パスワードを忘れた? アカウント作成
70623 story

3/10のWindows Defender更新でhostsが書き換えられる!? 52

ストーリー by hylom
まさにハマりました 部門より

127.0.0.1 曰く、

やねうらお-よっちゃんイカを食べながら年収1億円稼げる(かも知れない)仕事術より。

Windows Defenderのupdateで、Windowsのhostsファイルから「127.0.0.1 localhost」という項目が削除される問題が発生しているようだ。これにより一部環境で問題が起きているらしい。

同記事によると、2chやOKWaveで事例の報告がある模様。

私の環境(Windows Vista Business SP1)でもこの問題が発生した。Windows Defenderの「履歴」によると、「SettingModifier:Win32/PossibleHostsFileHijack」という名前で、「C:\Windows\system32\drivers\etc\hosts」の変更が検出されており、hostsファイルから「127.0.0.1 localhost」という行が削除されたようだ。

これにより、当方の環境ではWebブラウザやtelnetで「localhost」にアクセスできない問題が発生していた。さらにhostsファイルから該当の項目が削除されたのち、再度同じ項目をhostsファイルに追記しようとした際も同様にWindows Defenderが変更を検出、削除を試みるので注意が必要だ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • そりゃあ (スコア:5, おもしろおかしい)

    by Anonymous Coward on 2009年03月11日 18時33分 (#1529149)

    タレコミ主には看過できないわなぁ。

  • 追加情報 (スコア:5, 参考になる)

    by taro-nishino (32033) on 2009年03月11日 21時00分 (#1529223)

    海外では早くから取り上げられています。

    Windows Defender: False alarm triggered by hosts file
    http://www.h-online.com/security/Windows-Defender-False-alarm-triggere... [h-online.com]

    これによれば、月曜日のWindows Defenderの自動更新の際、欠陥のあるシグネチャで配布された事が
    原因で、今はもう直っています。
    対策として、Windows Defenderの発する警告を無視して、Windows Updateから更新が推奨されています。
    もし、隔離もしくは、削除してしまった人も、上記記事に対策が書かれていますので、ご覧ください。

  • ::1 (スコア:3, おもしろおかしい)

    by s02222 (20350) on 2009年03月11日 18時57分 (#1529161)
    ping localhostすると、::1と名前解決されるのでてっきりv6推進キャンペーンか何かかと。
    • Re:::1 (スコア:3, 参考になる)

      by Anonymous Coward on 2009年03月11日 22時16分 (#1529256)

      IPv6をインストールしていると、今回の不具合とは関係なしにそうなります。Vistaではデフォルトでそうなります。hostsファイルにも
      ::1 localhost
      とか書き加わります。これのせいで、IPv4オンリーの(現状ではMS純正以外のほとんどすべての)サーバソフトウェアに、ホスト名(localhost)でアクセスできなくなるという現象が発生したりします。

      親コメント
      • by s02222 (20350) on 2009年03月11日 23時55分 (#1529315)
        なるほど>デフォルト

        ping localhostの結果を取っ掛かりにして、この問題で身の回りで起きた不具合の解決法を見つけたのですが・・・偶然でしたか(笑)。
        親コメント
  • 誰かが (スコア:3, おもしろおかしい)

    by Anonymous Coward on 2009年03月12日 9時58分 (#1529467)

    「127.0.0.1は私のIPアドレスです。勝手に使わないでください」って
    騒いだわけじゃないのか。

  • 今のところ問題ないし。

    #開発環境では明示的なIP指定ってデフォじゃないの?

  • by phenix (31258) on 2009年03月11日 19時54分 (#1529187)

    追加できなかったっけ?

