ウイルス ワーム

敵を知り、防御法を知れば、危うからず!
ウイルス
ワーム の
近年、「MSBlaster」や「Sasser」などに代表される、コンピュータウイルスによ
る被害が拡大している。本連載では、まずそれらのウイルスの特徴や動作を分析し、
各ウイルスの特徴に合わせた防御法について解説していく。今回は、エンドポイント
PCにおけるウイルス/ワーム対策について説明する。
第3回
エンドポイントPCでのウイルス対策
ウイルス対策はエンドポイントの
PCで行うのが基本
がファイルとして書き込まれた時点でそれらを即座に検
ウイルス(ワーム)の感染を防ぐための対策としては、
やワームプログラムの特徴を記述した「ウイルス定義フ
知し、削除することができる。
アンチウイルスソフトは、過去に発見されたウイルス
エンドポイントPCで行うものとPCが接続されているネ
ァイル」と呼ばれるファイルと、PC上のファイルの内容
ットワーク側で行うものの2つに大別される。しかし、実
との間でパターンマッチングを行うことによってウイル
際にウイルスに感染し、ネットワークに被害を与えてし
スやワームの検知を行う。
まう可能性があるのはエンドポイントPCなので、最終的
な対策はそれらの各PC上で行うのが基本と言える。
ただし、このウイルス定義ファイルの情報は、ウイル
スやワームが発見されてから作成されるため、多くのア
本稿では、エンドポイントPCでの主な対策技術とし
ンチウイルスソフトはリアルタイムで新種のウイルスや
て、
「アンチウイルスソフト」
「パーソナルファイアウォ
ワームには対応できない。できるだけ頻繁に、ウイルス
ール」
「パーソナルIDS(Intrusion Detection System)
」
定義ファイルのアップデートを行っておくことが重要で
の3つを紹介する。
ある。なお、最近は未知のウイルスやワームを検知でき
るとうたっている製品もある。
ウイルス感染ファイルやワームプログラムを
検知するアンチウイルスソフト
アンチウイルスソフトは、ファイルシステム上にウイ
不正なアクセスをブロックする
パーソナルファイアウォール
ルスに感染したファイルやワームプログラムが存在した
パーソナルファイアウォールは、外部からの不正なア
際、ファイルからウイルスを除去したり、ワームプログ
クセスと、内部からの許可されていないプログラムから
ラムを削除、もしくは安全な検疫フォルダに隔離したり
のアクセスをブロックする機能を備えた製品である。外
することによって、ウイルスやワームが実際の被害を及
部からの不要なアクセスをブロックすることにより、セ
ぼす前に対処するための製品である。
キュリティホールを悪用して侵入するワームの攻撃を防
特にアンチウイルスソフトが備える強力な機能の1つ
御することができる。
は、ファイルシステムの入出力を監視し、ウイルス感染
また、PCがワームに感染してしまった場合、ワームプ
ファイルやワームプログラムが存在することをリアルタ
ログラムが起動され、ほかのPCに対して感染活動を開始
イムで検知する「リアルタイム保護機能」である。これ
する。しかし、このときパーソナルファイアウォールは、
により、ウイルス感染ファイルまたはワームプログラム
あらかじめ許可されていないプログラムが通信を試みて
120
NETWORKWORLD
Nov 2004
ウイルス
ワーム の
いると判断して、ユーザーにアクセスを許可してよいか
アンチウイルスソフトやパーソナルファイアウォールは、
どうかの確認を行う。ここでユーザーがアクセスを許可
パーソナルファイアウォールが備える外部からのアクセ
しなければ通信は行われないので、たとえ自身のPCがワ
スに対するフィルタリング機能を除けば、ウイルスやワ
ームに感染してしまったとしても、ほかのPCへの被害の
ームに感染したあとの事後対策を行うための製品である。
拡散を防ぐことができるのである。
これに対してパーソナルIDSは、ワームの侵入行為自体
ただし、パーソナルファイアウォールは万全というわ
けではない。遮断する外部からのアクセスはデフォルト
を検知して遮断するため、ワームが感染する前に対処す
ることができる。
である程度は設定されているが、そういった設定はユー
パーソナルIDSは、
「シグネチャ」と呼ばれる既知の攻
ザーの利用環境によって異なるため、カスタマイズが必
撃パターンを記述したファイルとPCの入出力パケットの
要となる。ユーザーによってはこのカスタマイズ設定を
内容を比較する。シグネチャと攻撃パターンが一致した
負担に感じ、パーソナルファイアウォール機能を無効と
場合は、ワームなどによる攻撃が発生したと判断してそ
してしまうことも多い。
のパケットを遮断する。このため、セキュリティホール
また、パーソナルファイアウォールは、許可されてい
を悪用して侵入するワームには非常に効果的である。し
ないプログラムが外部に対してアクセスを行おうとした
かし、セキュリティホールを悪用しないメール感染型ワ
場合にユーザーに対して確認を求めてくるが、ユーザー
ームなどには効果がない。また、シグネチャファイルに
はそのプログラムがワームプログラムなのかどうかをプ
記述のない新種のワームに対しては無防備となるため、
