前回までは、ウィルス/ワームの脅威と被害について紹介してきたが、今回は、クライアントPC側でウィルス/ワームの被害から身を守るための対策を紹介する。
ウイルス対策ソフトによって
ウイルス/ワームの侵入を検知・駆除
ウイルス対策ソフトは、ディスクI/OやメモリI/Oを監視し、リアルタイムでウイルスやワームを検知する機能を備えている。これにより、ウイルスやワームのプログラムがメモリにロードされたり、ディスクに書き込まれたりした時点でそれらを即座に検知し、削除することができる。
ウイルス対策ソフトは、図1のように、各I/Oを流れるデータを、ウイルスやワームの特徴を記述した「定義ファイル」と呼ばれるファイルの内容とパターンマッチングを行うことによって検知を行う。このため、最新のウイルスやワームを防ぐためには、常に定義ファイルのアップデートを行い、これを最新に保つ必要がある。
ワーム対策の基本はパッチを適用して
セキュリティホールをふさぐこと
ワームの被害を防ぐためには、まず、パッチを適用してセキュリティホールをふさいでおくことが基本である。しかし、最近では、セキュリティホールが発見されてから、そのセキュリティホールを狙ったワームが出現するまでの時間が短くなっているという傾向がある。例えば、2005年8月に出現したZotobワームは、パッチが公開されてから5日後に出現している。
このため、パッチが公開されても、ユーザーがパッチを適用する前にワームに感染してしまうケースが増えると予想される。また、そもそも、セキュリティホールを悪用しないウイルスやワームの感染防止には効果がないため、ウイルス対策ソフトや、次に紹介するパーソナルファイアウォールなどを使用して対策を行う必要がある。
パーソナルファイアウォールによって
ワームの攻撃や2次感染をブロック
パーソナルファイアウォールは、ネットワークへのアクセスをプログラム単位で制御する「プログラム制御機能」を備えている。この機能は、あらかじめ許可されていないプログラムがアクセスを試みた場合に、ユーザーにアクセスを許可してよいかどうかの確認を行う。
もし、身に覚えのないプログラムがネットワークにアクセスしようとしている場合は、それはワームが外部に対して感染活動をしている可能性があるため、アクセスを遮断するように指示する。
また、多くのパーソナルファイアウォール製品は、「侵入防止機能」を備えている。侵入防止機能では、図2のように、「シグネチャ」と呼ばれる既知の攻撃パターンを記述したデータと入出力パケットの内容とを比較する。パケットの内容とシグネチャに記述された攻撃パターンが一致した場合は、ネットワーク経由での攻撃を受けたと判断してそのパケットを遮断するため、ワームの攻撃などから防御することができる。
対策を併用してワームを多段防御
ウイルスに対しては、ウイルス対策ソフトを使用し、定義ファイルを最新にしておけばほぼ問題なく被害を防ぐことができる。しかし、感染速度の速いワームに対しては、ウイルス対策ソフトだけでは不十分であり、パーソナルファイアウォールを併用して、以下のように、多段防御を行う必要がある。
■ネットワーク感染型ワームの場合
MSBlasterやSasserのような、セキュリティホールを悪用するネットワーク感染型ワームの場合は、これらのワームが、ネットワーク経由でセキュリティホールを悪用するコードを送りつけた時点で、パーソナルファイアウォールが攻撃を検知し、遮断する。
パーソナルファイアウォールが攻撃を検知できず、かつOSに適切なパッチが適用されていなかった場合は、ワームの侵入を許してしまう。しかし、ウイルス対策ソフトがインストールされていれば、ワームプログラムが感染先PCのディスクに保存された段階で検知され、削除される。
ウイルス対策ソフトの定義ファイルが最新のワームに対応できておらず、ワームプログラムが起動してしまった場合でも、ワームプログラムが外部に対して感染活動を始めた時点でパーソナルファイアウォールがこの通信を未登録なプログラムによる異常な通信として検出し、警告を出す。この段階でアクセスを遮断するように指示できれば、ほかのPCへの感染の被害を防ぐことが可能となる。
■メール感染型ワームの場合
NetskyやMydoomのようなメール感染型ワームは、メールに添付されて侵入してくるため、パーソナルファイアウォールでは侵入を防ぐことができない。しかし、ワームが含まれたメールが取り込まれた時点でウイルス対策ソフトによって検知・駆除される。
ウイルス対策ソフトの定義ファイルが最新のワームに対応しておらず、ユーザーがワームプログラムを実行してワームに感染してしまった場合でも、パーソナルファイアウォールのプログラム制御機能により、ほかのPCへの感染を防ぐことができる。最近の多くのメール感染型ワームは、自身が持つメール送信機能により、直接メールを外部に送信しようとするため、パーソナルファイアウォールは、この通信を異常な通信として検出できるからである。
ただし、Outlookなどの既存のメールプログラムの機能を悪用してメールを送信するようなワームの場合は、あらかじめアクセスが許可されているメールプログラムがアクセスを行うため、パーソナルファイアウォールでもブロックすることはできないので注意する必要がある。
次回は、ネットワーク側でのウイルス/ワーム対策について紹介する。