なんと、ロシア語キーボードがあるとランサムウェアが停止する!
引用元:https://news.ycombinator.com/item?id=44415233
マシンをマルウェア解析用のサンドボックスみたいに見せかけると、多くのマルウェアは解析されたくないから止まるんだって。まあ、これはイタチごっこの一部だよね。
ファームウェアにVirtualBoxって文字列を入れてみたらどうかな?
(ちょっとニヤリ)
そうそう、もっとVMっぽく見せるなら、ホストマシンにVirtualBoxのゲスト拡張機能を入れるのもアリかもね!
(あくまでネタだけど!)
これ、冗談抜きでやるのって何かデメリットある?結構効果ありそうだけどさ。
最初からシステムを強化して、そもそも脆弱にならないようにする方が、そんなに大変じゃないし、もっと多くの脅威から守れると思うよ。
同意だね。例えば、管理者権限じゃないアカウントを使うとかさ。
それってランサムウェアからどうやって守ってくれるの?
詳しく教えて!
権限が少ないユーザーだと、書き込みできるファイルが限られるから、被害の範囲をそこに留められるんだよ。
でもさ、普段書き込み権限があるファイルって、俺にとって大事なファイルなんだよね。そういうのは、変更できないスナップショットとかオフラインバックアップが役に立つよ。
これ、個人より会社みたいな環境でめっちゃ重要なんだよね。攻撃者がローカル管理者権限を持っちゃうと、ネットワーク内であちこち動き回るのがすごく簡単になっちゃうからさ。
ローカルadmin権限って、ネットワーク内を移動するのにどう関係あるの?
そうそう、賢いマルウェアはPCのCPUコア数とかHDD容量とか、ハードウェア温度やデバッガがあるかまでチェックするんだよ。Windowsのマルウェアは30年でかなり進化してるんだよねー。
アカウントがPCにログインすると痕跡が残るからだよ。メモリやディスクに認証情報とかが残るんだ。管理者が適当なPCにログインすることも多いし、サービスアカウントもあるし、昔はadminパスワードが全部同じだったりね。ちゃんとやってれば大丈夫だけど、そうじゃないとこが多いんだ。これらにアクセスするにはローカルadmin権限が必要で、それを使えば他のシステムにも入れるんだよ。
アンチチートソフトがなんか文句言いそうだな。
最近の(アンチチートとかマルウェア検出とか)がどれくらい優秀か、何かおすすめの本とか記事ある?昔はゲームをクラックしてたんだよねー。
最近のWindowsサーバーはほとんど仮想化されてるから、これがまだ効くかは分かんないね。他の情報を見てる可能性もあるけど。
(引用)「サンドボックスに見せかけるとマルウェアは解析避けて止まる」
はあ?それは全然別の話だよ。ロシア語の入力方法が入ってたら、マルウェアは法的な問題避けるために止まるんだってば。
リバースエンジニアとかホワイトハッカーじゃないけど、こういう話読むの好きだな。マルウェアのほとんどはWindows向けなんだって。理由はWindowsの市場シェアがデカいから。Windowsマルウェアの情報は、この辺のセキュリティ企業のブログから仕入れてるよ。
https://www.trendmicro.com/en_us/research.html
https://www.proofpoint.com/us/blog
https://research.checkpoint.com/
https://blog.talosintelligence.com/
https://www.welivesecurity.com/en/
Microsoftのセキュリティブログもいいよ: https://www.microsoft.com/en-us/security/blog/
研究のほとんどは、マルウェアの永続化、アンチVM、アンチデバッグ技術に関することだね。例えば、マルウェアのアンチデバッグとアンチVM技術のいいまとめだよ:
https://anti-debug.checkpoint.com/
https://github.com/CheckPointSW/Evasions
なるほどね。アカウントそのものっていうより、ローカルマシンで管理者権限がないと取得できない他のアカウントデータに関することなんだね(ほとんどクレデンシャルスタッフィングみたいだ)。
他にも手がかりはあるよ。例えば、今他のHNの人気投稿で回避しようとしてるこれとかね:
https://wbenny.github.io/2025/06/29/i-made-my-vm-think-it-ha…
