ウィルス/ワームの被害から身を守るには(クライアント編)

馬場達也(NTTデータ)

2006-01-05 18:23

    • メールで送る
    • テキスト
    • HTML
    • 電子書籍
    • PDF
    • ダウンロード
    • テキスト
    • 電子書籍
    • PDF

 前回までは、ウィルス/ワームの脅威と被害について紹介してきたが、今回は、クライアントPC側でウィルス/ワームの被害から身を守るための対策を紹介する。

ウイルス対策ソフトによって
ウイルス/ワームの侵入を検知・駆除

 ウイルス対策ソフトは、ディスクI/OやメモリI/Oを監視し、リアルタイムでウイルスやワームを検知する機能を備えている。これにより、ウイルスやワームのプログラムがメモリにロードされたり、ディスクに書き込まれたりした時点でそれらを即座に検知し、削除することができる。

 ウイルス対策ソフトは、図1のように、各I/Oを流れるデータを、ウイルスやワームの特徴を記述した「定義ファイル」と呼ばれるファイルの内容とパターンマッチングを行うことによって検知を行う。このため、最新のウイルスやワームを防ぐためには、常に定義ファイルのアップデートを行い、これを最新に保つ必要がある。

図1 ウイルス対策ソフトでは定義ファイルの内容と比較してウイルス/ワームを検知する

ワーム対策の基本はパッチを適用して
セキュリティホールをふさぐこと

 ワームの被害を防ぐためには、まず、パッチを適用してセキュリティホールをふさいでおくことが基本である。しかし、最近では、セキュリティホールが発見されてから、そのセキュリティホールを狙ったワームが出現するまでの時間が短くなっているという傾向がある。例えば、2005年8月に出現したZotobワームは、パッチが公開されてから5日後に出現している。

 このため、パッチが公開されても、ユーザーがパッチを適用する前にワームに感染してしまうケースが増えると予想される。また、そもそも、セキュリティホールを悪用しないウイルスやワームの感染防止には効果がないため、ウイルス対策ソフトや、次に紹介するパーソナルファイアウォールなどを使用して対策を行う必要がある。

パーソナルファイアウォールによって
ワームの攻撃や2次感染をブロック

 パーソナルファイアウォールは、ネットワークへのアクセスをプログラム単位で制御する「プログラム制御機能」を備えている。この機能は、あらかじめ許可されていないプログラムがアクセスを試みた場合に、ユーザーにアクセスを許可してよいかどうかの確認を行う。

 もし、身に覚えのないプログラムがネットワークにアクセスしようとしている場合は、それはワームが外部に対して感染活動をしている可能性があるため、アクセスを遮断するように指示する。

 また、多くのパーソナルファイアウォール製品は、「侵入防止機能」を備えている。侵入防止機能では、図2のように、「シグネチャ」と呼ばれる既知の攻撃パターンを記述したデータと入出力パケットの内容とを比較する。パケットの内容とシグネチャに記述された攻撃パターンが一致した場合は、ネットワーク経由での攻撃を受けたと判断してそのパケットを遮断するため、ワームの攻撃などから防御することができる。

図2 パーソナルファイアウォールの侵入防止機能ではシグネチャマッチングにより攻撃を検知し、遮断する

対策を併用してワームを多段防御

 ウイルスに対しては、ウイルス対策ソフトを使用し、定義ファイルを最新にしておけばほぼ問題なく被害を防ぐことができる。しかし、感染速度の速いワームに対しては、ウイルス対策ソフトだけでは不十分であり、パーソナルファイアウォールを併用して、以下のように、多段防御を行う必要がある。

■ネットワーク感染型ワームの場合
 MSBlasterやSasserのような、セキュリティホールを悪用するネットワーク感染型ワームの場合は、これらのワームが、ネットワーク経由でセキュリティホールを悪用するコードを送りつけた時点で、パーソナルファイアウォールが攻撃を検知し、遮断する。

 パーソナルファイアウォールが攻撃を検知できず、かつOSに適切なパッチが適用されていなかった場合は、ワームの侵入を許してしまう。しかし、ウイルス対策ソフトがインストールされていれば、ワームプログラムが感染先PCのディスクに保存された段階で検知され、削除される。

 ウイルス対策ソフトの定義ファイルが最新のワームに対応できておらず、ワームプログラムが起動してしまった場合でも、ワームプログラムが外部に対して感染活動を始めた時点でパーソナルファイアウォールがこの通信を未登録なプログラムによる異常な通信として検出し、警告を出す。この段階でアクセスを遮断するように指示できれば、ほかのPCへの感染の被害を防ぐことが可能となる。

■メール感染型ワームの場合
 NetskyやMydoomのようなメール感染型ワームは、メールに添付されて侵入してくるため、パーソナルファイアウォールでは侵入を防ぐことができない。しかし、ワームが含まれたメールが取り込まれた時点でウイルス対策ソフトによって検知・駆除される。

 ウイルス対策ソフトの定義ファイルが最新のワームに対応しておらず、ユーザーがワームプログラムを実行してワームに感染してしまった場合でも、パーソナルファイアウォールのプログラム制御機能により、ほかのPCへの感染を防ぐことができる。最近の多くのメール感染型ワームは、自身が持つメール送信機能により、直接メールを外部に送信しようとするため、パーソナルファイアウォールは、この通信を異常な通信として検出できるからである。

 ただし、Outlookなどの既存のメールプログラムの機能を悪用してメールを送信するようなワームの場合は、あらかじめアクセスが許可されているメールプログラムがアクセスを行うため、パーソナルファイアウォールでもブロックすることはできないので注意する必要がある。

 次回は、ネットワーク側でのウイルス/ワーム対策について紹介する。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

メールマガジン購読のお申し込み

「特集 : マルウェアの生態学」 バックナンバー

関連記事

関連キーワード
NTTデータ
セキュリティ

関連ホワイトペーパー

人気カテゴリ
経営
セキュリティ
クラウドコンピューティング
仮想化
ビジネスアプリケーション
モバイル

特集

CNET Japan Top Story

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル
  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは
  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策
  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性
  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説
ホワイトペーパーライブラリー

ZDNET Japan クイックポール

マイナンバーカードの利用状況を教えてください

ログイン

カテゴリランキング

  1. レッドハット、「Red Hat Enterprise Linux 9.4」を一般提供--「RHEL 7.9」に4年間の追加サポートも

  2. ポータブルなLinuxディストロ「Dynebolic」--豊富なコンテンツ作成ツールを出先でも

  3. 「Linux」でデバイスの円滑な動作を維持するために知っておくべきコマンド5選

  4. 「Linux」のデスクトップ環境を変更するには--好みに合わせて選んで使用

  5. MS、「Windows 7/8」から「Windows 10」への無償アップグレードを完全に終了

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]