« 2011年1月 | トップページ | 2011年11月 »

2011/08/22

アンチウィルスソフト選定中に「数年ぶりのマルウェア着信」

8月に入ってから、ばんすかスパイウェア入りのメールが届くようになりました。8月初めはUPS(アメリカの運送会社)から、8/18ぐらいからはnyc.govドメイン(ニューヨーク市)から来ています。UPSからのは「荷物が届けられなかったから添付のトラッキングデータを見てくれ」というメールで、nyc.govからのは「ニューヨーク州で起こしたスピード違反のチケットだ」というメールになっています。メール文面は違いますが、メールアドレス名がそっくりなので出所は同じでしょう。

UPSの添付ファイル名は忘れてしまいましたが(→追記:UPS_document.zipでした)、nyc.govの添付ファイルは「Ticket.zip」です。Zipを展開すると「Ticket.exe」が出てきますが、そのアイコンはPDFです。Zipを展開するツールによっては、中のEXEが勝手に動き出してスパイウェアをインストールされてしまうかも。私はMacで展開してZipの中身を確認しました。

UPSから来てたのはちゃんとClamXavでスパイウェアと検出されていたのですが、8月18日あたりから来てるのはClamXavでは検出できず、そしてWinXPのESET NOD32でも検出できず、しかも4日ほどたってもまだパターンファイルに入ってこないのか検出できません。インターネット検索したところ、どうもMcAfeeなら検出するらしい。こんなに0 dayアタックの危険性が長いのとなると、ESET使うのはちょっと考えてしまいます。動作は軽いし、最近流行りの「クラウド化して、インターネットにつながってないと検出がお馬鹿」ということがなくていいんだけどなぁ。

ついでにこのスパイウェアが入ってるメール自体もちょっとがんばった跡があって、メールヘッダにあるメールサーバ中継の履歴の「Received」を見ると、送信元はニューヨークのnyc.govドメインのサーバから出ているようになっているところです。IPアドレスもちゃんとnyc.govドメインが持つIPアドレスです。これによってスパムメールの検出を行うSPFチェックをクリアしています。nyc.govから私が使っているプロバイダの間にはインドのIPアドレスを持つサーバを経由しており、おそらく実際の送信元はそこでしょう。インドのサーバから送信する際に、手前にnyc.govから送信されたようなReceivedを追加しているのだと思います。

数年ぶりに新しいマルウェアが手に入ったので、これを使ってアンチウィルスソフトの比較をしてみよう。

(2011/08/23追記)
ESET NOD32でも同じとこから2日ほど前に来たスパイウェアは8/22更新分のパターンファイルで「Win32/TrojanDownloader.Chepvil.A」として検出しました。しかし昨日来たのはメール文面は同じでもスパイウェアは別のようで、検出できません。パターンに含まれてなくても、マルウェアの特徴を捉えて怪しげなファイルを検出するスマート検出でもひっかけられないようです。UPSのはスマート検出でひっかかったこともあったのですが、最新のは手ごわいようです。

(2011/08/23さらに追記)
23日更新分のパターンファイルで昨日検出できなったスパイウェアも「Win32/Kryptik.RZBの亜種」として検出できました。「Win32/Kryptik.RZB」自体は8/22更新分に含まれていたのですが、亜種をスマート検出でひっかけられなかったのかぁ。ちょっとがっかり。

(2011/08/24追記)
ClamXavでも「Trojan.Downloader-112958」としてひっかかるようになりました。

(2011/09/01追記)
いつまでもClamXavで検出できなかった「Win32/TrojanDownloader.Chepvil.A」(NOD32での名称)のファイルをClamAVの報告ページに送ったら、次の日には「Trojan.Downloader.Small-3296」として検出できるようになりました。

(2011/10/27追記)
新種や亜種を次々に送っていただいた(笑)ので、40以上のアンチウィルスソフトでファイルをチェックできるVIRUS TOTALを使いまくり、どのアンチウィルスソフトが対応が早いかなど勉強させていただきました。カペルスキーやMcAfee、シマンテック、ESETはさすがに対応が早いです。私が該当の迷惑メールを受信した時にはすでにマルウェアとして認識できています。

意外だったのがMicrosoft Security Essentials。無償であり、会社内の利用でも10台までOKという太っ腹なアンチウィルスソフトですが、カペルスキー/McAfee/シマンテックと比べても最速での対応でした。Microsoftがトロイの木馬をばらまいてるんじゃないかと思うほどです。

