全方位的ウイルス対策のすすめ特集 いま、ウイルス対策を再考する:運用編(2/5 ページ)

» 2004年09月01日 23時40分 公開
[二木真明(住商エレクトロニクス),ITmedia]

 最近あなたの会社では、しばしばライバル会社に仕事を奪われてはいないだろうか。新しい製品を発表する直前に、ライバル会社がよく似た製品を発表するといったことはないだろうか。あるいは、自分の情報を漏らしたのではないかとユーザーから頻繁にクレームを受けていないだろうか。

 そうしたことの原因は、もしかすると知られざる不正プログラムなのかもしれないのだ。いたずらに不安を煽るつもりはないが、よくよく考えてみれば、こうした事件が起きないことのほうが不思議だとも言える。注意するに越したことはないだろう。

 このように狭い範囲を狙った、いわば「オーダーメイド」の不正プログラムへの対処も含めた対策は容易ではない。しかし、昨今の情報保護の機運を考えるならば、こうした脅威に対してもそろそろ真剣に取り組み始めてもいいだろう。ウイルス対策再考特集のうち、この「運用編」シリーズでは、既存の対策を再確認しつつ、こうした脅威に対しての対策についても考えていく。

3つに分類できる不正プログラムの侵入経路

 不正プログラムに対して予防的な対策を講じるためには、それがどのような経路で侵入してくるかを明らかにしておく必要がある。企業などの組織ならば、既に複数の対策システムが導入されているところが多いが、それらの意味合いを再確認する上でももう一度考えてみよう(図2)。

図2 図2●ウイルスの主な侵入経路

1.ユーザーPCの直接感染

 最も古典的なウイルス感染経路は、オフラインメディアを使ったファイルの受け渡しによるユーザーPCの直接感染だ。

 この経路の歴史はMS-DOS以前にさかのぼるが、当時はフロッピーディスクだけだった可搬メディアも、CD、MO、DVD、フラッシュメモリや可搬型ハードディスクといった具合に種類が増えた。また、音楽プレイヤーやPDAのように、ストレージが主目的ではないけれどPCからは大容量のディスクとして見え、ファイルをコピーできるデバイスも増加している。こうした大容量の可搬メディアはいずれも、PCにウイルスを含んだファイルを持ち込む道具になりうる。

 インターネットを経由した感染でも、多くの場合はユーザーPCが最初に被害に遭う。最大の感染源は電子メールだ。電子メールの場合は一般に、ウイルスを含んだ添付ファイルを開くことにより感染する場合が多い。しかし最近では、メールソフトウェアの脆弱性などを利用し、勝手に添付ファイルを開かせたり、HTMLメール内のスクリプトにより悪意あるサイトにアクセスさせてしまうといった、手の込んだものも増加している。「メールで届くウイルスは、添付ファイルを開かなければ大丈夫」という常識が通用しないケースが出てきていることには注意が必要だ。

 Webサイトからの感染も同様だ。HTTPやFTP経由でダウンロードしたファイルからの感染もルートの一つだが、ユーザーが意図的にダウンロードするのではなく、あるWebページを見ただけで不正プログラムが勝手にダウンロードされ、実行されてしまうケースもまた増えてきている。有名なNimdaワームが最初に利用したこの手法は、Webブラウザの持つ脆弱性を巧みに利用して、本来は実行されないはずのスクリプトを実行してしまうというものだ。

 最近話題となったトロイの木馬、Download.jectも、ブラウザが持つ脆弱性を利用する。メールの場合と同様に、ユーザーがまったく意識しないうちに不正プログラムに感染してしまうリスクは増加している。

 また、既知の脆弱性への攻撃は、PCを単にネットワークにつないだだけで感染するという意味で最も危険な感染方法の一つであり、最近のネットワークワームが用いている手法だ。これについては後で再度とりあげる。

 そのほかにも、P2Pソフトウェアやメッセンジャー(IM)などによるファイル共有から感染するタイプの不正プログラムも登場している。便利なツールや通信手段が増加するとともに、ユーザーPCへの感染経路もまた増えている。

2.ファイルサーバ、ファイル共有からの感染

 ネットワーク内部に入り込んだウイルスが感染を広げるために利用する手段の一つが、ファイルやフォルダの共有だ。ファイルサーバや個々のPCにある共有フォルダは、不正プログラムの温床にもなりうる。共有フォルダを介し、ウイルスやワームに自動的に感染する可能性は低い。しかし、たとえば「README」ファイルや有名なソフトのインストーラのような、つい開きたくなるような名前で感染ファイルを置いておけば、共有している誰かがそれを誤って開いてしまう可能性は高くなる。

 実際、Nimdaでもこの方法は使われたし、最近では、Netskyの一部の亜種も自分自身をさまざまなフォルダにコピーする。先に触れたP2Pアプリケーションが使う共有フォルダも当然、標的にされる可能性が高い。しかもP2Pの場合、不特定多数が暗黙のうちにファイルを共有してしまう点で、より危険度が高い。

3.自動感染型不正プログラムによるネットワークからの感染

 感染経路というよりは手段に近いが、ネットワーク経由の直接感染という意味で、この方法は最も危険度が高い。

 感染に利用されるのは、主にOSや付属のサービスに含まれる脆弱性だ。脆弱性の中でも、バッファオーバフローなど、リモートからコード実行が可能となるようなタイプの脆弱性が最も狙われやすい。脆弱性の解説の中にこうした記述がある場合は、ワームなどに悪用される可能性がきわめて高いと考えていい。

 特に、「Exploit」と呼ばれる攻撃コードの存在がインターネット上で確認されているようなケースでは、それを利用してワームなどが作られる危険性がかなり切迫していると見るべきだ。攻撃コードを作る技術は高度なものだが、いったんそれが公開されてしまえば、比較的簡単に実装できてしまう。一般にこのような攻撃コードが発見されると、CERT/CC(US-CERT)などの機関を通じて警告が出される場合が多いので、こうした情報には特に注意したい。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