公平に言うと、俺たちが目にする(特にニュースで聞く)ほとんどの攻撃は、レベルの低いセキュリティ設定とか、不十分なトレーニングやアーキテクチャから来てるんだよね。ほとんどの会社が持ってないか、ほとんど何もしてないセキュリティ監視については言うまでもないけどね。ゼロデイ攻撃なんて、それに比べたらごくわずかだよ。定義上パッチが当たってないわけだし。だから、コメントした人は基本を指摘してて正しかったと思うよ。
Qubes OSは、コンパートメント化のアプローチを使ってる限り、未知の脆弱性からも守ってくれるはずだよ。俺には効いてるみたいだけどね(願わくばだけど)。
Mac向けのマルウェアって今すっげー増えてるらしいぜ。個人的には、iOSを狙ったマルウェアが一番興味深いな。詳しいことはこの辺のサイト見てみろよ。
https://taomm.org/
https://citizenlab.ca/
https://objective-see.org/blog.html
PatyaとかContiみたいなランサムウェアとか、Fancy BearやCozy Bearみたいな連中については、ロシア政府が非公式に“ロシア人以外なら攻撃しても黙認してやるよ”って保証してる証拠があるんだってさ。
あと、もし自分がロシア人だって言ったり、そいつらとロシア語でやり取りしたりすると、無料でシステムを元に戻してくれることもあるらしいぜ。
もしロシア人だって言ったり、ロシア語でそいつらとやり取りしたら、タダでシステムを直してくれるって話だけど、AI翻訳がめっちゃ使える今の時代に、それがどう通用するのかマジで不思議だよな〜。
ちょっと違う話だけど、前にロシア人のシェアウェア作者が、ロシア人向けに無料ライセンスを配ってたのを思い出したわ。
AI翻訳の時代にそれがどう機能するのかって不思議に思ってるみたいだけど、単に訳すだけじゃ文化的近さなんて示せないんだぜ。話し方のパターンが全然違うからね。
AIに全部の会話をやらせるって手もあるかもしれないけど、例えばClaudeなんて正確なフレーズを出すの拒否するんだ。だって、ソーシャルエンジニアリング攻撃だってちゃんと見抜くからさ。
優秀なLLMに“ネイティブっぽく振る舞って”ってプロンプトするのって、そんな難しくないんだぜ。必要ならジェイルブレイクだって楽勝だ。
この話で難しいのは、そいつ(LLM)が本当にネイティブみたいに機能してるかってのを確かめることの方だな。
君は、LLMに『〇〇みたいに振る舞って』ってプロンプトすれば、どんな〇〇に対しても自動的にそうなるって思い込んでるみたいだね。
LLMの能力には限界があるんだ。例えば『IQ300の核物理学者になって材料科学の博士号を教えて』ってやっても、何かは出てくるだろうけど、指定されたペルソナに完璧になりきれる保証はないんだよ。一応、頑張ってはくれるだろうけどね。
仮定なんかしてないってば。俺はネイティブスピーカーで、Claudeを実際に使った経験を話してるんだよ。Claudeはロールプレイングとか主要な言語にはかなり強いけど、いくつか注意点はあるんだ。
もし君がネイティブスピーカーじゃないなら、そいつが良い結果出してるかってのを確かめるのは難しいだろうな、それが言いたかったことだよ。
いやいや、それは無理だって。よく使うフレーズをいくつか出すことはできても、独自の話し方を持つ一人の人間みたいになりきるなんて別の話だよ。
例えば、Claudeはネイティブっぽく聞こえる友達との会話の始め方として、こんなフレーズを出すんだ(引用): Прив! Чё как?とかДарова, живой?とかね。
でも、どれが良い?って聞くと、Дарова, как сам?って選んじゃうんだけど、これってもう多くの状況でヘンに聞こえるんだよ。
もっとコメントを表示(1)
それ、LLMの使い方としておかしいだろ。
そりゃそうだろ。でも、お前が何を聞くべきかを正確に知ってなきゃ(それには言葉と文化の知識が必要で、お前にはそれがないだろうけど)、LLMはさっきみたいな答えを返す可能性があるんだよ。
こんな感じで会話始めたら 相手に こいつ12歳だろ”って思われるよ
そうそう その言語知らないと LLMのせいでティーンエイジャーみたいになってるって絶対気づかないよね
完璧じゃん お母さんのパソコンで困ってて”って言えばいいよ 12歳を演じ続けろ もし怪しまれて学校のこととか聞かれたら?LLMに信じられる返事させられるかな 大変だよ!
AIで日常会話レベルの外国語は学べないってこと?
