11/9/2014 システムセキュリティ論４コンピュータウィルス ◎ コンピュータウィルスとは．（経済産業省，コンピュータウィルス対策基準）他のプラグラムに意図的に何らかの被害を及ぼすように作られたプログラムで，自己伝染機能，潜伏機能，発病機能の機能をひとつ以上有するもの．自己伝染機能プログラムが自分自身をコピーする機能．この機能によって自分自身を他のプログラムやシステムにコピーする．潜伏機能通常は症状を表さないで，特定の条件を満たすと発病する機能．条件には，特定の日時，経過時間，処理回数（起動回数）などがある．発病機能プログラムやデータの破壊，システムに異常な動作をさせるなど，ユーザの意図しない作動をさせる機能． ◎ コンピュータウィルスの種類．ファイル感染型（最近はあまりない）他の実行可能なプラグラムに感染し，そのプログラムが実行される度にウィルスも実行されるウィルス．通常，ウィルスが実行されると，メモリ内に常駐し，他のプログラムが実行される度にそのプログラムに感染する．システム領域感染型システムの起動プログラム部分に感染するプログラム．システムが起動される度にウィルスが起動され，システムの制御を奪う．ウィルスは電源をきるまでメモリに常駐する．システムファイルが感染した場合，そのシステムを作動させたままの状態ではウィルスを駆除できない場合がある．複合感染型ファイル感染型とシステム領域感染型の両方の特徴をもったウィルス．システム全体への感染スピードが速い．マクロ感染型マイクロソフト社のワードやエクセルのマクロとしてとして感染するウィルス．マクロとは，エクセルなどのアプリケーション内での手続きをまとめたプログラムのようなもの．エクセル内にマクロが在る場合，起動時にそれを有効にするかどうか問い合わせがある．怪しい場合は無効にした方が無難． 1 11/9/2014 トロイの木馬型増殖を目的としないウィルス．ある有名なプログラムを改造して，内部に別のプログラムを埋め込み配布する．見た目は普通に作動しているように見えるが，副作用でさまざまな被害を及ぼす．ワーム (モリスワーム，MS Blaster) ネットワーク内で自分自身をコピーさせながら移動・増殖を繰り返すプログラム．最近では，メールなどに自分自身のコピーを埋め込みばら撒くので感染力がつよい．関連事項 ----------------------------------------------------------------スパイウェアウィルスではないが最近流行しており，他のアプリケーションとセットで配布される．一応使用許諾などに動作の説明が載っている場合が多く（でも普通は誰も読まない），一概には違法とは言えない．パソコン上のデータを集めてマーケティング会社などのスパイウェア作成会社に送られる．俗に，外部にデータを送信するソフトをウィルスも含めてスパイウェアと呼ぶ場合もある．対策ソフト：「Spybot - Search & Destroy」，「Ad-Aware」スピア（標的）型ウィルス特定の個人，サイト，企業，組織個人，組織を狙った一点突破型ウィルス．ウィルスはそれ専用にカスタマイズされ，感染拡大を目指したウィルスでもないため，ワクチンソフト用の定義ファイルが作成されることは滅多にない．通常はメールに添付されて，大量に送り込まれる．一通でもウィルスが実行されれば，攻撃はほぼ成功したことになる．ボット(Bot) 機能的にはスピア型ウィルスだか，一般に独立した種類として分類される．感染拡大を目指すウィルスではなく，特定の個人，サイト，企業，組織を狙って送り込まれるリモート操作可能なソフトウェア．外部からの指示（HTTP, IRCなど）により色々な動作をする．バージョンアップも可能である．ウィルス対策（ワクチン）ソフトでも検出は難しく，外部へのトラフィックを注意深く観測するしかない．一度感染したら，ボットを介して複数のウィルスに感染している可能性があり，OSの再インストールしか解決方法はないと言われている．ボット同士が作る仮想的なネットワークをボットネットと呼ぶ．ボットネットなどは DDos攻撃などにも利用される．マルウェア（malware）コンピュータウィルス，スパイウェアなども含めた悪意のあるソフトウェアの総称．キーロガー（キー入力を記録し外部に送信する）．Exploit Code（セキュリティホールを突く,もしくは検証用の小さなプログラム）. 