ログラム名だけから判断することは難しい。多くのユー
シグネチャファイルを常に最新のものに保っておくこと
ザーは、
「msblast.exe」のような明らかにワームプログ
が重要となる。
ラムであると思われる名称でないかぎり、アクセスを許
可してしまっているのが現状であろう。許可すべきかど
うかを判断できないものは、インターネット上でプログ
ラム名から検索して調査するか、または最初はブロック
SasserとNetskyを実例とした
多段防御によるワーム対策
するように設定し、アプリケーションの利用に問題が発
これまで見てきたアンチウイルスソフト、パーソナル
生するようであれば、許可するように設定を変更するな
ファイアウォール、パーソナルIDSを同時に使用するこ
どの処理が必要となる。
とで、ウイルス/ワームに対する多段防御を実現するこ
パーソナルファイアウォールが備える外部からのアク
セスのフィルタリング機能は、セキュリティホールを悪
とができる。
ここでは、セキュリティホールを悪用して感染するワ
用して侵入するようなワームに対して有効である。また、
ームとして「Sasser」を、メール感染型ワームの例とし
内部からのアクセスのフィルタリング機能は、セキュリ
て「Netsky」を例にあげ、アンチウイルスソフト、パー
ティホールを悪用して感染するワームや自身でSMTP
ソナルファイアウォール、パーソナルIDSのそれぞれが
(Simple Mail Transfer Protocol)エンジンを持つメー
どのように機能するのかを具体的に解説する。
ル感染型ワームに対して有効である。ただし、Outlook
などの既存のメールプログラムの機能を利用してメール
セキュリティホール悪用型ワームであるSasserの場合
を送信するようなワームは、あらかじめ許可しているメ
セキュリティホール悪用型ワームであるSasserが感染
ールプログラムがアクセスを行うため、パーソナルファ
のためにアクセスしてきた場合は、次ページの図1の順
イアウォールでブロックすることはできない。
番で防御機能が動作する。
Sasserは、まずランダムに生成したIPアドレスの
セキュリティホールを悪用した攻撃を
検知するパーソナルIDS
445/TCPをスキャンし、感染先候補を探す。しかし、多く
のパーソナルファイアウォール製品では445/TCPをデフ
ォルトで遮断する設定となっているため、この段階でワ
パーソナルIDSは、外部からセキュリティホールを悪
ーム感染を防ぐことができる。仮に、パーソナルファイ
用して侵入するワームの攻撃をブロックする製品である。
アウォールで445/TCPに対するアクセスを許可する設定
NETWORKWORLD
Nov 2004 121
になっていたとしても、Sasserがセキュリティホールを
削除することができない場合が多いので注意してほしい。
悪用するコードを送りつけた時点でパーソナルIDSが攻
この場合は、タスクマネージャを起動して該当するワ
撃を検知し、アクセスを遮断することができる(画面1)
。
ームプログラムのプロセスを終了させたあとで、アンチ
パーソナルIDSが無効となっており、かつOSの適切な
ウイルスソフトによってウイルススキャンを行うか、ア
パッチが適用されていない場合は、ワームの攻撃を防ぐ
ンチウイルスソフトベンダーから提供されている専用の
ことができない。しかし、ワームプログラムが感染先PC
駆除ツールをダウンロードして実行する必要がある。た
のファイルシステムにダウンロードされた時点で、アン
だし、ワームプログラム起動後にアンチウイルスソフト
チウイルスソフトのリアルタイム保護機能が検知し、ワ
のスキャンを行った場合は、ワームプログラムは削除で
ームプログラムが削除される(画面2)
。
きても、ワームプログラムが改変したレジストリなどを
また、アンチウイルスソフトのリアルタイム保護機能
修復することができないことが多いので、アンチウイル
が無効となっていた場合は、ワームプログラムが起動し
スソフトベンダーから提供されている専用の駆除ツール
てしまうが、起動後にほかのPCに感染する目的でワーム
を使用することをお勧めする。
プログラムが外部にアクセスしようとした段階でパーソ
ナルファイアウォールが警告を表示し、ユーザーにアク
メール感染型ワームであるNetskyの場合
セスを許可するかどうかの確認を求める(画面3)
。この
Netskyはメール感染型ワームであり、セキュリティホ
段階でアクセスを遮断するように指示すれば、ほかのPC
ールを悪用して侵入するタイプのワームではないため、
への感染の被害を防ぐことが可能となる。
パーソナルファイアウォールが備える外部からのアクセ
しかし、パーソナルファイアウォールでアクセスを遮
スのフィルタリング機能や、パーソナルIDSの侵入検知機
断することができても、ワームプログラム自体は削除さ
能は効果がない。しかし、アンチウイルスソフトのリアル
れない。このため、アンチウイルスソフトのリアルタイ
タイム保護機能を有効にしていれば、図2のように、
ム保護機能は必ず有効にしておく必要がある。ただし、
Netskyのワームプログラムが添付されたメールを受信し
ワームプログラムが起動したあとでアンチウイルスソフ