外国語を日常会話レベルにするには 実際に日常で使う必要がある つまり その言語が話されてる文化にどっぷり浸かるってこと
はは Lobsters 2001 が毎日現実味を帯びてくるな 作中のセリフ引用 いや ごめん 商用翻訳ソフトは使わないんだ 通訳者は思想的に疑わしいし 資本主義的な記号論と従量課金APIばかりだ もっと英語をうまく実装しないと だろ 私と話すためだけに自分で言葉を覚えたってこと ああ 簡単だった 10億ノードのニューラルネットワークを生成して TeletubbiesとSesame Streetをフルスピードでダウンロードしたんだ 文法の間違いはエントロピーのオーバーレイのせいでごめんね デジタル指紋が僕らのチュートリアルに埋め込まれてるのが怖いんだ ヤバいEULAにひどくやられた チェチェンの情報テロリストが持ってる特許ペーパーカンパニーなんて実験する気はないよ 君は人間だから ライセンスのない食べ物を消化したからってシリアル会社に小腸を取り上げられる心配はいらないだろ https://www.antipope.org/charlie/blog-static/fiction/acceler…
じゃあロシア人に金払って交渉してもらえばいいじゃん
どんでん返し 実は身代金を要求してきたのはそいつらだったっていう ドメイン名のブローカーを思い出すな ベストプライス交渉してあげる”って言って 販売額の何パーセントか持ってくやつら
ロシア語の シボレス が出てくるだろうなって思うよ[0] https://en.wikipedia.org/wiki/Shibboleth
AI翻訳の時代にどうなるんだろうね もし疑われたらアルバニア語で繰り返せって言われるよ
そんな単純じゃないと思うな。
どこにでもロシア人はいるし、被害者の会社にもいるだろうから、ロシア人ってだけじゃダメだよ。
会社がロシア系だって納得させるか、親がFSBだって言うとか、そういうことしないと。
身代金が何億とかだったらね。
いや、それは単純なことだよ。
会社にロシア人が一人いるだけで、どうしてランサムウェアから守れるの?
そんなことがマルウェアに検出できるわけないじゃん。
ていうか、コンピューター使ってる人の父親が誰かなんて、ランサムウェアが気にするわけないでしょ?
それ、まさに核心をついてるね。
「テントの中で小便するな」(身内を攻撃するな)って方針は、ロシアのグループはみんなよく分かってることなんだ。
ロシア人を攻撃しないのは、被害者が警察に訴えて、警察は捜査せざるを得なくなるからだと思うよ。
外国相手だと、この点では問題にならないんだね。
特別な免責があるわけじゃないと思うけど。
でも、外国人も問題になることあるよ。
最近、Joe Bidenからの訴えで始まった捜査の後、何人かのサイバー専門家が有罪になったし。
00年代後半に友達の PC から「winlockers」をいっぱい消してたロシア人として、私は反対かな :D
でも、あれはそんなに洗練されてなかったと思う。
ファイルは暗号化しないんだ。
閉じられない画面で「払え」って要求するだけ。
たまに「アダルトサイトへのクイックアクセスウィジェットをインストールしてくれてありがとう」とか、笑える言い方のもあったし。
キリル文字キーボードが有効になってるシステムを特に標的とするマルウェアがないとしたら、逆にびっくりするけどね。
キリル文字キーボードはいっぱいあるんだよ。
ブルガリア人を攻撃しないでね :)
どの Windows でも最高のマルウェア対策は、普段使うアカウントを管理者じゃないやつにすることだよ。
別に管理者権限のあるアカウント(ローカルでも OK)を作って、パスワードは別にする。
何かインストールしたり管理者で Powershell/CMD 動かす時に、管理者アカウントのログイン画面がポップアップで出るんだ。
これは Linux の sudo と同じ。
ちゃんとした IT 部門はみんなこうしてるよ。
何もしてないのに管理者の画面が出たらおかしいってすぐわかるし、ほとんどのマルウェアは入らない。
普段使いは普通(短すぎず)のパスワード、管理者はもっと複雑のにできるのもいいね。
「おばあちゃんの PC」とか、変なもんクリックしがちな人に特にオススメだよ。
あー、Linux使えばいいんじゃね?
