


というわけで新年早々つまらない現実を一つ。


Intelのプロセッサチップに根本的な設計上の欠陥が発覚
https://gigazine.net/news/20180103-intel-processor-design-flaw/

記事によると、少なくとも現在稼動する全てのIntel製CPUを搭載するコンピュータが影響を受けるようだが、その影響の範囲と深刻度は、私の知識と経験では計り知れない。

理由は影響の範囲が広すぎ、また、問題が現実の被害を発生する条件がいまのところあいまいにしか私に理解出来ていないからだ。

だが、もしこの問題を利用して利益を得る方法が確立されたならば、問題を修正していないあらゆるコンピュータは、情報漏えいや乗っ取りなどされ放題になるだろう、程度の予測は出来る。

この問題から逃れるにはOSの根幹に関わる部分に修正が必要で、これはコンピュータの処理能力に少なくない重荷となるため、性能低下が免れないという事だが、さもなければ問題を解決したCPUに交換するしか方法が無いというのだから、一般の消費者には事実上逃げ道が無い。


折角の正月なのに、現実という輩は現実逃避さえさせてくれないのか。

尤も、それは往々にして自分自身にも問題があるのだが。


それはともかく、この手の問題は例外なんてものを見た事が無い。

従って、AMDやARMなんかでも、発覚していないだけで潜在的に持っているのでは、と思う。


コンピュータに関わる問題は常に身近に存在し、生活に密着する技術であるがゆえに逃げることが適わない問題である。

心機一転というのなら、こうしたコンピュータセキュリティの問題に対する心構えをリセットし、慢心する事がないよう、初心を忘れずこれまで以上に情報収集と勉強に努めるべきであると思う。