BUSINESS CENTER / 特集 ASCII network PRO 2000年7月号
セキュリティパーフェクトガイド(その5)
2000年8月22日
アンチウィルス
ネットワークシステムのセキュリティを考える際に、真っ先に考えなければならないのがコンピュータウィルスへの対応である。昨今、5月上旬に大感染した「I Love Youウィルス」の例を見るまでもなく、ウィルスの進入によって引き起こされる被害は甚大である。また、SPAMやメールサーバの踏み台に対しても、十分に注意しなければならない。ときには企業の信頼も損なうことがあるからだ。
複合化するコンピュータウィルスの脅威
一言で「コンピュータウィルス」といっても、その形態にはさまざまなものがあるし、ウィルスに分類されずともシステムやネットワークに不具合を引き起こすプログラムは多い。実際は「アンチウィルス」に分類されるソフトでも、ウィルス以外の悪質なプログラムの駆除は行なえるのだが、駆除する対象をきちんと理解した上で、システム保護を考えなければならない。
- 従来型のコンピュータウィルス
- 実行形式プログラムに潜み、自身のコードを増殖させる。ファイルやディスクの破壊、BIOSの書き換えによってハードウェア破壊をもくろむものもある。
- ワーム
- 他のファイルへの感染ではなく、自己増殖を主な目的とするプログラムで、厳密にはウィルスに分類されない。主に電子メールの添付ファイルによって流布され、その増殖力からメールサーバのパンクを招く場合も多く、データ収集を目的とするものも多い。最近、警戒が高まっているのは、Micro
soft Outlookに侵入し、複数の送信先に勝手にウィルス付きのメールを送信する「Melissa」や「I LOVE YOU」ウィルスなどである。
 |
画面 5月の大感染に伴ない、I Love Youウィルス対策のWebサイトなども登場している(画面提供:トレンドマイクロ株式会社) |
- トロイの木馬
- 巧妙に隠された悪意のあるプログラム。Webサイトにトラップとして仕掛けられ、アクセスの際にマシンにダウンロードされ、破壊行為などを行なう。感染力はないものの、特定の日付/時間に発動し、システムを破壊したり、セキュリティ情報をネットワークに流したりする。リモート制御によって他人にコンピュータを操られることもある。
- マクロウィルス
- Microsoft Word/Excelなど著名なアプリケーションのマクロプログラムに姿を変えたワーム型のウィルス。自己増殖、複合感染、ファイル破壊などを行なう。頻繁に新たな変種が生まれている。
- バンダル
- Java、ActiveXで記述された悪意を持つプログラムの総称。Webブラウジングによってシステムに侵入し、主としてファイルの消去やディスクフォーマット、パスワード窃盗などを行なう。ハングアップを引き起こすこともある。
中でも最近特に注意したいのが、電子メールソフトを勝手に利用して多くのユーザーに広がるワームや、アプリケーションのマクロプログラムを装って感染するマクロウィルスなどである。電子メールを媒体に強力な感染力を持っており、通過しているトラフィック自体が正当な通信であるため、ファイアウォールだけでは対策が難しいのだ。
また、Webサイトを閲覧するだけでシステムに進入し、不正な働きをするバンダルプログラム(Java、ActiveX)にも注意を払いたい。いずれもユーザーの意図しない働きによって、ユーザーの利益を損なうような動作をするものばかりである。業務に用いているコンピュータがウィルスに犯された場合、ネットワークを介して、またたく間に広く感染し、その根絶が困難になるばかりではなく、感染経路の特定にも時間がかかる。また、場合によっては、ウィルス感染に気がつかないこともあるだろう。そうなったとき、送信したメールにウィルスが付いていたりしたら、再びそこから感染が広がることも考えられる。企業にとっては、ウィルスの2次感染源として著しく信用を損なうことにもなりかねない。
進化するアンチウィルスソフト
 |
図 アンチウィルスソフトの導入例と、代表的な機能 |