2 11/9/2014 ルートキット(root kit) システムへの侵入後に，侵入を発見されないようにシステムのコマンドなどを自分の都合の良いものに置き換えるためのツール群．または，システムに侵入するために使用されるツール群もこのように呼ばれる場合もある．トロイの木馬的な動きをする．最近では，ソニーBMG製のコピーコントロールCD(CCCD)不正コピー防止プログラムもルートキットに分類され問題となった．ゼロデイアタックシステムの脆弱性が発見され，それに対する対策が施される前に行なわれる攻撃．殆どの防御方法は無力である．対策が施されるまで，マシンの電源を切っておくのがベスト． EXE Crypter(Packer) Packerはワクチンソフトの定義ファイルの作成，適当から逃れるために，実行コード（ウィルス自身）を圧縮，暗号化するソフトウェア．プログラムを実行する場合は，同一ファイル中に添付されている展開プログラムが，圧縮，暗号化されたウィルスを展開して実行する．既存のウィルスを使用した場合でも，定義ファイルによる発見は不可能．フリーの偽ワクチンソフト実際にはウィルスに感染していないのに，警告メッセージを出し，ユーザの不安心理を突いてソフトウェアを購入させようとするものもある．フリーのワクチンソフトは有名なものを，有名なサイトからダウンロードして使用すること． ◎ 感染経路・フロッピィ，CD-ROM中のプログラム（ゲームが多い）・ネットワークからのダウンロード．何でもできる(便利？な) Active X．・メールの添付ファイル（OL:プレビューしただけで感染した事があった） COM, EXE, SCR, VBS, PIF, BAT, DLL などの拡張子は要注意．・ Webブラウザなどクライアントソフトのバグ（見ただけで感染した事があった）・サーバソフトのバグ（バッファオーバーフロー）  マイクロソフト社の Internet Information Server (IIS) の Code Red ・ OSのバグ Windows のサービスパック（SP），HotFix，Patch 3 11/9/2014 ◎ 対策，処置，発見方法 [日頃の心得] ・万一に備えて定期的にバックアップを取る（自分の作ったデータ）．・ネットワークのトラフィックの監視（管理者） [感染しないために] ・プログラムへのパッチ（Windows Update，apt-get）・ワクチンソフトを購入し，定期的に検査する．定義ファイルは小まめに Update．  フリーウェアでも可．(例：stinger, BitDeffender) ・ Linuxの場合は，時々システムの状態のチェックを行う（ログ，Nessus）・ Webで常に新しい情報を入手しておく．・出所不明なプログラムは起動しない（出所不明のゲームソフトなど）・メールの添付ファイルを開くときは，拡張子に注意し，EXE, COM, BAT, SCR, PIF, VBS, DLLなどの拡張子の添付ファイルは絶対に開かない(ZIPなども一旦HDへ保存)．英語のメールで，「funny game(面白いゲームだよ)」なんていうのは，即ゴミ箱行き．  Windowsではファイルの拡張子を常に表示させる．・ Webで怪しいエラート（警告ウィンドウ）が出たら注意する．・ Webでプログラムをダウンロードする場合は注意する．・ワードやエクセルでマクロを有効にするかどうか聞かれた場合は，とりあえず無効にする．最近は無効がデフォルト． [感染したら] ・疑わしい場合は，直ぐにマシンをネットワークから切り離す．・本当にウィルスかどうか確認する．・組織に属している場合：感染していた場合，または判断がつかない場合（少しでも疑わしい場合）は，システム管理者（または決められた部署）に報告する．・個人の場合：周りに詳しい人がいたら相談する．以降，個人の場合は該当者．組織の場合は管理者（担当者）が行なうべきこと．・症状を確認してウィルスの種類を特定する．（他のマシンのWebなどで情報を集める）・ワクチンプログラムを手に入れ，ウィルスを駆除する．またはＯＳの再インストール．・コンピュータが予期しない作動をしたかを確認する（メールを大量に出すなど）．・ウィルスが他のマシンに損害（感染，メール送信）を与えていた場合はその対応．・感染経路を特定する．→ 再度感染しないための対策を練る．報告書の作成（記録の作成）， 4