| ■ウイルス対策2008 |
|
傾向
2007年度は巧妙な手口でだます脅威が増加した。例えば、偽のウイルス駆除ソフト。あたかも本当に感染したかのように、ウイルスに感染しているから、この無料のウイルス駆除ソフトを入れなさいといった、偽ウイルスソフトに誘導する手口。「WinAntiVirusPro 2007」や「Drive Cleaner」などがその類。今後もこういった誘導する手口は増えそうだ。
本当のサイトなのに、ウイルスを注入する手口も増えそうだ。まさに、いつも見ているサイトがウイルスを注入させる手口だ。兼ねてからのWebぜい弱性、SQLインジェクション等からWebサイトの欠陥を巧みに操り、ウイルスを載せるといった形だ。価格コムのウイルス騒動はまだ真新しい。Trojan.PSW.Delfといったウイルスだ。価格コムのウイルス騒動(2005年5月)は、Webページを改ざんされ、iframeタグを不正に組み込まれ、Webページを閲覧した人が不正プログラム(ウイルス)をダウンロードしてしまう手口だ。このウイルスは、Windowsの既知の脆弱性「MS04-013」を突いてサイト閲覧者のPCに感染していくタイプだ。また、このウイルスは、当時流行していたオンラインゲーム、リネージュのアカウント情報をも取得するといったトロイの木馬型でもあった。さらに言うと、ウイルス駆除ソフトNOD32やBitDefender、Kaspersky(←当時無名)ぐらいしか対応しておらず、3大メーカー、Trendmicro、Symantec、McAfeeではウイルス検知さえしてくれないことで、反響をよんだ。「いつもアクセスしていたサイトが、ある日を境に危険なサイトに変わる」といったことがWebの脅威が日常的になりそうだ。
WinnyやShareといったファイル交換ソフトを使って感染する傾向は未だに減少傾向にはならない。そういったネットワークの6割強がウイルスファイルなのに、4割弱の正規のファイルを安心して利用するといった考えられない行為のため、さらにはセキュリティにいは無関心の人が多数(予感)いる中で、感染してどうぞ、と首を絞める愚かな者による情報漏えいは、今しばらく絶えないと思われる。今後はさらに、ファイル交換ソフトのネットワークのウイルス等による脅威率が高くなる気がする。
今年はオリンピック年ということもあり、こういった記念イベントがある時は、さらに注意が必要。ネット犯罪者とウイルス対策ソフトメーカーとのイタチごっこ、終わりなき戦いとも言うが、それが激化すると考えられる。これにより、ウイルス対策ソフトによる誤検知によるトラブルが増しそうだ。2006年12月に発生した事例では、Shockwaveのダウンロードコンテンツがトロイの木馬やスパイウェアなどとして認識した(ソースネクスト)製品があったり、定義ファイルを更新したことで、CPUを100%使用率になってPCをフリーズさせる(TrendmicroやSymantec)製品があったりした。これらは、ウイルスの量があまりにも多いことにより、定義ファイルの入念なチェックができずに公開してしまったことにある。消費者の定義ファイルの早急な対応を求めるばかり、やむえない行為だと思えるが、今後はこういったことも多発しそうな気もする。こういったことで、犯罪者は大量のウイルスをばらまくといった、使い切りウイルスでかつ、臨機応変に対応するといった煩雑なトロイの木馬が増えそうだ。
2007年かな?いつ頃かはよく覚えていないが、暗号型ウイルスも増加しそうだ。ファイルを復合化させ、身代金と引き換えに復合させてあげるよといった、ファイルジャックといった、金銭奪取目的の犯罪行為だ。身近になる日は近いと考えられる。
今年は昨年よりも、さらに高度化しかつ、巧妙化した手口で苦しめられる気がする。
対策
対策は例年と同じ、セキュリティソフト(ウイルス対策だけでは物足りない)を購入し定義ファイルを更新することと、Windows updateを更新。さらにPCに入れているソフトや機器のアップデートを欠かさず行うことが最低対策となる。
対策ソフトとしては、Trendmicroウイルスバスターや、NOD32搭載のESET Security利用を推薦したい。
|
2008.4.20 |
| ■ウイルス対策2007 |
2006年はウイルス対策の傾向が変わった1年だった。ウイルス対策だけじゃ、対策できなくなってきた。脅威が変わりつつあるのだ。これまでは、ウイルス対策をすりゃ、なんとかなった。今じゃ、ウイルス対策をしても、新たな脅威の対策をしなくてはならないため、今年から、ウイルス対策から、セキュリティ対策へと名前を変えてみた。
さて、どのように脅威が変わったのか?