コンピュータウィルスが変貌を遂げるように、それを除去するアンチウィルスソフトも進化を続けている。従来は、すでにシステムに進入してしまったウィルスを検知、除去する働きが主だったのだが、最近では、ウィルスのシステム侵入を未然に防ぐということに注力されている。
ウィルス検知の手法も革新されてきた。最も一般的なのが、ウィルスが持つ特定のプログラムコードを収録したリスト(データベース)と、ファイル内部のコードを高速に照合することで、ウィルス(あるいは、感染されたファイル)を特定する方法である。アンチウィルスソフトのサポート元では、独自の組織によって日々生まれてくるウィルス(その変種)を解析し、短期間でデータベースを更新、それをユーザーに送信して、最新ウィルスに確実に対応できるようにしている。
さらに、実行してみないことにはウィルスかどうか判別が付き難いマクロウィルスにも対応できるようになった。あらかじめコンピュータ内に、アプリケーションが動作するような仮想環境を作り、その中でマクロを実行、ファイル消去やシステム制御などの不正な動作が実行されないかどうかを確認するのである。データベース方式に比べ、若干時間はかかるものの、ウィルス判別の確実性が増したと言える。
また、システム侵入と同時に無条件に実行されてしまうバンダルについては、特定URLへのアクセスを制限するフィルタリング技術の応用やプロキシサーバ上での監視によって防ぐことができる。
スタンドアロンの時代に、ユーザー各自が行なってきたウィルス根絶から一歩進んで、ネットワークシステムを有効利用した一元管理が行なえるようにもなってきている。今や、コンピュータウィルスの脅威からネットワーク全体を守るために、総合的なセキュリティ管理が必要な時代でというわけである。アンチウィルスソフトも、ウィルス進入を防止して、業務の低下を防ぐという受動的な対応策だけではなく、積極的にシステムを防衛することによって、業務効率や企業の信頼性の向上、ユーザー管理の徹底を図るためのソリューションとして、新たな展開を行なっているのである。
SPAMや踏み台を防ぐ堅牢なメールサーバを作れ
また、プログラム自体ではないが、重複した内容のメールや、受信者の利益にならない宣伝メールなどを一方的に送りつけるSPAMの対策も必須と言えるだろう。これらはメールサーバの処理やメール受信者の処理効率を阻害する。
現在では、電子メールに添付されてくるワームやSPAMメールの進入、メール転送などの悪用防止についても、メールサーバに組み込むタイプのアンチウィルスソフトによって阻止することができるようになった。マイクロソフトのExchange Serverやロータスのノーツ/ドミノなどに対応する製品も多いので、導入を検討してもよいだろう。
また、メールサーバの転送機能が、不正なメール送受信の踏み台にされることもある。これに対しては、メールサーバにおいて、外部からのメール転送を禁止しておく。このような踏み台対策は、会社の信用に関わるため、きわめて急務と言える。SPAMの踏み台になってしまったとしたら、攻撃に荷担しているとみなされ、内容証明付きの警告書が送りつけられても文句は言えないのである。
一方で、こうしたセキュリティ対策は、エンドユーザーの使い勝手を悪くしてしまう可能性もある。製品によっては、別ルートからのウィルス進入を防ぐために、ユーザーソフトのインストールや、リムーバブルディスクの利用を物理的に制限するものもある。しかし、セキュリティと使い勝手・自由度はトレードオフという面も大きい。導入に際しては、こうした部分をきちんと割り切って、エンドユーザーにセキュリティの重要性を徹底させる必要があるだろう。
以下、ゲートウェイ型のウィルスソフトを中心に紹介する。
(池田圭一、編集部)
Contents...
| ![ASCII24 - [Main Menu]](/images/2005/biz_menu_01.gif)
![[Menu 2]](/images/2005/biz_menu_02_blogmag.gif)
![[PR]](/images/2003/pr_icon.gif){kind=icon}
![[次ページ]](/images/nextpage.gif){kind=small}