  • Windows Defenderの画面 [livefilestore.com]。
    なにかが取り除かれたらしい。

    --
    屍体メモ [windy.cx]
  • もともと (スコア:1, 参考になる)

    by Anonymous Coward on 2009年03月11日 19時26分 (#1529174)

    Windows Defenderを無効にしてるので影響なし

    • Re:もともと (スコア:1, おもしろおかしい)

      by Anonymous Coward on 2009年03月12日 10時11分 (#1529469)

      とかいいつつ他のウイルス対策ソフトも入れてないせいで、全く問題無しじゃない可能性。

      親コメント
  • 私のおじいさんがくれた初めてのc:\windows\hosts

    その味はDNSを必要としないほど甘くてクリーミィで
    こんなすてきなセキュリティ対策を与えられる私は
    きっと特別な存在なのだと感じました

    今ではわたしがおじいさん
    孫(Vista)から取りあげるのはもちろんWindows Defender
    なぜなら孫もまた特別な存在だからです

  • 俺はドコだあぁぁぁ!! (スコア:1, おもしろおかしい)

    by Anonymous Coward on 2009年03月11日 20時08分 (#1529195)
    hostsのlocalhostを参照しているプログラムの気持ち。
  • 「hostsが書き換えられました」というような警告が表示されたけど、ちょうどテストで書き換えて保存したところだったので「俺が書き換えたんじゃ。無視無視」とボタンを押したので問題ありませんでした。

    #Defenderも仕事してるなあと感心して損したのでID。

    --
    LIVE-GON(リベゴン)
    • by Anonymous Coward
      俺も、以前からhost書き換える度に警告されていたので、
      無視リストに追加していた。

      XPみたいに、 0.0.0.0 → 0 って省略できないのが面倒。
  • なんか最近 (スコア:1, オフトピック)

    by mr_spock (908) on 2009年03月11日 23時35分 (#1529302)

    こういうネタで騒ぎすぎなんじゃないですかね?

    気づいたらblog更新する前にMSへ報告すればよいだけの気が…。

    • Re:なんか最近 (スコア:4, すばらしい洞察)

      by 127.0.0.1 (33105) on 2009年03月12日 19時28分 (#1529785) 日記
      127.0.0.1のネタで騒ぐなといわれるとつらいです。
      親コメント
    • by s02222 (20350) on 2009年03月11日 23時52分 (#1529312)
      あれこれ試して「とりあえずlocalhostと書かずに127.0.0.1と書けば問題回避可能」まで到達したら、それ以上は調べないずぼらなもので、こういう場所で大騒ぎして頂けると大変助かります。

      静かに解決しちゃってると、「あれは何だったんだろう?」と、時折気になりつつも調べる気にもならずにほったらかし・・・というダメな状況が長引いてしまいますので。

      問い合わせるとなると、個人的に悪い事をやった報いなのか、一般的に起こってる問題なのか、の切り分けもめんどくさいですし。
      親コメント
  • by Anonymous Coward on 2009年03月12日 0時58分 (#1529348)

    ある日、POPFileのUIが表示できなくなってるのに気づいてググったら、まさにこれでした。
    設定にhttp://localhost:[ポート番号]/を使ってるアプリやユーティリティって他にもあると思うんで、結構影響範囲が大きいんじゃないかなぁ。

  • by Anonymous Coward on 2009年03月11日 19時03分 (#1529164)
    ウィルスにhostsを書き換えられたんじゃ? とかがくぷるしてたんですが・・・。

    再度同じ項目をhostsファイルに追記しようとした際も同様にWindows Defenderが変更を検出、削除を試みるので注意が必要だ。

    もし、hostsを元に戻して解決を図ろうとしてたら、Defenderとのイタチごっこになってたわけですね(-_-)

    それって、ウィルスの感染を確信して自分のPCを隔離 → 外部メディアから起動出来るウィルスチェッカを買ってきてHDDを完全スキャン、まで突っ走るに十分値する状態のような・・・。

  • by Anonymous Coward on 2009年03月11日 19時24分 (#1529173)
    たまたまインストールしてみたときに警告が出たんで、「取り除く」を選んだけど。
    承知の上だから問題は特になし。

    でも、普通の人(非技術者)が嵌る可能性はあるわな…
  • 米Symantec、パッチ「PIFTS.exe」の警告問題について釈明 [impress.co.jp]
    なんてのもあったようで。

    # 難儀な時期なのか?

    --
    M-FalconSky (暑いか寒い)
  • by Anonymous Coward on 2009年03月11日 23時25分 (#1529294)