数年前は、「愉快犯による攻撃」だった。最近見られる攻撃は「経済的利益目的の組織犯罪による攻撃」だ。国内では、個人情報保護法とかができ、個人情報がさらなる高価なものになった。もともとお金じゃ、変えられない貴重なものなんだけどね。時には人生を変えてしまう個人情報。それが、WinnyやShareに感染するウイルスの発生。そこから、他人の情報を流され、人生を底へ底へ追いやられてしまう人たちがいるのに、なかなか減らないね…。
今年の脅威も昨年と同様、経済的利益目的による組織犯罪が多く見受けられるのではないか、と思われる。例えば、スパイウエアからの侵入、不正プログラムからの侵入、ワンクリック詐欺による精神的リスク。色々とありそう。動画によるリスクが出てきたりして。
それには、何をしておかないか?というと、ウイルス対策に限らないスパムメールやら、スパイウエアやら、総合的にチェックしてくれるセキュリティ製品の導入、不審なホームページ閲覧はしない、windowsのアップデートは確実に、ファイル交換ソフトの利用はしない、といったところでしょうか?まぁ、ファイル交換ソフトを利用したけりゃ、その専用のパソコンを買って、その中には、著作物や個人情報データのファイルを入れない、というとこだね。
ウイルスの種類
コンピュータウイルスとは、第三者のプログラムやデータに対して意図的に何かしらの被害を及ぼすプログラムで、機能別(症状)に分けると次の4つに分けられる。
○侵入
…外部より他人のパソコンに入り込むこと。
○感染
…ファイルの作成やレジストリの変更など、ユーザーが意図しない動作を行うこと。
○発病
…発病条件を満たすと、破壊活動など行うこと。
○潜伏
…パソコン内に潜んでいて、発病していない状態のこと。
※通常、ウイルスはプラットフォームに依存するため、他のプラットフォームには感染しない。
それでは、どのような種類があるのか見てみよう。
○システム領域感染型
…MS-DOSのメモリを利用してHDやFDのシステム領域に感染するウイルス。
WindowsNT/XP/2003等では活動しないため、殆ど姿を消したウイルス。
○トロイの木馬型
…一見便利なソフトに見せかけてファイルを破壊したりなどの被害を与えるタイプのウィルス。
3種類ある
・バックドア型…特定のポートを開いて、ハッカーが感染したシステムを制御可能にさせる
・パスワード盗用型…特定タイプのパスワードを収集して送信する
・トロイの木馬型…上記2つの機能は持たないが、ファイルの削除、システム設定の変更、
悪意のあるプログラムの実行など、 様々な有害活動を実行する可能性がある
○ファイル感染型
…拡張子COM、EXEなどの実行型ファイルに感染するウイルス。
32bit実行可能形式(PE形式、.COM、.EXE、.SYSなどの拡張子)に感染するファイル感染型
○マクロ型
…Office製品(Word、Excel、PowerPoint?、Access)のマクロ機能を利用して感染を広げるタイプ。
セキュリティ強化により、このウイルスも段々と減ってきている。
○携帯端末型
…Symbian OSを搭載した携帯電話をターゲットにするウイルス。
最近の携帯電話はSymbian OSを利用しているため、今後このウイルスが多数発生する
恐れがある。
○複合感染型
…COMやEXEファイルに感染するだけでなく、ハードディスクやフロッピーディスクのシステム領域にも
感染するが、システム領域感染型と同様、Windows NT/XP/2003等では活動しないため、姿を消しつつ
あるウイルス。
※どこで活動するかを見てきました。次は、どういった技術を利用して感染するのかを見ていきます。
