64
ウィキリークスの文書によると、CIAは主要なウイルス対策プログラムのほとんどを回避していた

ウィキリークスは最近、CIAの所有物であると主張する数千点の文書を公開しました。その中には、CIAが悪用・回避したウイルス対策製品などのセキュリティ製品のリストを示す文書が含まれていました。

リストには次のソフトウェア製品が含まれていました。

  • コモド
  • アバスト
  • Fセキュア
  • ゼマナ・アンチロガー
  • ゾーンアラーム
  • トレンドマイクロ
  • シマンテック
  • 上昇
  • パンダセキュリティ
  • ノートン
  • マルウェアバイトアンチマルウェア
  • EMET(強化された緩和エクスペリエンス ツールキット)
  • マイクロソフト セキュリティ エッセンシャル
  • マカフィー
  • カスペルスキー
  • Gデータ
  • ESET
  • クラムAV
  • ビットディフェンダー
  • アビラ
  • 平均

このリストに載っている製品のほとんど、あるいはすべてはご存知でしょう。このリストには、Microsoftのウイルス対策プログラム「Security Essentials」(後にWindows 8以降で組み込みの「Windows Defender」プログラムに移行)や、Microsoftのエクスプロイト対策セキュリティツールであるEMET(主に企業ユーザー向け)が含まれています。

EMET は最近 Microsoft によって非推奨となりました。同社によると、DEP、ASLR、制御フロー ガード (CFG) などの EMET のエクスプロイト対策機能の多く、およびユーザー アカウント制御 (UAC) を回避するその他の緩和策は、すでに Windows 10 に組み込まれているからです。

マイクロソフトは、これらのセキュリティ機能が組み込まれているため、EMETが提供しようとしていたアドホックなセキュリティよりも優れたセキュリティを提供できるはずだと述べています。WikiLeaksが公開したCIA文書は、Windows 10がリリースされる前の2014年に作成されたものです。そのため、CIAがそれ以降にどのような新しい機能を入手したのか、そしてWindows 10の新しいセキュリティ機能もバイパスされたのかどうかは不明です。

ウイルス対策プログラムを回避する

CIAが悪用したウイルス対策プログラムのリストに関する漏洩文書は、おそらくウィキリークスによって編集されたようです。ウィキリークスによると、合計7万件以上の編集が行われ、主な目的は有害なコード(ウィキリークスは過去に、漏洩したメールに受信者を狙ったマルウェアが含まれていたため、「マルウェアホスティング」の疑いで非難されています)と個人情報、IPアドレスの削除です。しかし、リストに含まれるほとんどのウイルス対策プログラムがどのように悪用されたかに関する技術情報をなぜ削除したのかは不明です。

CIA の 3 つのウイルス対策プログラム (F-Secure、Avira、AVG) に対する脆弱性については、部分的な情報しか残っていません。

Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。

F-Secureについて

OSBの経験上、F-Secureは概して下位層製品であり、問​​題はほとんど発生しません。唯一の難点は、F-Secureがトロイの木馬化されたアプリケーションや暗号化/圧縮されたペイロードを含むその他のバイナリをフラグ付けする、エントロピーベースのヒューリスティックを採用していることです。2つの脆弱性が存在することが分かっています。1つはRARファイルのリソースセクションで文字列テーブルを使用する脆弱性で、もう1つはRARファイルのマニフェストファイルを複製する脆弱性です。このマニフェスト手法はAviraのエントロピーベースのヒューリスティックにも有効です。

Aviraで

Aviraは歴史的にCTの標的として人気の高い製品ですが、通常は簡単に回避できます。F-Secureと同様に、Aviraは暗号化/圧縮されたペイロードを含むバイナリをフラグ付けするエントロピーベースのヒューリスティックを備えているようですが、2つの回避策が知られています。

AVGについて

AVG は、ディスクにドロップされ、実行後しばらくしてリンクファイル経由で起動されるペイロードを検知しました (プロセス ホローイング)

CIAがほとんどのウイルス対策製品を回避できるという事実は、それほど驚くべきことではないのかもしれません。結局のところ、新しいマルウェアを開発しようとする高度な攻撃者なら、一般的なウイルス対策製品を回避する方法も模索するはずです。そうでなければ、マルウェアはそれほど効果的ではなく、早期に発見されてしまうでしょう。

Googleのセキュリティ研究チーム「Project Zero」は、ウイルス対策プログラムが、システム上で実行されているプログラムの中で最も脆弱なプログラムの一つとなる可能性があることも示しました。これは、一部のウイルス対策企業がコードの作成に不注意な点があるだけでなく、「ユーザーをより安全にする」ために彼らが用いる手法そのものが、そもそもユーザーのシステムに脆弱性を生み出しているからです。

例えば、一部のアンチウイルスソフトは、ユーザーがアクセスしている暗号化されたページを解析するために、ユーザーのブラウザに対して中間者攻撃を行います。しかし、攻撃者はこの脆弱性を悪用し、その機能を乗っ取ってユーザーに対して悪用する可能性があります。したがって、このケースでは、アンチウイルスソフトによって、本来であれば存在しなかったであろう脆弱性が作り出されてしまったのです。

オンラインでの安全確保

安全を保つための最も常識的な方法は、システムに何をインストールするかに注意し、デフォルトで権限が制限されたアカウントを使用し、オペレーティングシステムとアプリケーションを定期的に更新することです。これにより、ほとんどの攻撃やマルウェアから身を守ることができます。

さらに一歩進みたい場合は、Linux 仮想マシンで Web を閲覧したり、Qubes OS などのより区分化されたオペレーティング システムを使用したりすることもできますが、これらのツールはすべての人に適しているわけではありません。

ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。

Features
Posted by Lorlink