俺もLinux毎日使おうと何年かおきに試すけどさ、「Linuxは時間がタダなら無料」ってジョーク、マジだなって思うわ。
管理者昇格のポップアップが出てなくてもマルウェアは結構何でもできるんだよね。権限ないユーザーで実行されても、そのユーザーができるファイル操作とか、ネット接続は自由自在。
データ流出とかユーザーの重要ファイルへのランサムウェア攻撃、ただの破壊行為は防げないよ。
2000年代〜2012年くらいまでは管理者じゃないアカウント使うのは有効だったかもね。でもVista以降のマルウェアはUACに対応して、今は普通のユーザーとしてもうまく動くんだよ。通常のユーザーがアクセスできるデータは全部ランサムウェアの標的。
管理者権限を制限してもデータ保護にはほとんど役に立たないね。
俺は大事なことは物理的に別PCでやるけど、Windowsの非管理者アカウントでデータアクセスを分けるのもほぼ同じくらい良いよ。Windowsのユーザー間の隔離は結構しっかりしてる。
Chromiumのカスタム版も同じような動きするね。
これは本当だけど、防御って多層的にやるもんだし、Microsoft謹製のDefender AVとかもめちゃくちゃ良くなってるよ。
俺に言わせれば、ほとんどのマルウェアは無知なユーザーが間違ったことしてるからかかるんだと思うけど、それはまた別の話だな。
「無知なユーザーが間違ったことしてる」ってのはちょっと厳しいんじゃない?そういうユーザーは犯罪行為の被害者だよ。防御策はもっと良くできるはず。
Windowsにはローカルファイルの不変性とか、非特権ユーザーとして実行されるランサムウェアから守る機能がない。突然大量のデータを上書きし始めたアプリを保護する機能もない。
代わりに、ランサムウェア対策の唯一の答えみたいにOneDriveをゴリ押ししようとしてるだけなんだよ。
適材適所だよな。Linuxはデプロイ用、LinuxかMacは開発用、Windowsはゲームと普段使い用。それぞれの分野で圧倒的に優れてるし、議論するまでもないくらい明白だろ。
何がうまくいかなかったのか、もうちょっと詳しく教えてくれる?最近のMacBookにインストールしたとか、サポートがあんまり良くないやつ?
俺の経験だと、ポピュラーなディストリビューションのインストールと実行は超簡単だよ。Windowsより楽なくらい。クラウドアカウント作らされたり、プライバシーの質問に山ほど答えさせられたりしないからね。インストールしたらすぐ新しいデスクトップが起動する感じ。
「quasi-malicious customized versions of Chrome」って何のこと?
いろんなデバイスで使ってみたよ。DellのノートPC(GPU切り替えがLinuxのディスプレイドライバーで悪夢だった)、自作デスクトップ、Raspberry PiにRPi OSとか。
Linuxのほとんどのことは大丈夫だし、ターミナルも結構使えるんだ。でも、Windows/Macだと一瞬なのにLinuxだとすごく面倒な10%くらいのことのせいで、結局離れちゃうんだよね。
例えば、Google DriveのLinuxクライアントはないでしょ。rcloneで1時間いじって、双方向同期できるようにしても、トークンは毎週期限切れで更新しなきゃいけない。
まあ、「Google Drive使うな」ってのが解決策の一つなのはわかるけど、今のワークフローをLinuxで動かすための小さいプロジェクトとか、Linuxの制約に合わせるためにワークフローを変えるのにかかる時間が、結局無駄な時間として積み重なっちゃうんだ。
もっとコメントを表示(2)
大きな組織で情報セキュリティの仕事してる者だけど、正直、この記事は間違ってないよ。どんなに分かりやすいセキュリティトレーニングとかEDR対策をしても、インシデントの95%以上は、ユーザーが(たまに超分かりやすい)フィッシング詐欺のリンクを踏んだせいなんだ。
あと、記事で言われてるのと違って、Windows DefenderはAirlockと組み合わせてランサムウェア攻撃から救ってくれたこともあるよ。
Linuxでゲームはもう何年も前からできるよ。
Windowsが必須なのは、アンチチートがあるマルチプレイヤーゲームをやる場合がほとんどじゃないかな。
マルウェア対策でLinuxのセキュリティ構造に特別なものはないよ。Linuxの市場シェアが低いから標的にされないだけで、これはせいぜい知られてないことによるセキュリティ効果だよ。UnixのセキュリティモデルはWindows NTよりずっと単純だし、みんなSELinux無効にするから機能も生きてないんだ。
もしマルウェアに感染したら、LinuxでもユーザーアカウントのデータはWindowsと同じくらい漏洩とか身代金のリスクがあるってこと。
「Controlled folder access」って、その保護機能の一部なんじゃない?
あとシステムの復元ポイントとかも対策になるよね?
>There is no Google Drive client for Linux
え、何言ってんの?