○ActiveXコントロール型
…インターネットのための技術であるActiveXコントロールを悪用したウイルス
○Javaアプレット型
…Java言語で記述されたJavaアプレットを悪用したウイルス
○スクリプト型
…VBScript、JavaScript?、HTML言語で書かれたウイルス
○ミューテーション(ポリモーフィック)型
…ワクチンソフトの検出から逃れるために、ウイルスコードに多様な暗号化をかけて変更する
特殊な動作を行うウイルス
○ステルス型
…ワクチンソフトで検出されないよう、自分自身の姿を隠すなど、さまざまな工夫を凝らしたウイルス
○ルートキット
…コンピュータに対して不正なアクセスを得ようとしつつ、同時に、自らが検知されることを回避するために
偽りの結果を返すといった機能。ウイルスに属すか微妙。
※以上に該当しないウイルスは次の通り。
○アドウェア
…コンピュータの画面上に広告を表示するためのプログラム。ウイルスに属するかは微妙な線。
○ウイルスデマ情報(Hoax)
…ウイルス警告を装ってチェーンメールの効果を狙ったデマメール。不幸なメールの一種?
ウイルスに属するかは微妙。
○ジョークプログラム
…破壊活動やワーム活動を行うものではないが、ユーザーへの迷惑を狙ったプログラム。
ウイルスに属するかは微妙。
○スパイウエア
…不正プログラムには分類されない微妙なプログラム
○スパム・スパムメール
…欲しくない広告メールやウイルスによって大量にばらまかれたメール。
ウイルスの感染経路
ほとんどは、メールからの感染が大。最近のウイルスは、ワクチンソフトの検出から逃れるために、ウイルスコードに多様な暗号化をかけて、変更する特殊な動作を施すため、パターンマッチングによる検出ができない。そのため、ワクチンソフトをスルーしてくるのがしばしば。一方、対策ソフトは予測を感じ取って退治するヒューリスティック( Heuristics)機能が増え始め、誤検知が増えりつつある気が。それに惑わされないのが肝心だ。
対策としては、ソフトの脆弱性をついて侵入してくるため、Windows updateを必ず実施し、ワクチンソフトの定義ファイルを必ず最新なものにさせ、不審なメールの添付ファイルは実行させない、という方法しかないのかもしれない。
ファイル名を長くして、拡張子を隠す方法とかが増えてきているから、パソコンを扱う際には、拡張子を表示させて利用する、といった作業が必要になってくるのではないだろうか。
昨年2005年はファイル交換ソフトWinnyに感染するウイルス「Antinny」が表面的に目立ったと言える。初登場は2003年8月頃だから、対策をしておけば、こんな大惨事にはならなかったのかもしれない。それだけウイルスに鈍感なパソコン初心者がWinnyに多く興味を惹かれたのが原因かもしれない。
今年も引き続き「対策をしておけばよかった…」といったウイルスとかが多くなるのではないだろうか。Windowsのアップデートは当然だけれども、今後はセキュリティパッチが公開される前に、それを悪用したウイルスが出るかもしれない。個人情報等を入手のためのwinnyやshare等をターゲットした悪用なウイルスが今後も増え続けるのだろうか。逆に脅威を感じないユーザーが増え続け、使い方を間違い、設定をせずに使い続けるケースを多数出くわすのか、どうなるかはわからないけれど、脅威は確実に変化している。ウイルスよりも、スパイウエアやフィッシングなど、心理を扱って、陥れる脅威、リスクウエアというのだろうか?そっち系がどんどん増えていくのではないか?
