マルウェアの脅威が増え続けるなか、システムのベースライン(基準となる状態)を作り上げ、脆弱性を検出するとともにマルウェアを除去するツールが重要となってきている。
サイバー犯罪者たちは、検出されないマルウェアを作成するためにさまざまな手段を講じている。そして、それは実を結んでいると言ってもよい状況にある。そこで、彼らの仕事が少しでも難しくなることを願い、以下の情報を提供することにした。
ベースラインの重要性
コンピュータ上で実行されるべきでないプログラムを検出するうえで、普段実行されているプログラムを正確に把握しておくことが必要不可欠となる。筆者の意見では、こういったことを成し遂げるうえでの最善の方法が、リファレンスベースラインだ。以下に、そういったベースラインを把握するためのアプリケーションを3つ紹介する。
#1:Microsoft Process Explorer(元々はSysinternalsの名前でWinternals Softwareから提供されていた)
Process Explorerによって、コンピュータ上で実行中のプロセスを識別する素晴らしい方法が提供される。また、各プロセスの機能説明も表示されるようになっている。
さらに重要なことに、Process Explorerを用いることで、コンピュータが正しく動作している際に実行されているプロセスのベースラインの作成も可能になる。このため、何らかの理由でコンピュータの動作がおかしくなった際には、Process Explorerを再度実行し、以前の結果と比較することができるわけである。何らかの相違点があるのであれば、そこを端緒としてマルウェアを探し出すことができるだろう。
#2:Trend MicroのHijackThis
HijackThisは、Process Explorerの高機能版であり、OSについてあまり詳しくないユーザーにとってはとっつきにくいアプリケーションとなっている。とは言うものの、マルウェアの問題に悩まされる前にHijackThisを実行しておくことで、素晴らしいリファレンスベースラインを手にすることができ、改変箇所の特定が容易になる。
また、何かがおかしくなったものの、ベースラインを作成していないという状況が発生しても心配することはない。いくつかのウェブサイトでは、HijackThisのログファイルを自動解析し、問題と思われる箇所を指摘してくれるオンラインアプリケーションが提供されている。筆者が利用しているサイトはHiJackThis.de SecurityとNetworkTechs.comである。なお、専門家に支援を求めたいというユーザーには、WindowSecurity.comのHijackThisフォーラムをお薦めしておく。
#3:KasperskyのGetSystemInfo
KasperskyはGetSystemInfoという、HijackThisとよく似たアプリケーションを提供している。Kasperskyのサイトでは、オンラインパーサーが提供されているという点が魅力である。このサイトにログファイルをアップロードするだけで、オンラインパーサーが問題点を指摘してくれるようになっている。
GetSystemInfoも他のスキャナと同様、コンピュータ上で実行されているプログラムを記録しておき、侵入したマルウェアを検出する際に必要に応じて役立てることができるようになっている。
ただし、気を付けておいてほしいことがある。HijackThisの項でも述べたように、スキャナの指摘したプロセスを削除するという作業は、気弱な人には向いていないのである。OSについての詳しい知識を持っている、すなわち以前のスキャン結果と比較することができる必要があるわけである。
次は、脆弱性スキャナを2つ紹介しよう。