GnomeにはGoogleアカウントの機能が何年も前からあるし、NautilusからGoogle Driveに普通にアクセスできるじゃん。
https://xkcd.com/1200/
リンクだけ貼るのは気が引けるけど、まさにこの通りだよ。複数人で使うシステムなら意味あるけど、たぶんほとんどのHN読者は一人で使ってるでしょ?
一人用デスクトップで管理者権限を分けるメリットって正直思いつかないんだ。
管理者じゃないからって、マルウェアが実行されてユーザーアカウント内に居座るのを防げるわけじゃないしね。
(ユーザーのローカルデータにアクセスされても)広がりを止めるのには結構役立つよ。(小さく始めて昇格していく)昇格経路攻撃が今も定番なのはそのためさ。
あと、AppLockerとかで使うアプリだけを許可する方法もあるし。
PCを物理的に分ける代わりにVMを使うのはどうかな?
そうそう、LinuxでPongが動くのと、Linuxでゲーム全体ができるのはイコールじゃないんだよね。
ほとんどのゲームは起動しないか、動作が悪かったりするから。
それってさ、Windows Vista(2006年)の頃からUser Account Control (UAC)がやってることとそっくりじゃない?
Windowsを使わなきゃいけない理由っていっぱいあるんだよ。俺はゲームいくつかやってて、それがLinuxだとWINEやProton使っても対応してないからWindows箱を持ってるんだ。
それは無理だよ。悪意ある第三者がChromiumのディストリビューションを作ってて、管理者権限なしでユーザーのAppDataフォルダに完全に機能するブラウザとしてインストールされるんだ。閲覧履歴を抜き出したりとか、余計な機能が付いてるんだよ。Electronベースのアプリって大体そう。AppDataフォルダからChromiumが動いてるだけ。ITや中央管理を回避するための「シャドウIT」ソフトウェアのエコシステム全体が、AppDataフォルダにインストールされて管理者権限なしでバッチリ機能してるんだ。
もうずいぶん前からゲームのためにWindowsなんて要らないってば。SteamのゲームはLinuxで動くし。
「みんなSELinux無効にしてる」って言うけど、それ多分RH系の話でしょ。個人的な見解だけど、多くのLinuxデスクトップはapparmorかカーネルセキュリティモジュールなしでやってると思うよ。あ、そうそう、俺はSELinux無効にしないけどね、それが原因かクイックチェックする時以外は。当然俺は「みんな」じゃないけど、「誰か」ではあるね。
ProtonDBがどれくらいのゲームがうまく動くか調べるのにすっごく役立つって分かったよ。URL: https://www.protondb.com/
Steamでログインして自分の正確なライブラリのサマリーを見ることもできるから、興味ある人はどうぞ。
数年おきに誰かが俺にWindowsを使わせるんだけど、俺のデータって全く価値ないんだなって思うよ。だってあれって巨大なアンチパターンで、ただただ時間を無駄にするだけだもん。
>「Controlled folder access」ってその防御の一部じゃないの?
デフォルトで無効だと効果出すの難しいよね。
>restore pointsも?
System Restoreを使えば、個人ファイルに影響なくこれらの変更を元に戻せるよ→https://support.microsoft.com/en-au/windows/system-restore-a…
>広がりを止めるのにかなり役立つよ(ユーザーのローカルデータにアクセスできてもね)。
日常使いのWindowsマシンでは、ユーザーは権限の低いユーザーアカウントで実行すべきだよ。
そうは言っても、最近の攻撃は全部データが目的なんだ。金になるからexfil\ransomware\blackmailが全てなんだよ。個人の家庭用PCには横方向の移動や大きな標的はないしね。
xkcdを引用するのは気が引けるけど、本当なんだ:https://xkcd.com/1200/
>あと、applockerみたいなのを実行して、使うアプリ全部ホワイトリスト化することもできるんじゃない?
個人のマシンにはちょっとやりすぎだし、そもそもAppLockerのライセンスないでしょ。AppLockerは企業のマシンでもすっごい大変なんだよ。タスクがすごく特定されたコンピューター以外でAppLockerを設定した経験だと、ホワイトリスト化して、また試して、もっとホワイトリスト化して、また試して、の巨大で終わりのない苦行なんだ。洗って、すすいで、エンドユーザーから苦情来て、繰り返し。
>あと、個別の物理箱じゃなくて、VM使えばいいんじゃない?
現実的な問題だね。俺は余ってる低スペックのノートPCをいっぱい持ってるんだ。俺のマシンは、ほとんどがカスタマーのお古ゴミ。ちゃんとしたマシンにお金かけたのは2015年頃から無いんだよ。😊