|
|
| ■ウイルス対策2006 |
ウイルス対策記事を2002年度版を書いてなかなか更新できなかった。昨年の2005年には新たな変化が見受けられた。ファイル交換ソフトをベースとしたウイルス感染だ。また、1人1台は持つようになった携帯電話の普及により、携帯電話に感染するウイルスの登場だ。今年2006年にはどのようなものが登場するのだろうか。2005年までのウイルス対策の整理を中心に、2006年の対策を述べたい。
ウイルスの種類
コンピュータウイルスとは、第三者のプログラムやデータに対して意図的に何かしらの被害を及ぼすプログラムで、機能別(症状)に分けると次の4つに分けられる。そのうち「侵入」が2002年では見られなかった大きな特徴かもしれない。
○侵入
…外部より他人のパソコンに入り込むこと。
○感染
…ファイルの作成やレジストリの変更など、ユーザーが意図しない動作を行うこと。
○発病
…発病条件を満たすと、破壊活動など行うこと。
○潜伏
…パソコン内に潜んでいて、発病していない状態のこと。
※通常、ウイルスはプラットフォームに依存するため、他のプラットフォームには感染しない。それでは、どのような種類があるのか見てみよう。
○システム領域感染型
…MS-DOSのメモリを利用してHDやFDのシステム領域に感染するウイルス。WindowsNT/XP/2003等では活動しないため、殆ど姿を消したウイルス。
○トロイの木馬型
…一見便利なソフトに見せかけてファイルを破壊したりなどの被害を与えるタイプのウィルス。
3種類ある
・バックドア型…特定のポートを開いて、ハッカーが感染したシステムを制御可能にさせる
・パスワード盗用型…特定タイプのパスワードを収集して送信する
・トロイの木馬型…上記2つの機能は持たないが、ファイルの削除、システム設定の変更、悪意のあるプログラムの実行など、
様々な有害活動を実行する可能性がある
○ファイル感染型
…拡張子COM、EXEなどの実行型ファイルに感染するウイルス。
32bit実行可能形式(PE形式、.COM、.EXE、.SYSなどの拡張子)に感染するファイル感染型
○マクロ型
…Office製品(Word、Excel、PowerPoint?、Access)のマクロ機能を利用して感染を広げるタイプ。
セキュリティ強化により、このウイルスも段々と減ってきている。
○携帯端末型
…Symbian OSを搭載した携帯電話をターゲットにするウイルス。かつて、PDAやPalmをターゲットにしていたが。
最近の携帯電話はSymbian OSを利用しているため、今後このウイルスが多数発生する恐れがある。
○複合感染型
…COMやEXEファイルに感染するだけでなく、ハードディスクやフロッピーディスクのシステム領域にも感染するが、
システム領域感染型と同様、Windows NT/XP/2003等では活動しないため、姿を消しつつあるウイルス。
※どこで活動するかを見てきました。次は、どういった技術を利用して感染するのかを見ていきます。
○ActiveXコントロール型
…インターネットのための技術であるActiveXコントロールを悪用したウイルス
○Javaアプレット型
…Java言語で記述されたJavaアプレットを悪用したウイルス
○スクリプト型
…VBScript、JavaScript?、HTML言語で書かれたウイルス
○ミューテーション(ポリモーフィック)型
…ワクチンソフトの検出から逃れるために、ウイルスコードに多様な暗号化をかけて変更する特殊な動作を行うウイルス
○ステルス型
…ワクチンソフトで検出されないよう、自分自身の姿を隠すなど、さまざまな工夫を凝らしたウイルス
※以上に該当しないウイルスは次の通り。
○アドウェア
…コンピュータの画面上に広告を表示するためのプログラム。ウイルスに属するかは微妙な線。
○ウイルスデマ情報(Hoax)
…ウイルス警告を装ってチェーンメールの効果を狙ったデマメール。不幸なメールの一種?ウイルスに属するかは微妙。
○ジョークプログラム
…破壊活動やワーム活動を行うものではないが、ユーザーへの迷惑を狙ったプログラム。ウイルスに属するかは微妙。