日本で多く使われているトレンドマイクロ(ウィルスバスター)は、ほとんどは私がチェックした時にはすでにマルウェア認識していたのですが、ときどき認識できないことがありました。本当に数少ないですけど、Microsoft/カペルスキー/McAfee/シマンテックに比べると不安が残ります。

私が今使っているのはESETのNOD32ですが、上記の本記事にも書きました通り、最初に送られ始めた時にマルウェア認識できないファイルが出ていたことは事実です。この頃はVIRUS TOTALを知らなかったので他のアンチウィルスソフトではどうだったか不明ですが、8/23以降はMicrosoft Security Essentialsと同様の最速さですべてのファイルをマルウェアと認識できるようになりました。

最近は迷惑メールの本文は同じですが、添付ファイルではなく、HTMLメールによる偽リンクによって危ないサイトに誘導、マルウェアをダウンロードさせるという手に出ています。それもHTMLメールにある偽リンクはまともなドメインのサイトなのですが、そのページがマルウェア製作者に乗っ取られているのか、アクセスしただけで危ないサイトにリダイレクトされ、そこでマルウェアをダウンロードさせられます。FirefoxでHTMLメールにある偽リンクにアクセスすると、HTMLメールの偽リンク先はアクセスできますが、そこからリダイレクト先に飛ばされた時に「危険なサイトにアクセスしようとしています」と警告が出ます。

三菱重工とか衆議院議員のパソコンとかでサイバー攻撃が話題になっていますが、実態は私のところに来ているような物が最初の発端。テレビのニュースで実際に議員のところに送られてきたメールが映されていましたが、そのメールの添付ファイルはPDFのアイコンでした。実際はPDFではなく、アイコンが偽装されたEXEファイルです。拡張子もメーラによっては表示されないので、アイコンにだまされてしまうでしょう。メールの本文は私のところに送られてきているような英語の怪しげな内容ではなく、情報処理試験を開催したりセキュリティの警告を出したりする情報処理推進機構(IPA)からのセキュリティレポートのような物だったので、議員向けにリテラシー向上のために送られたと思っても仕方ないような内容でした。

マルウェアが入った迷惑メールは今では1週間に1回程度の送信頻度に落ちましたが、リアルに手口を勉強させていただいているので、送信者にはとても感謝しています。(^^;

| | コメント (0) | トラックバック (0)

2011/08/21

新型にも負けないぞ「OWC 240GB SSD」

Owcssd新しいMacbook Airが出ましたが、Lion様子見の先代持ちとして新型がうらやましい唯一の理由は256GB SSDが選べること。最近はVMwareで動かしてるWinXPの上で開発環境作ってテストしてるので、Oracle DBやらEclipseやらAccessやらで、ディスクがふくらむ要素がてんこ盛り。内蔵SSD 128GBのうち、40GB以上がWinXP環境に食いつぶされてしまっています。Officeぐらいしか入っていない頃は10GB程度で内蔵SSDの空き容量も30GBぐらい空いていましたが、今ではもう空きが2GBになったりするような危険水域状態。これまでやりくりしてきましたし、Airの快適さはSSDが担ってるところが大きいので我慢してきました。しかし新しいAirで256GBが選べるとなると、気持ちが揺らぐ揺らぐ。Lionが安定してるという評価が多数派だったら、今のAirを中古に出して新しいのを差額5万ぐらいで買ってしまうところでした。

Lionはまだ対応してないプリンタドライバもあるし、私が使っているWimaxのUSBアダプタのドライバも対応してません。MindmapツールのFreemindも本体のJavaプログラムを呼び出すまでのインターフェースがPowerPCアプリだったようで、RosettaがなくなったLionではまだ動きません。仕事で使う環境がまだ構築できそうにないので、Lionに移行するのはまだ先になりそうです。

まだしばらく容量のやりくりをやる覚悟をしていたのですが、Air用のSSDを出しているOWCのSSDのページを見たら、円高のおかげで日本で買うよりずいぶん安く買えることに気付きました。日本だと240GBのが5万ちょっとですが、アメリカから直接購入すると日本への配送料を入れても4万前後(VISAの為替レートとカード会社の為替手数料込み)で購入できます。OWCでは日本にも配送してくれるので、注文するのも簡単な英語が読めれば(というか、英単語がわかれば)手間は日本で注文するのと変わりません。心配なのは初期不良で返品しなければならない時でしょうか。

