マルウェア(1)
マルウェアによる攻撃<1>
悪意あるソフトウェア、コンピュータウイルス、スパイウェア、ボットなどの不正プログラムの総称
種類
- コンピュータウイルス
- ワーム
- トロイの木馬
- 悪意のあるモバイルコード
- スパイウェア
- ボット
コンピュータウイルス、ワーム
コンピュータウイルス
自己伝染機能、潜伏機能、発病機能のいずれか1つ以上を持ち、意図的にデータの消去、改ざんなどを行うように作られた悪意のあるプログラムのこと。狭義では、自立せず、Word、Excelなど、何らかの宿主(感染対象となるプログラムなど)に感染して、動作するものをいう。
自己伝染機能
自らの機能によって他のプログラムに自らをコピーし又はシステム機能を利用して自らを他のシステムにコピーすることにより、 他のシステムに伝染する機能
潜伏機能
発病するための特定時刻、一定時間、処理回数等の条件を記憶させて、発病するまで症状を出さない機能
発病機能
プログラム、データ等のファイルの破壊を行う、設計者の意図しない動作をする等の機能
ワーム
コンピュータウイルスの一種であるが、宿主を必要とせず、それ自身が独立して実行可能なプログラムで活動し続ける点と、他のシステムへの感染にファイルを必要としない点がウイルスと異なる。
基本的対策
ゲートウェイ上での対策
- ファイアウォールを用いて不要なポートへのアクセスを双方向で遮断する
- ゲートウェイ型ウイルス対策ツールを用いてメールに添付されたウイルスを駆除する
- IPSを用いてマルウェアを検知し、遮断する
- コンテンツフィルタリングツールや不正なプログラム対策機能を持つプロキシサーバを導入し、不正なWebサイトへのアクセスや不正なファイルのダウンロードを防ぐ
クライアント環境(エンドポイント)での対策
- 総てのコンピュータにウイルス対策ツールをインストールし、ウイルス定義ファイルを毎日更新する
- OSや使用しているソフトウェアを最新バージョンにするとともに、最新のパッチを適用する
- OS標準のファイアウォール機能を有効にする
- 必要に応じてパーソナルファイアウォールを導入する
- 業務と無関係なソフトウェアの使用を禁止する
- 外部より入手したファイルや共有するファイルはウイルス検査後に使用する
- メールや記憶媒体などでファイルを送る場合は事前にウイルス検査を実施する
その他
- グループウェア型ウイルス対策ツール、ファイルサーバ型ウイルス対策ツールなど、環境に応じた対策ツールを導入する
- ウイルス感染時の連絡体制、対応手順などを明確にして関係者に周知するなど、マネジメント面の対策を実施する
※「パターンファイル更新のベンダによるばらつきや、特定ベンダのパターンファイル更新不備に起因するセキュリティ上のリスクを低減できる」のでエンドポイントのウイルス対策ソフトと、ゲートウェイのウイルス対策ソフトの製造元を別にしておくとよい
ネットワーク感染型ワーム
インターネット(ネットワークなど)に繋いだだけで感染するウイルス。システムやプログラムのぜい弱性を悪用する。
対策
基本的対策+
- ファイアウォールによって、ネットワーク感染型ワームが使用するパケットをいんばんうんど、アウトバウンドの双方向で遮断する
- 外部に持ち出すノートPCなどは、持ち出す前に対策が行われていることを確認する
- 外部から持ち出されたノートPCなどは、社内LANに接続する前に、感染していないこと、パッチが適用されていることを確認する
トロイの木馬
一見すると正常なファイルのように見えるが、実際には裏でバックドアとして機能する、データの破壊、改ざんなどの不正な機能を持つプログラムのこと
主な感染経路
|
1.メールを介した感染 2.SNSを介した感染 3.Webサイトを介した感染 4.ファイル共有ソフトを介した感染 5.目を離したスキに直接インストール |
1.メールを介した感染
攻撃者または既に感染しているコンピュータが送信するメールおよびスパムメールに添付されているファイルを実行、記述されているURLをクリックすることによってトロイの木馬をダウンロード・実行(スマートアプリの場合インストール)することにより感染
2.SNSを介した感染
Facebook/TwitterなどのSNSで自分がフォローしている(攻撃者にアカウントを乗っ取られた)人が投稿したメッセージに含まれるURLからトロイの木馬をダウンロード・実行することにより感染
3.Webサイトを介した感染
攻撃者が準備した悪意のあるサイトにアクセスし、役に立つプログラムに偽装したトロイの木馬をダウンロード・実行することにより感染
企業などのウェブページが不正に改ざんされた場合、脆弱性のあるPCはそこにアクセスしただけで勝手にトロイの木馬型のマルウェアが勝手にインストールされ感染する
4.ファイル共有ソフトを介した感染
"Winny"をはじめとするファイル共有ソフトから(例えば動画だと思って)ダウンロードしたファイルがトロイの木馬で、(動画をみようとして)実行し、感染
5.目を離したスキに直接インストール
これは少し事情が異なるが、自分の身近にいる人が攻撃者となり、目を離したスキにPCやスマートフォンにこっそりとトロイの木馬型のマルウェアをインストールすることによって感染
対策
- OS、Java、Flashやブラウザのプラグインなどを常に最新版に保つ
- セキュリティソフトを使用する
- 送られてきたメールやメッセージが本物かどうかを確認し、添付ファイルを不用意に開かない
- SNSやメールに含まれるリンクを不用意にクリックしない
- 信用できるWebサイトからのみプログラムをダウンロードするようにする
- スクリーンロックを確実に行う
※トロイの木馬が発見されたシステムは、他のプログラムにも同様の改変が行われている可能性があるので、ハードディスクを初期化し、クリーンインストールを行ってシステムを再構築する必要がある
