9月がもうすぐ終了する。
今年も残すところ3ヶ月あまりになるわけだ。
今年を表す単語を1つ選べと言われたら、間違いなく「コロナウイルス」であると断言できる。
ウイルスとは感染症のことであり、人から人へと感染し爆発的に被害が拡大していく。
実は、コンピュータの世界にも感染症が存在する。
これをコンピュータウイルスまたはマルウェアという。
マルウェアは、悪意をもって作成された不正なプログラムを指し、コンピュータに次から次へと感染するのである。
・マルウェアの種類と特徴
コンピュータウイルスは以後マルウェアと呼ぶことにする。
マルウェアは、現在では次のような種類が存在している。
トロイの木馬
有用なソフトウェアを装い、データの破壊、改ざん、詐取といった悪意のある動作を行うプログラム。単体での動作が可能。
ワーム
システム上で自身を複製し、自己増殖する機能を持つ不正プログラム。単体での動作が可能。
キーロガー
キーボードの動作を不正に記録するプログラム。
ポット
他のコンピュータを遠隔操作することを目的としたプログラム。ポットに感染したコンピュータは攻撃指示用のコンピュータと通信を行い、他のシステムを攻撃するための踏み台として利用される。
外部から指示を出すサーバをC&Cサーバという。
ランサムウェア
コンピュータ内のファイルやデータを勝手に暗号化するなどして使用不能の状態とし、復元のための身代金を利用者に要求する。
ダウンローダ
一度感染すると、別の不正プログラムをダウンロードする。
スパイウェア
ユーザの個人情報やシステムの履歴情報などを不正に収集するプログラム。
マクロウイルス
表計算ソフトやワープロソフトのマクロ機能(自動化機能)を悪用して、データやファイルに感染するウイルス。
データファイル経由で感染するため、実行されるプラットフォームに依存しない。
経済産業省の基準だと、コンピュータウイルスとは次の機能の少なくとも一つ以上有するものと定義している。
#自己伝染機能 自らをコピー&伝染
#発病機能 設計者の意図しない動作(破壊など)発動
#潜伏機能 発病条件満たすまで潜伏
・マルウェアの感染経路・手口
マルウェアの感染経路として様々なものが考えられる。
典型的なのは次のようなものだ。
・感染したファイルと知らず電子メールの添付ファイルを開いてしまう。
・Webサイト上のファイルをダウンロードしてしまう。
・外部記憶媒体からファイルをコピーしてしまう。
マルウェアを利用した攻撃方法もある。
・ガンブラー(Gumblar)
ガンブラーとは、Webサイトの改ざんとマルウェアを組み合わせて、Webサイトを閲覧した不特定多数のコンピュータをマルウェアに感染させる手法の総称である。
ガンブラーでは、正規のWebサイトを改ざんして攻撃用サイトに誘導し、OSやアプリケーションソフトの脆弱性を突いて攻撃するようなマルウェアをダウンロードさせる。
閲覧者のコンピュータに脆弱性が存在すれば、そのコンピュータはマルウェアの侵入を許してしまい、マルウェアに感染してしまう。
この利用者自ら操作せずとも、Webサイトを閲覧しただけで自動的にマルウェアをダウンロード・感染させる攻撃手法を、ドライブバイダウンロードという。
このような攻撃に対しては、ウイルス対策ソフトを導入してパターンファイルを最新の状態に保つ、OSやアプリケーションソフトのセキュリティパッチを適用して脆弱性を解消する、といった基本的な対策が重要になる。
・標的型攻撃
機密情報の窃取などを目的として特定の組織(企業や官公庁)を狙った攻撃を標的型攻撃という。
電子メールを用いた標的型攻撃の場合、
・件名が組織に関係ありそうな内容
・差出人のメールアドレスが偽装
・添付ファイルの拡張子が偽装されてる(実行用プログラムなのに拡張子はpdf)
※拡張子=ファイルの種類を識別するためファイルの末尾につけられる文字列。
このような巧妙な細工や偽装が随所にあり、一見しただけで判断は困難である。
メール以外の標的型攻撃の手法としては、標的となる組織の従業員が頻繁に閲覧するサイトを改ざんして(ドライブバイダウンロードを仕込んで)、アクセス時にマルウェアに感染させる手法も用いられる。
これを水飲み場型攻撃という。
標的型攻撃は手を変え品を変え長期にわたって続けられることも少なくない。
そのような、執拗に繰り返される高度な標的型攻撃のことをAPT(Advanced Persistent Threats)と呼ぶ。
・ステガノグラフィ
ステガノグラフィ(steganography)は、画像や音声のデータ内にメッセージを埋め込み、その存在を認識させずに送付する技術である。
情報を隠ぺいする効果があるので、マルウェアの拡散に利用される。
・マルウェア対策
マルウェアの特徴である。
①有用なプログラムや安全なデータを装う。
②OSやアプリケーションの脆弱性を利用してWebサイトの閲覧や電子メールのプレビューによって自動実行する。
③LANやUSBメモリを経由して自己増殖(感染)する。
これらへの対応策として、
・出所不明なファイルを不用意に開かない
・安易にプログラムをダウンロードしない
・怪しいWebサイトを閲覧しない
・OSやアプリケーションを最新の状態に保つ
・電子メールに添付されたファイルを安易に開かない
・ウイルス対策ソフト(ワクチンソフトウェア)を利用する
ウイルス対策ソフトとは、マルウェア対策を行うソフトウェアの総称で、マルウェア対策の最も有効な対策である。
ウイルス対策ソフトのウイルス検出方法には、次のようなものがある。
パターンマッチング法
パターンマッチングは、既知のマルウェアがもつパターン(シグネチャコード)をパターンファイル(ウイルス定義ファイル)に格納し、検査対象と比較することで、マルウェアを検出する方法である。
この仕組み上、パターンファイルに登録されてないウイルスは検出できないため、パターンファイルは常に最新の状態にすることが重要だ。
コンペア法
安全に保管されている原本と検査対象を比較する方法。
チェックサム法
情報に符号(チェックサム)を用いる方法。
ビヘイビア法
マルウェアによって引き起こされる動作パターンを監視して検出する方法。
ビヘイビア法のように、動的な解析を伴う場合には、実環境とは隔離された特別な領域を用意してそこで動作させ、悪影響の拡散を防ぐ。
このような領域をサンドボックスという。
・後記
コロナウイルスを未だ終息の気配がない。
私は普段はマスクなんてしたことがなかったが、コロナを機に常時するようになってしまった。
マスク無しで外出すると口元が物足りないと感じるようになってしまった。
セキュリティも習慣にしていくことが重要そうだ。
