ある日、何気なくマルウェアスキャンをかけた。
ふと気になっただけで、深い意味はない。
ところが画面に表示されたログを見た瞬間、いくつかマルウェアに引っかかっていたのは駆除すればいいだけと大して気にしなかったが
次の警告で血の気が引いた。
「C:\Windows\System32\ShareTargets.dll にマルウェアを検出」。
え? System32? そこって触っちゃダメな場所だろ
ググればWindows共有用のDLLだ。
ここに感染とか、もうOS終わったぞ。復元効く?sfcで直る?dismは?…と、思考がぐるぐる。
しかも検出されたのが Gen:Variant.Application.Barys.321715 (B) といういかにもな名前。
さすがに「これはヤバいやつ来た」と思った。
システムファイルに感染⁉ → フタを開けてみたら…
恐る恐る SFC /scannow を走らせ、ついでに DISM /Online /Cleanup-Image /RestoreHealth も発動。
でも、変化なし。エラーも修復報告もなし。
「これは完全に汚染されたんだ…やっぱISOからDLLだけ引っ張ってくるしかないか…」なんて、
頭の中ではすでに復旧プランを練り始めた。
ところが調べていくと、実はその検出、ただの誤認識だった。
もう一台のPCの同じDLLを感染したPCに移そうとその前にチェックにかけたところ、なんとそっちも同じく「感染」と判断されてしまう。
念のためにDLLを持ってきたPCで新規にマルウェアスキャンソフトをダウンロードしてスキャンするとPC全てに感染なしだ。
でもそのDLLを移してスキャンすると感染していると判断する。
ここである程度見えてきた。
この状況が想定されるのはDLLをコピーしている間に感染したか、スキャンソフトのバージョン違いのいずれかだろう。
前者だったら常駐のウィルスソフトが何か反応しそうだ。
よく見れば900日アップデートされていませんと表示されるのでスキャンエンジンが古かった。完全にアップデートを忘れていた。
ここで生きる希望が見えてきた。
このPCに入っているAI環境全部作り直しかよという絶望の小一時間はなんだったのだ。。。
でも実際、マルウェアはいた。
とはいえ、「全部誤検知だったからヨシ!」とはいかない。
他にも同時にいくつかのゲーム用トレーナーソフト(HP無限!攻撃力99999!みたいなアレ)から、
ガチめのマルウェア(gen:variant.barys123329 など)が複数検出されている。
さらに悪いことに、AI用に仮想プラットフォームとして使っているAnaconda のフォルダの中にも不審なファイルが…
あと、AI ツールの中にもいくつかマルウェアが見つかる。
システムファイルではないので消せるのでまだマシだが放置したらパスワードなどが盗まれるリスクがある。
セキュリティは「組み合わせ」で考える時代
この経験で一番痛感したのは、「標準のセキュリティだけでは防げない領域がある」ということ。
よくYouTubeの専門家っぽい人が「Windows Defenderで十分!」って言う。
たしかに、普通にOffice使ってメールして、YouTube見てるだけならそれでいいかもしれん。
でも、インターネットの深い沼に潜ったり、エロ系広告踏んじゃったり、
開発用に変なツールをインストールしたりする人には…それではまったく足らない。
実際、Defender では完全スルーだったマルウェアが、Emsisoftの anti-malwareで一発検出された。
このソフト無料版でも十分使える。
しかもPUP(不要アプリ)や不審なDLLも、容赦なく引っ張ってきてくれる。
今回のようなエンジン古いとかで誤検知リスクはあるけど、検知しないよりは100倍マシ
油断した頃に奴らはやってくる
セキュリティって、気を抜いた瞬間に入り込んでくる。
マルウェアスキャンソフトも、常に最新の状態にアップデートして使うのが大前提。
あとやっぱり、複数の視点から見られる環境が必要。
ESETのネットワーク保護とウィルススキャン+Emsisoftのヒューリスティックな挙動分析、
この二段構えはけっこう信頼している。
「Windows標準だけで十分」って話は、あくまで「普通の使い方」をしている人向け。
インターネットの沼に片足突っ込んでる人は、自衛のためにセキュリティを”盛る”必要がある。
ということで皆さん、マルウェアスキャンは定期的に。手動アップデートも忘れずに。
そして、怪しいサイトやツールに手を出したら、覚悟もしておこう。