今回買ったのは240GBですが、最初に注文したのは360GBでした。240GBだと新Airと同じですが、360GBだと新Airでも選択できないサイズなので、新Airを買わずにSSD交換という選択に大きな意味を持たせることができます。日本だと11万オーバーという超高値なので検討もしていなかったのですが、OWCなら6万ちょいです。日本とアメリカで差額5万。240GBだと差額1万で返品時の保険として日本で買うこともアリだと思いますが、5万も差額があるとアメリカからの直接購入一択になります。それどころか、いくつか購入してヤフオクで売ろうかと思っちゃいました。

360GBを注文したのですが、次の日にOWCからメールが来ました。「360GBは2010モデルのAirには対応しないことになったから、2010モデルに使うつもりだったら諦めてくれ」という内容。日本で購入できるところではまだ2010モデルにも対応と表示されていますが、いずれ対応が外れると思われます。360GBを諦めて一時は480GBにしようかとも考えましたが、こちらの値段はまだまだ高い。10万超えます。日本だと15万弱なので差額も360GBと同じく大きいですが、さすがにAirを買えるだけのお金は出せません。それにさすがにそんなにあっても、便利さを感じるほど使うことはないだろうと240GBを注文しました。

アメリカの東海岸からFedExで発送されたのですが、火曜夜に注文して金曜朝に届きました。送料$20でこんなに早く届くなんて、この10年でどれだけ流通進歩したんだよ!!(笑)

SSDにはAirの裏ぶたを開けるための工具もついてるので、すぐに交換開始。純正品を外すのはほんのちょっと上に上げて左右に揺らしながら少しずつ抜いていきます。ノートPCのメモリのように、ひっかけを外すと上に跳ね上がって抜けるような構造ではないので、あまり上に上げると根元が折れかねません。OWCのSSDをはめ込むのは、けっこう力がいりました。接点が純正品より少し厚めな気がします。しかもカチリと奥まで入らず、なんかすっきりしません。いちおうSSD取り付け用のネジがはまるぐらいには挿せたので、それでよしにしてしまいました。少なくとも接触不良が起こるようなことはないでしょう。

裏ぶたを閉めて、Airに付いてきたMacOSインストール用のUSBを挿してOSをインストール。データ移行は事前に取得しておいたTimeMachineから勝手に復旧。TimeMachineはやっぱ楽です。でもFirewall設定とVPN以外のネットワークは移行されていませんでした。なんでだろ。MS Officeのライセンスも移行されてなくて、Officeを起動したらライセンスコードを要求されました。Officeの方はインストールしてあるディスクが変わったために再認証になった可能性もあります。

SSD変えてみて、今のところは純正品との差はありません。Office 2011のWord/Excel/PowerPointは初回起動こそDockでアイコンが2バウンドで起動ですが、次からは1バウンドで起動します。速度は変わらなくても、残り容量気にせずに使えるのが楽です。

リソース的にはあと3年は戦えるだけになりましたが、壊れずに使い続けることはできるでしょうか。最近のMacは壊れやすくなった気がするので、それだけが心配です。まだ買ってから1年以内だから、AppleCareに今からでも入ってあと2年の保証が効くようにしようかな。

(2011/10/27追記)
Airの持ち運び後にモニタ開いてスリープから復帰する時に、SSDを認識せずに復帰に失敗することが1ヶ月に1回ぐらい起こるようになりました。こうなると、再起動してもSSDが見つからずに起動失敗します。直すには裏ぶた開けて、SSDを一回抜き差しします。これでSSDが認識するようになり、起動もできるようになります。接触不良によってSSDを認識できなくなるような気がしますが、裏ぶた開けずにAirを振るぐらいでは認識してくれません。SSDの抜き差しで電気的にリセットが働くのでしょうか。謎です。

(2011/11/16追記)
OWCのSSD、認識しなくなってしまいました。先週金曜日に仕事で朝から使っていたのですが、1時間ごとぐらいにカーソルがレインボーマークでぐるぐる、特定のアプリだけがフリーズしたのではなくOS全体が動作不能に陥ってしまいました。この日はFirefoxが8にバージョンアップしたのでこれが原因だと思ったのですが、仕事が一区切りしたのでデータのバックアップをしようとしたのですが、コピー中にレインボーマークがぐるぐるで止まってしまいます。3度目ぐらいの再起動でOSが起動しなくなり、いつものSSD取り付け直しでも認識しなくなりました。思えば1ヶ月に1回ぐらいの頻度でスリープから復帰しないというのも、SSDの微妙な初期不良だったのかもしれません。

