マシンにマルウェアが一切存在しないが、更新、パッチ適用、セキュリティ保護などは一切行われていないとします。信頼できる少数のサイトでのみ使用する目的で、ワイヤレス ルーター経由でインターネットに接続するとします。あるいは、議論のために、ブラウジングはまったく行わず、ネットワークに接続したままにしておくとします。これはすべて、ケーブル インターネットがある住宅環境で起きていることです。
このような状況では、リモートの攻撃者は、マシンがインターネットに接続されているという事実を何らかの方法で検出し、接続してエクスプロイトを試みることができますか?
答え1
推測するのは難しいですが、試してみます。あなたはこう尋ねています:
このような状況では、リモートの攻撃者は、マシンがインターネットに接続されているという事実を何らかの方法で検出し、接続してエクスプロイトを試みることができますか?
パッチを適用していないマシンがクリーンであっても (どうやってわかるのでしょうか? クリーン インストールを実行しましたか?)、再び侵害される可能性があります。パッチを適用していないマシンがただ座って何もしない場合は、直接検出することは困難です (トラフィックを送受信する場合はそうではありません)。ただし、だからといってマシンが安全であるとは限りません。
パッチ未適用のマシンが侵害される可能性のあるシナリオは次のとおりです。ルーターの脆弱性(起こりました 前に) 攻撃者がルーターを侵害する可能性があり、パッチが適用されていないマシンは格好の標的となります。
別のシナリオ: ワイヤレス ルーターの暗号化やパスワードが弱いと、ルーターが侵害され、そこからパッチが適用されていないマシンも侵害される可能性があります。
そして最後に、すでに述べた明らかなシナリオとして、ローカル ネットワーク上の侵害されたマシンによって、パッチが適用されていないマシンが侵害される可能性があります。
信頼できるサイトを訪問することに関しては、そのようなサイト上の第三者の広告がマルウェアによるユーザー感染そのため、Adblock Plus や NoScript などを使用しない限り、マシンが危険にさらされる可能性があります (ただし、これはマシンのセキュリティ保護の一部です)
もちろん、これらのシナリオは非常に簡単または一般的ではありませんが、起こり得ることであり、以前にも発生しています。
ルーターの背後にあるかどうかに関係なく、パッチを適用していないマシンをネットワーク上に長期間放置しておく理由はまったくありません。
答え2
2 番目の「クリーン」なマシンは、ルーターの背後にある場合、インターネットから直接攻撃されて感染することはありませんが、最初のマシンが既知のマルウェア感染している場合は、そのマシン上のマルウェアが、ネットワーク上の他のマシンを積極的に探し出し、あらゆる手段を使って感染させるように記述されている可能性があります。
ネットワーク上の 1 台のマシンが感染している場合、すべてのマシンが潜在的に危険にさらされます。特に、データやプログラム、ユーザー名やパスワードを共有している場合は危険が高まります。
このクリーンなマシンに古いオペレーティング システムやパッチが適用されていないオペレーティング システムが搭載されている場合は、ホーム ネットワーク全体で悪用される可能性のある脆弱性が存在する可能性が高くなります。
絶対に信頼できるサイトだけにアクセスするのであれば問題ないかもしれませんが、最新の保護機能を得るために私が最初にアクセスするのはウイルス対策サイトです。
感染したマシンをクリーンアップできるまでは、常に 1 台のマシンのみをオンにしておくことをお勧めします。
答え3
今日のマルウェアは、多くの場合、プログラム/OS の脆弱性、サービスの脆弱性、共有ポイントなどを探す多面的な攻撃の配信メカニズムです。最初のマシン感染から、さまざまな脆弱性を介してネットワーク上の他のマシンを能動的または受動的に攻撃するように感染エージェントを押し込もうとします。
あなたのシナリオでは、誰かが別のシステムを感染させ、それが脆弱なシステムを攻撃する可能性の方が高いです。感染がリモート アクセス トロイの木馬である場合、その人物は内部ネットワーク上のすべてのマシンをアクティブに確認することもできます。他のマルウェアもネットワーク スキャンを実行し、情報を自宅に送信できます。
ファイル共有が使用されている内部 Windows ネットワークでは、パッチが適用されていないマシンが 3 つの異なるベクトルを通じて攻撃される可能性があります。
1) トロイの木馬が自動再生でドロップされた共有ポイント。マシンは直接実行されるか、自動再生がトリガーされることによって感染します。古いシステムでは、Microsoft クライアントがネットワーク上の他のコンピューターにアクセスできないようにする必要があります。
2) 脆弱なサービスがスキャンされ、それを通じてマシンが攻撃される可能性があります。古いシステムでは、ネットワークをリッスンするサービスを実行しないでください。
3) 信頼できる Web サイトというものはもう存在しません。攻撃のほとんどは、Acrobat ファイル、Flash コンテンツ、Java アプレットなどを通じて行われます。IE にパッチが適用されていない場合、ブラウザー自体も、特に IE6 の場合は、もう 1 つの主要な攻撃源になります。アクセスする Web サイトは、侵害されると大きな損失を被る可能性がある企業サイトに限定してください。ブログは決して信頼できるものではなく、ブログを運営する人が侵害される前にパッチを適用するほどの知識を持っているとは期待できません。私は、この 1 年間で Kaspersky の不平不満にかなり慣れてきました。
さて、最も可能性の高い攻撃から、可能性の低い攻撃に移ります。
「ワイヤレスルーターの背後」については、どのような暗号化レベルを実行していますか?WPA2-AESを実行していない場合は、それを実行するルーターを入手してパスフレーズ他のシステムへの接続は容易だが、外部からの侵入は困難になるようにネットワークを保護します。
ルーターに NAT があり、パッチを適用していないコンピューターがネットワークにアクセスしている場合、このコンピューターがトラフィックを生成しているときに攻撃者が確認できるのは、ルーターの IP アドレスとポート番号だけです。このシステムには何もポート転送しないでください。
そして、NAT によって情報漏洩が発生する場合があります。Linux、Windows、MAC のいずれであっても、ルーターを経由してパブリック ネットワークに渡されるのをブロックする必要がある特定のイントラネット プロトコルがあります。ルーターが Microsoft ファイルとプリンターの共有トラフィックをアウトバウンドに渡し、内部の名前解決からの DNS トラフィックがアウトバウンドに渡されるのを見たことがあります。このトラフィックとパケット スニファーから、使用されているプライベート ネットワーク アドレスの内部ネットワーク マップを作成し、パケットに情報が明記されていない場合は、パケットから、そのアドレスを生成した OS のフィンガープリントを試みることができます。
答え4
ルーターの背後にあるコンピュータが発見されるかどうかは、そのコンピュータが最新の状態であり、適切にパッチが適用されているかどうかとは関係なく、ルーターがコンピュータへのアクセスを許可するかどうかに関係します。ネットワークアドレス変換ルーターが提供するファイアウォールは、システムに対してある程度の保護を提供する可能性がありますが、脆弱なコンピューターを検出して悪用することは依然として比較的簡単です。