マイクロソフト幹部、「マルウェア感染からの復旧は不可能になりつつある」（1/2 ページ）

マルウェアに感染してしまったら、そこから脱出する方法はただ一つ、システムの再インストールだけだ。それに比べて感染を「予防すること」はそれほど難しいことではない。

[Ryan Naraine，eWEEK]

　フロリダ州レイク・ブエナビスタ発−−珍しいことに、MicrosoftがWindowsマルウェアが引き起こす問題の危険性について口を開いた。同社のセキュリティ部門関係者が、マルウェアに感染した状態から復旧する現実的な方法としての、ハードディスクドライブのフォーマットおよびオペレーティングシステムの再インストールについて、企業はそのプロセスを自動化する取り組みに投資を行うことを検討すべきだと発言したのである。

　Microsoftのセキュリティソリューション部門プログラムマネジャー、マイク・ダンセグリオ氏は、「rootkitや精巧なスパイウェアプログラムに対処する場合は、システムを最初から構築し直すことが唯一の解決策になる。システムを完全に解体してしまう以外方法がまったくないというケースも、ときにはある」と、現地で開催された「InfoSec World」カンファレンスのプレゼンテーションで述べた。

　マルウェアプログラムを隠し、感染しているマシンを検知されないようにする攻撃的なrootkitは、検出を回避するのにしばしばカーネルフックを利用しており、その痕跡がすべて完璧に削除されたかどうかIT管理者には把握できないことから、ウイルスやスパイウェアの作者が好んで選ぶ武器となったと、ダンセグリオ氏は話している。

　同氏は、米国政府のとある部門が2000台以上のクライアントマシンに感染したマルウェアに苦しめられたという、最近の事例を紹介した。「この事例では、状況は極めて深刻で、リカバリを試みても成果は上がらなかった。彼らは、システムをフォーマットして再構築するプロセスを自動化しておらず、その作業には大変な手間が掛かった。大急ぎでプロセスを作り上げねばならなかったのである」（ダンセグリオ氏）

　ダンセグリオ氏は同カンファレンスで、2本の講演を行った。一方は、Windowsにおけるマルウェア感染の脅威とその対抗手段に関するもので、もう一方が、Windowsを標的としたrootkitがもたらす恐怖の世界をテーマにしたものである。同氏は、最新の脅威を検知し削除するウイルス対策ソフトウェアの性能は向上しているが、一部の洗練された形態のマルウェアに関しては、正常化へのプロセスが「非常に難しい」ことを認めざるを得ないと、講演の中で話した。

　「ユーザーによって削除されようとしていることに気がつき、自己回復機能を発揮するマルウェアも登場している。削除したと思っても、再度ディレクトリを見てみると、マルウェアはまだ居座っている。そうしたマルウェアは、自分自身を再インストールすることができるのだ」（ダンセグリオ氏）

　「検知は困難だし、復旧に至っては不可能な場合がままある」と、同氏は断言している。また、「マルウェアがシステムをクラッシュさせたり、フリーズさせたりしないとすれば、その存在をどうやって把握したらよいのだろうか。これには、把握しようがないという答えしか出せない。多くの場合、感染が起こる瞬間を目撃することはないし、マルウェアの痕跡を確認したり、バックグラウンドで動作しているのを目にしたりすることもない」という。

　ダンセグリオ氏は、PepiMK Softwareの「SpyBot Search & Destroy」やマーク・ルシノビッチ氏が開発した「RootkitRevealer」、さらにはMicrosoftの「Windows Defender」の利用を推奨している。これらのユーティリティはいずれも無料で、マルウェアの検知および削除が可能になっている。また、感染を防ぐための徹底的な対策を取るよう、CIOに呼びかけている。

　悪質なハッカーは、「人目につかず、効率的な」（ダンセグリオ氏）攻撃対象をより絞り込んだうえで企むようになっている。さらに、金銭的な動機を背後に持つ昨今の攻撃は、これまで見られた破壊的なネットワークワームやウイルスよりも格段にたちが悪いという。「攻撃者は、今年は金を奪い取ることに狙いを定めてくる。ハードウェアを破壊するワームを作成するのではなく、ユーザーのコンピュータを支配下に置いて、金を稼ぐことに悪用しようという腹づもりなのだ」（ダンセグリオ氏）

　「Microsoftでは、1時間当たり2000件もの攻撃を処理している。われわれは常に攻撃対象と目されているが、あらゆるインターネット接続サービスも同様に大きな獲物として狙われていることを、各ユーザーが自覚しておかなければならない」（ダンセグリオ氏）