    スタンドアローンで解決してくれるDNSが居ない場合は問題が起きるのは当然として・・・
    DNSにってlocalhost→127.0.0.1に解決してくれたり、解決してくれなかったりするんでしょうか。
    それとも勝手に「localhost.example.comへの問い合わせ」みたいな感じで補完しちゃうからダメなんでしょうか。

    ためしにlocalhostでDNS問い合わせしたら解決できなかったけど、
    「localhost.」で問い合わせたら127.0.0.1を返してくれましたが・・・・

    hostsから削除されることが問題となる、その本質が理解できていません・・・・・。
    詳しい人解説プリーズ

    • そういえば,逆引きで localhost を返すホストがありますね. 203.160.1.43 とか 222.253.30.39 とか.

      逆引きは信用するな,と言ってしまえばそれまでなんだけど.

      親コメント
    • by Anonymous Coward
      localhostをDNSで引くにちょっと興味があったので、
      家のルータ(NTTの光マンションタイプVDSL用)に問い合わせると
      "."をつけてもつけなくても127.0.0.1を返してきました。
      ちなみに最後の"."は無視されるようです。

      hostsから消えると、それこそ"localhost"というホスト名で通信するソフトは影響を受けます。
      必ずループバックアドレスで通信を成功させる必要がある場合はIPアドレス直書きにすべきですが、
      流用を考えるとホスト名での記述のほうがよいと思います。
      ただし、上記のようにhostsから消えると通信できなくなります。
      • by Anonymous Coward
        投稿したあとに気付きましたが、DNSがない場合は分かりますと書いてありますね失礼しました。
        localhostへの通信はDNSがなくても通信できることを期待しているはずです。
        ループバックアドレスがルータから返されるというのにも違和感があります。
        この違和感の確認をしたかったのです。
        RFC上ではどう扱われているのかは調べていません…
        • bindの設定ファイルのサンプルにはlocalhostゾーンが付いています。 いろいろなUNIX系OSに組み込まれたBINDもlocalhstゾーンつきで配られている(僕が知る例では)。 わざわざ外したりしない限り、bindはlocalhostのAレコード問い合わせには答えるとおもいます。
          親コメント
        • by Anonymous Coward

          > ループバックアドレスがルータから返されるというのにも違和感があります。

          ルータの箱が返してるかもしれないけれど、ルーティングデーモンが返してるんじゃなくて
          DNSサーバが返してるんだから、あなたの違和感はちょっと的外れ

          定番DNSであるところのbindでは、 localhost ゾーンを扱うのは別に珍しい話じゃないと思います。むしろ普通?

      • by Anonymous Coward

        IP アドレス直書きだと、実際のループバックが 127.0.0.1 じゃなかった場合はどうなるんでしょうか。

  • by Anonymous Coward on 2009年03月12日 9時03分 (#1529444)

    Windowsの話でないので、ややOffTopicですが。

    fetchmailの謎動作に迷ったことがあります。
    リモートからメールをAPOPで取れますが、ローカルのメールサーバに流せないのです。
    postfixは動いてるのに、telnet localhost 25 でも接続できません。

    なにげにlocalhostにpingを打って、ようやく気づきました。
    loに127.0.0.1/8 が当たっておらず、upもしてませんでした。

    Debian Etchの/etc/network/interfacesの設定ミスが敗因だったようです。

  • おっと! (スコア:0, オフトピック)

    by OgaIII (6380) on 2009年03月12日 10時23分 (#1529471) ホームページ
    Windows Vistaにそんな愉快なアップデートが!

    と思い、久しぶりに会社支給のWindows Vista Home PremiumなノートPCを
    起動してみようとおもったが、
    そういえば先日OSをFedroa 10に入れ替えたんだった。

    自分で「さよならだVista!そしてようこそFedora!」とどこかに書きこんだ記憶が・・・。

    めでたしめでたし。

    一応、他の社員のVistaマシンのhostsも確認してみます。
typodupeerror

アレゲはアレゲを呼ぶ -- ある傍観者

読み込み中...