画面4は、2005年末に公表されたWMF(Windows Meta File)の脆弱性を使ってトロイの木馬をインストールさせようとしているWebサイトのスクリーンショットだ。
ここではFirefoxを使ってアクセスしているため、トロイの木馬を仕込むWMFファイルのダウンロードを行おうとしていることを警告するウインドウが表示されている。またMcAfeeの対策ソフトウェアでも、WMFの脆弱性の攻撃を検知し、警告を表示していることが分かる。
だがもし、対策ソフトもなしに、脆弱なIEを使ってこのWebサイトにアクセスした場合は、こうした警告なしにいきなりトロイの木馬がインストールされてしまう可能性が高い。十分注意したい。
なお、最近のアンチウイルスソフトやクライアント向けのセキュリティスイート製品の中には、脆弱性を狙う攻撃を検知する機能を搭載するものが増えてきた。こうしたセキュリティ対策製品を利用していれば、画面4のように、たとえOSやブラウザが脆弱であってもトロイの木馬検知し、その侵入をブロックすることができる。
ただしこれも、攻撃側とのいたちごっこだ。最近ではVoMM(eVade o' Matic Module)と呼ばれる、攻撃コードを対策ソフトから検知されにくくする技術が開発されている。
スパマーは、フィルタリングをすり抜け、スパムやフィッシングメールの検知を難しくするために、メール本文中にランダムに空白を入れたりエンコードを加えたりして、判読を難しくしている。これと同じようなテクニックを、Webブラウザの脆弱性を狙う攻撃コードの中に仕込む技術がVoMMだ。これを用いると、攻撃コードに含まれる「特定の文字列」でマルウェアを判断するシグネチャによる検知が回避される恐れがある。
よってボットの対策としては、一般に言われているパッチ適用による脆弱性対策、ファイアウォール/IDSの導入だけでは不十分だ。下記のような、トロイの木馬を含む総合的なマルウェア対策が欠かせない。
では、それぞれの項目について簡単に解説しよう。
Copyright © ITmedia, Inc. All Rights Reserved.