ウィルス/ワームの被害から身を守るには(クライアント編)

馬場達也(NTTデータ) 2006年01月05日 18時23分

  • このエントリーをはてなブックマークに追加

 前回までは、ウィルス/ワームの脅威と被害について紹介してきたが、今回は、クライアントPC側でウィルス/ワームの被害から身を守るための対策を紹介する。

ウイルス対策ソフトによって
ウイルス/ワームの侵入を検知・駆除

 ウイルス対策ソフトは、ディスクI/OやメモリI/Oを監視し、リアルタイムでウイルスやワームを検知する機能を備えている。これにより、ウイルスやワームのプログラムがメモリにロードされたり、ディスクに書き込まれたりした時点でそれらを即座に検知し、削除することができる。

 ウイルス対策ソフトは、図1のように、各I/Oを流れるデータを、ウイルスやワームの特徴を記述した「定義ファイル」と呼ばれるファイルの内容とパターンマッチングを行うことによって検知を行う。このため、最新のウイルスやワームを防ぐためには、常に定義ファイルのアップデートを行い、これを最新に保つ必要がある。

図1 ウイルス対策ソフトでは定義ファイルの内容と比較してウイルス/ワームを検知する

ワーム対策の基本はパッチを適用して
セキュリティホールをふさぐこと

 ワームの被害を防ぐためには、まず、パッチを適用してセキュリティホールをふさいでおくことが基本である。しかし、最近では、セキュリティホールが発見されてから、そのセキュリティホールを狙ったワームが出現するまでの時間が短くなっているという傾向がある。例えば、2005年8月に出現したZotobワームは、パッチが公開されてから5日後に出現している。

 このため、パッチが公開されても、ユーザーがパッチを適用する前にワームに感染してしまうケースが増えると予想される。また、そもそも、セキュリティホールを悪用しないウイルスやワームの感染防止には効果がないため、ウイルス対策ソフトや、次に紹介するパーソナルファイアウォールなどを使用して対策を行う必要がある。

パーソナルファイアウォールによって
ワームの攻撃や2次感染をブロック

 パーソナルファイアウォールは、ネットワークへのアクセスをプログラム単位で制御する「プログラム制御機能」を備えている。この機能は、あらかじめ許可されていないプログラムがアクセスを試みた場合に、ユーザーにアクセスを許可してよいかどうかの確認を行う。

 もし、身に覚えのないプログラムがネットワークにアクセスしようとしている場合は、それはワームが外部に対して感染活動をしている可能性があるため、アクセスを遮断するように指示する。

 また、多くのパーソナルファイアウォール製品は、「侵入防止機能」を備えている。侵入防止機能では、図2のように、「シグネチャ」と呼ばれる既知の攻撃パターンを記述したデータと入出力パケットの内容とを比較する。パケットの内容とシグネチャに記述された攻撃パターンが一致した場合は、ネットワーク経由での攻撃を受けたと判断してそのパケットを遮断するため、ワームの攻撃などから防御することができる。

図2 パーソナルファイアウォールの侵入防止機能ではシグネチャマッチングにより攻撃を検知し、遮断する

対策を併用してワームを多段防御

 ウイルスに対しては、ウイルス対策ソフトを使用し、定義ファイルを最新にしておけばほぼ問題なく被害を防ぐことができる。しかし、感染速度の速いワームに対しては、ウイルス対策ソフトだけでは不十分であり、パーソナルファイアウォールを併用して、以下のように、多段防御を行う必要がある。

■ネットワーク感染型ワームの場合
 MSBlasterやSasserのような、セキュリティホールを悪用するネットワーク感染型ワームの場合は、これらのワームが、ネットワーク経由でセキュリティホールを悪用するコードを送りつけた時点で、パーソナルファイアウォールが攻撃を検知し、遮断する。

 パーソナルファイアウォールが攻撃を検知できず、かつOSに適切なパッチが適用されていなかった場合は、ワームの侵入を許してしまう。しかし、ウイルス対策ソフトがインストールされていれば、ワームプログラムが感染先PCのディスクに保存された段階で検知され、削除される。

 ウイルス対策ソフトの定義ファイルが最新のワームに対応できておらず、ワームプログラムが起動してしまった場合でも、ワームプログラムが外部に対して感染活動を始めた時点でパーソナルファイアウォールがこの通信を未登録なプログラムによる異常な通信として検出し、警告を出す。この段階でアクセスを遮断するように指示できれば、ほかのPCへの感染の被害を防ぐことが可能となる。

■メール感染型ワームの場合
 NetskyやMydoomのようなメール感染型ワームは、メールに添付されて侵入してくるため、パーソナルファイアウォールでは侵入を防ぐことができない。しかし、ワームが含まれたメールが取り込まれた時点でウイルス対策ソフトによって検知・駆除される。

 ウイルス対策ソフトの定義ファイルが最新のワームに対応しておらず、ユーザーがワームプログラムを実行してワームに感染してしまった場合でも、パーソナルファイアウォールのプログラム制御機能により、ほかのPCへの感染を防ぐことができる。最近の多くのメール感染型ワームは、自身が持つメール送信機能により、直接メールを外部に送信しようとするため、パーソナルファイアウォールは、この通信を異常な通信として検出できるからである。

 ただし、Outlookなどの既存のメールプログラムの機能を悪用してメールを送信するようなワームの場合は、あらかじめアクセスが許可されているメールプログラムがアクセスを行うため、パーソナルファイアウォールでもブロックすることはできないので注意する必要がある。

 次回は、ネットワーク側でのウイルス/ワーム対策について紹介する。

  • このエントリーをはてなブックマークに追加
関連キーワード
セキュリティ

関連ホワイトペーパー

SpecialPR

  • ビジネスの継続的な成長を促す新たなITのビジョン

    多くの企業においてITに求められる役割が、「守り」のコスト削減から「攻め」のビジネス貢献へとシフトしつつある。その中でIBMが提唱する新たなビジョンEnterprise Hybrid ITとは?

  • デジタル変革か?ゲームセットか?

    デジタルを駆使する破壊的なプレーヤーの出現、既存のビジネスモデルで競争力を持つ
    プレイヤーはデジタル活用による変革が迫られている。これを読めばデジタル変革の全体像がわかる!

連載

CIO
研究現場から見たAI
ITは「ひみつ道具」の夢を見る
内製化とユーザー体験の関係
米ZDNet編集長Larryの独り言
今週の明言
「プロジェクトマネジメント」の解き方
田中克己「2020年のIT企業」
松岡功「一言もの申す」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
Fintechの正体
内山悟志「IT部門はどこに向かうのか」
情報通信技術の新しい使い方
三国大洋のスクラップブック
大河原克行のエンプラ徒然
コミュニケーション
情報系システム最適化
モバイル
通信のゆくえを追う
セキュリティ
セキュリティの論点
ネットワークセキュリティ
スペシャル
座談会@ZDNet
Dr.津田のクラウドトップガン対談
CSIRT座談会--バンダイナムコや大成建設、DeNAに聞く
創造的破壊を--次世代SIer座談会
企業決算を追う
「SD-WAN」の現在
展望2017
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
PTC LiveWorx
古賀政純「Dockerがもたらすビジネス変革」
さとうなおきの「週刊Azureなう」
誰もが開発者になる時代 ~業務システム開発の現場を行く~
中国ビジネス四方山話
より賢く活用するためのOSS最新動向
「Windows 10」法人導入の手引き
Windows Server 2003サポート終了へ秒読み
米株式動向
実践ビッグデータ
日本株展望
ベトナムでビジネス
アジアのIT
10の事情
エンタープライズトレンド
クラウドと仮想化