このOWCのSSDは3年保証だったので、購入元のOWCのサポートにメールで状況を説明。2往復のメールのやりとりで無償交換となりました。送料はこちら持ちなので、EMS(郵便局の国際スピード郵便)の費用が保険込みで1250円です。これで4万円までの保証がつき、アメリカ東海岸でも3~5日程度で到着します。今はこんなに便利になってるんですね~。SSDが故障したのは不幸でしたが、知らない世界を経験することができました。海外のサポート窓口に英語で問い合わせるというのも考えていたよりも簡単だったので、円高活かした買い物がこれまでより気軽にできそうです。(プラス思考w)

(2011/11/29追記)
OWCのSSD、交換品が届いたのでAirの純正と交換。この機会にSnow LeopardをTimeMachineバックアップからの引き継ぎインストールではなく、クリーンインストールしました。AppStoreからインストールしたアプリはAppStoreアプリにAppleIDを入れるだけでまとめてインストール、それ以外は必要な分から最新のインストーラをダウンロードしてきてポチポチとインストールしていきました。

メディア使ってインストールしたのはMS Office2011ぐらい。今はアプリインストールにもメディア使わなくていいので、Airのようにドライブ持ってないモデルでも楽です。(^^)

| | コメント (4) | トラックバック (0)

2011/08/03

短信の短信「Airが返ってきた」

修理に出していたMacbook Air(Late 2010)が返ってきました。仕事環境を1週間ほどMacbook Pro(Mid 2010)に移して作業してきましたが、画面の広さと内蔵ディスクの余裕度以外はMacbook Airの方が数倍快適です。持ち運びに軽いだけでなく、アプリの起動やファイルアクセス、アプリの切替でMacbook Proでは引っかかることがあるのですが、Airではまったく問題ありません。

Macbook ProはCore i7の2.66GHzとけっこうスペックはいいのですが、HDDとSSDの差が思いっきり出ていることになります。ちょっとMacbook Proでの引っかかりが多すぎるので、ファイルシステムが少しいかれてるのかも。あとMid 2010のMacbook Proは出た当初には「フリーズするわけではないが、しょっちゅうレインボーカーソルが出る」という評価もあったので、出たばっかのチップセットに問題があるのかも。

まだこのMacbook Airで戦えるなぁ。まだ購入してから1年未満だから、Apple Careに入ろうかな。

| | コメント (2) | トラックバック (0)

2011/08/01

短信「Macbook Airを修理に出しました」

4日前にMacbook Air(Late2010)を修理に出しました。壊れたわけではありません。少し調子が悪くなったパッドを交換するためです。

このAirは8ヶ月使ってきたわけですが、パッドのクリックの接触が緩くなってしまい、パッドの端から2cmぐらいまでのところだとカチッとする前にクリックになってしまい、指を置いているだけでクリックになってしまう状態になっていました。

指を置いていなければ間違えてクリックということもないのですが、私は二本指スクロールをしている時もクリックポイントに親指を置くスタイルで使っており、しょっちゅう意図しないところでクリックとなって悶々としていました。しばらくは親指の位置をパッドから外すというスタイルを取っていたのですが、違和感に我慢できずに仕事環境をMacbook Proにコピーした上で銀座のジーニアスバーに行ってきました。

接触が緩くなった程度で不具合を認めてくれるか不安だったのですが、ジーニアスバーではあっさり調整に入ってくれました。パッドを少し持ち上げてくれたのですが、部分的には良くなっても別のところはさらに過敏にクリックになってしまい、パッド取り付けの微調整ではなんともならないことに。それでパッドの交換をお願いしました。まだ購入から1年たってないので無償交換です。

新しいMacbook Airが出て、私のMacbook AirもApple Storeの買い取りサービスを使うと76000円で買い取ってくれるので差額5万程度で256GB SSDのモデルを購入できるので買い替えることも考えましたが、今使ってるMacbook AirがMS OfficeやVMwareでWinXPを使うには問題ない性能と、あまり熱くならないというバランスの良さから、もうしばらく使うことにしました。

特にOSをLionにするのは、もうちょっと安定性とソフトの対応が良くなってからにした方が苦労が少なそうです。

| | コメント (1) | トラックバック (0)

« 2011年1月 | トップページ | 2011年11月 »