日記帳だ! with Tux on Libserver

二度目の大改造!! 日記帳…か?を継承し、より柔軟でパワフルなBlogに変身しました。

RSSに対応しています。リンク・コメント・トラックバックは自由にしていただいてほぼ問題ありません。
RSS購読方法、僕のリンク・コメント・トラックバックについての考えを読むことをおすすめします。

<< 過去

未来 >>

まさかフィンガープリントが一致しただけ?

先日、会社の業務用PCに新しいマルウェア対策ソフトを入れた。

至急インストールせよという指示だったので、その通りにやった。

それで今日、自作のVBAマクロを組み込んだExcelワークシートを開くと「不審なマクロを検出しました」と出てきて開けない。

なんだこりゃ。


対策ソフトのメーカーのWebサイトを見ると、Microsoft Officeのマクロに対する検査機能を備えているようだが、

一律にマクロを禁止しているというわけではなく、何らかの解析を行って危険かどうか判定しているようだ。

以前、これと似たような操作を行うマクロを作ったことがあって、それはどうだと開いて見ると問題はない。

なんとなく説明を読む限り、一定のフィンガープリントを持っているものを弾いているように見えた。

そこで、Excelワークシートのファイルにちょっと細工をしてみると、無事に開けた。

それでとりあえず回避できたが、Excelで開くと「ファイルが壊れています」という警告が表示される。

警告が表示されるだけでやりたいことはできるので問題ないが、改めて恒久対策をしないと。


今のところは、自作のマクロのフィンガープリントがマルウェアのものと一致したのか、そんな理由で弾かれたように見える。

プログラムの内容に対して評価が入って弾かれたのではなさそうに見えるので、

プログラムの動作に影響がないところでソースコードを変更すると回避出来そうに見える。

そんなんで回避出来ていいの? って思うけど、マルウェアの性質なども考慮してのことか。


本当にフィンガープリントの一致だけが原因だとすると、よくそんなの引き当てたなと思うけど。

どういうアルゴリズムを使ってるか知らないけど、SHA-1ハッシュだとすると80bitだから、

偶然一致する確率は1.2×1024回に1回、照合対象のフィンガープリントはいくつもあると思うが、

例え100万個のいずれかと一致するとしたところで、121京回に1回とかそんなレベルですからね。

ちょっと疑わしい数字だけど、少し変更するだけで回避できるってのはそういうことなんじゃないのかな。


パッと見た感じでは、この対策ソフトを無効化することはできなかった。

一般的な対策ソフトだと、一時的にオフにする機能があったりするけど、

オフにしたまま使われ続けては危険なので、一般ユーザーには封じているのかもしれない。

今回は細工をすることで回避出来たが、どうしても回避出来ない場合はどうするんだろうね。

危うく業務が止まってしまうところだっただけに心配になった。


Author : hidemaro
Date : 2019/10/03(Thu) 23:31
コンピュータ・インターネット | Comment | trackback (0)
blog comments powered by Disqus

トラックバック

トラックバックURL取得

Tools