○スパイウエア
…不正プログラムには分類されない微妙なプログラム
○スパム・スパムメール
…欲しくない広告メールやウイルスによって大量にばらまかれたメール。
ウイルスの感染経路
最近のウイルスは、ワクチンソフトの検出から逃れるために、ウイルスコードに多様な暗号化をかけて、変更する特殊な動作を施すため、パターンマッチングによる検出ができない。そのため、ワクチンソフトをスルーしてくるのがしばしば。
対策としては、ソフトの脆弱性をついて侵入してくるため、Windows updateを必ず実施し、ワクチンソフトの定義ファイルを必ず最新なものにさせ、不審なメールの添付ファイルは実行させない、という方法しかないのかもしれない。
昨年2005年はファイル交換ソフトWinnyに感染するウイルス「Antinny」(通称キンタマ)が表面的に目立ったと言える。初登場は2003年8月頃だから、対策をしておけば、こんな大惨事にはならなかったのかもしれない。それだけウイルスに鈍感なパソコン初心者がWinnyに多く興味を惹かれたのが原因かもしれない。
今年は「対策をしておけばよかった…」といったウイルスとかが多くなるのではないだろうか。Windowsのアップデートは当然だけれども、今後はセキュリティパッチが公開される前に、それを悪用したウイルスが出るかもしれない。個人情報等を入手のためのwinny等をターゲットした悪用なウイルスが今後も増え続けるのだろうか。逆に脅威を感じないユーザーが増え続け、使い方を間違い、設定をせずに使い続けるケースを多数出くわすのか、どうなるかはわからないけれど、今年は昨年よりも多くのウイルス等が登場するのではないか、と予測したい。
|
| ■ウイルス対策2002 |
ウイルスの種類
コンピュータウイルスとは、第三者のプログラムやデータに対して意図的に何かしらの被害を及ぼすプログラムで、機能別(症状)に分けると次の3つに分けられる。自然発生ではなく、人工発生がキーポイントだ。
○感染
…プログラムやデータを破壊し、設計者の意図しない動作を行う。通常、ワームと呼ばれている。
最近は、簡易言語Visual Basicやマクロで作成されたワームがみかける。
○発病
…自己伝染機能ははく、発病を意図して作られたプログラムのこと。通常、トロイの木馬とか呼んでいる。
最近は、バックドア型トロイの木馬がよく見かける。
○潜伏
…自己伝染機能はなく、発病のみを意図して作られた潜伏機能のあるプログラム。爆弾とか呼ばれている。
※通常、ウイルスはプラットフォームに依存するため、他のプラットフォームには感染しない。
それでは、どのような種類があるのか見てみよう。
○システム感染型
…ブートセクタに感染するため、パソコンが立ち上がったときには既に感染
○ファイル感染型
…感染したデータやプログラムを起動すると、決まった条件に達すると発病
○マクロ型
…WordやExcelに感染するタイプで、OSに限らず、文書ファイルを開いた とたんに発病
○スクリプト型
…簡易言語Visual Basicなどで作成されたもの。VBSワームが主流。
○DOS型
…拡張子がexeなどのプログラムファイルで、結構怖いワーム。
○トロイの木馬
…基本的に、ほかのファイルやシステムに感染活動を行わなく、増殖を目的しないけれども、バックドアとかといったネットワークを介して被害者のマシンを自由に操ったり、またパスワードなど重要な情報を盗んだりすることを目的とする、いわゆるハッキングツールや、プログラムを実行したとたんに破壊活動が開始されるものがある。非常に危険なもの。
○ワーム型
…ネットワークを通じてほかのマシンに拡散することを目的とした不正プログラム
○ステルス型
…ウイルス自身がユーザやワクチンに発見されないよう工夫を凝らしたもの
○ポリモフィック型(ミューテーション型)
…自分自身を複製するたびにウイルス自体の暗号化コードをランダムに改変
○ネットワーク型
…ネットワークOSを攻撃し、またそのネットワークを利用して感染増殖する
○Java/AcitveX型
…インターネットのための技術を悪用したウイルス
○インターネット型
…HTMLやFlashなどに埋め込まれたりする。最近では、MSNメッセやICQから不正URLが送られ、クリックするとJavascriptが起動し、不正作動をしたり…
騒動を起こすために人為的に流されたウイルスのデマ情報をデマウイルスとか呼ばれている。最近では、「JDBGMGR.EXE」を削除してくださいというメールが来るデマウイルスがあった。
大半Windowsに感染するが、Linuxに感染するワームも徐々に見かけはじめた。Macintoshのワームは多少なりともあるが、当サイトではWinユーザのため、あまり触れない。
ウイルスの感染経路
ウイルスの感染の9割がインターネットによる感染だという。数年前までは、ウイルスに感染する人は少なかった。ネットに接続している人も少なければ、ウイルスの数も少なかったからだといえる。しかし、今日、ウイルスに感染する人は意外に多い。勿論、もらったことの無い人もいれば、感染したことの無い人もいる。勿論、よく感染する人もいる(身近にもいる)。
今までのウイルスは、添付ファイルを開いて実行しなければ感染しないというのが一般的な認識だった。しかし、Nimdaの登場により、この認識は覆されてしまった。メールを見ただけで感染してしまう!という悪意のあるウイルスの登場である。さらに、感染したウェブサーバーのホームページを見るだけで、さらに感染して、感染者を増やすという恐ろしいウイルスである。2001年9月中旬に発生し、当時学生であった私の通っていた研究室の全部のパソコンが、Nimdaの影響で、感染されたのは、今でも覚えている。ちょうど、論文時期で、ハードディスクにあるデータは消去だよ、っというショッキングな出来事だったからでもある。
21世紀、ウイルス元年というものであろうか。21世紀になって、続々と恐ろしいウイルスが登場した。メールを見ただけで感染し、感染したホームページを見るだけで感染するというNimda(ニムダ)が発生する前、8月上旬に、ウェブサーバーに侵入し、ホームページを改ざんしていくという、CodeRed2というウイルスだ。Microsoft WindowsNT/2000 標準ウェブサーバー機能であるIISのセキュリティホールを突いて侵入するウイルスだ。未だに根強く、ウェブ改ざん情報サイトを見てても、絶え間なく続いた。
さらに、同時期、ハードディスクをフォーマットしてくれるお節介機能や、個人情報を盗み取ったり、アドレス帳にある全メアドに、自身のウイルスを添付し自動送信するというウイルス、Sircam(サーカム)やAliz(アリズ)などが登場した。BADTRANS.B(バッドトランス・ビー)も有名だ。簡易プログラミング言語、Visual Basci Scriptを利用したメール大量送信ウイルス、LoveLetter?などが、2001年までに登場した。
そして2002年に新たなる悪性ウイルスの登場である。JavaScript?で書かれたJS.Gigger.Aウイルス。Outlook Expressのアップデートを装ってたりしたウイルスで、感染した場合、パソコン上にあるすべてのファイルを削除し、ハードディスクをフォーマットしてしまう非常に危険なウイルスが登場し、騒がれた。さらに、ここ最近よく見かけるようになったバックドア型ウイルス。パソコンをリモート(遠隔)で、アクセスできるように仕掛けたプログラムである。攻撃の踏み台(DDoS)として利用されたり、個人情報などの重要なファイルを盗んだり、壊したりし、自身を隠れるというトロイの木馬だったりするなど、感染経路は、まさにネットからだ!と思っていいのではないだろうか。
ネットからは分かった。じゃ、どうやって感染するのか?前述したように、メールでの感染がほとんどではないだろうか。それか、ホームページを見ただけで感染とか。
ここ最近、ファイル交換がはやった。これをきっかけとして、ウイルスを混合してZIPファイルとかに納めるという悪戯行為も増え始めた。ネットで無断に配布されているファイルには、ウイルスがあるんでは?っていうのを念頭に置く必要もあるのではないだろうか。 |