た時点か、添付ファイルをファイルシステムに書き込ん
トを有効にしても、画面4のようにワームプログラムを
だ時点で検知し、ワームプログラムを削除することがで
セキュリティホール
悪用型ワーム
①パーソナルファイアウォールがポ
ートスキャンをブロック
②パーソナルIDSが侵入行為を検
知・遮断
画面1● Sasser.Cの侵入をパーソナルIDS(Norton Internet Security)が検知・
遮断
③アンチウイルスソフトがダウンロ
ードされたワームプログラムを検
知・削除
④パーソナルファイアウォールが外
部にアクセスしようとしているワー
ムプログラムを検知
図1● セキュリティホール悪用型ワームに対する防御
122
NETWORKWORLD
Nov 2004
画面2● ダウンロードされたSasser.C本体をアンチウイルスソフト(Norton
AntiVirus)が検知・削除
ウイルス
ワーム の
は、各ベンダーから提供されるパッチを適用することで
きる。
また、アンチウイルスソフトのリアルタイム保護機能
行うのだが、パッチの適用にはさまざまな問題がある。
が無効となっており、かつユーザーがワームプログラム
例えば、セキュリティホールが発見された際、そのセキ
を実行してしまった場合でも、Netskyは自身のSMTPエ
ュリティホールをふさぐためのパッチが提供されるのに
ンジンを使用してワームメールを外部に送信しようとす
時間がかかることがある。2004年6月15日に発見された
るため、パーソナルファイアウォールが警告を表示し、 「Download.Ject」が利用するセキュリティホールをふさ
ユーザーにアクセスを許可するかどうかの確認を求める。
ぐパッチは、
「MS04-025」として2004年7月31日に提供
したがって、ユーザーがここで遮断するように指示すれ
された。ウイルスが発見されてから1か月以上経過後と
ばほかのPCへの感染を防ぐことができる。
いうことになる。
さらに最近の傾向として、セキュリティホールが発見
現在では、トレンドマイクロ、マカフィー、シマンテ
されてから、そのセキュリティホールを狙ったワームが
ックといった、大手アンチウイルスソフトベンダーが、
出現するまでの時間が非常に短くなっているため、パッ
エンドポイントPC用のウイルス対策製品として、ここま
チが公開されても、実際にユーザーがパッチを適用する
で紹介してきたアンチウイルスソフト、パーソナルファ
前に感染してしまうケースが今後増えてくると予想され
イアウォール、パーソナルIDSの3つの機能をすべてそろ
る。
えたスイート製品を販売している。ウイルス/ワーム対
また、パッチ適用後にそれまで動作していた業務アプ
策として、それらのスイート製品を導入するのも1つの
リケーションが動作しなくなる可能性がある。このため、
手であろう。
パッチを適用する前に十分時間をかけて動作検証を行う
必要があるが、ワームの感染スピードが速いため、それ
基本的対策はOSのパッチを適用して
セキュリティホールをふさぐこと
ほど時間をかけて動作検証を行うことができないという
問題もある。
Windowsの場合は、Windows Updateでの自動更新
セキュリティホールを悪用するワームに対する最良の
を有効にしておくことで自動的に最新のパッチをダウン
対策は、セキュリティホールをふさぐことである。これ
ロードしてユーザーに通知することができる。自動更新
のデフォルト設定は「更新を自動的にダウンロードする
が、インストールは手動で実行する」となっているが、
次ページの画面5のように「推奨される更新を自動的に
ダウンロードし、次の時刻にインストールする」にして
おけば、インストールも自動的に行うことができる。
画面3● Sasser.CがほかのPCへ感染しようとしたところをパーソナルファイアウ
ォール(Norton Internet Security)が検知
メール感染型ワーム
①アンチウイルスソフトが添付ファイ
ルとして取り込まれた、または実行さ
れたワームプログラムを検知・削除
②パーソナルファイアウォールが外部
にメール送信しようとしているワーム
プログラムを検知
画面4● 起動したSasser.Cをアンチウイルスソフト(Norton AntiVirus)が検知。
しかし削除することはできない
図2● メール感染型ワームに対する防御
NETWORKWORLD
Nov 2004 123
WindowsXP SP2に備えられた
ウイルス/ワーム対策新機能
ケーション内の全メモリ領域が実行不可能領域となるた
め、ワームやウイルスが不正なコードを書き込む攻撃を行
ったとしても、それらの攻撃を無効化することができる。
2004年9月2日に公開されたWindowsXP Service Pa
さらに、パーソナルファイアウォールやアンチウイル
ck 2(SP2)を適用すると、
「Windowsファイアウォー
スソフトの製品名称、パターンファイルなどのバージョ
ル」がデフォルトで有効になる。これまでも、Windows
ン、製品の稼働状態などが「Windowsセキュリティセン
XPには「インターネット接続ファイアウォール(ICF)
」
ター」上で確認することができるようになり、ウイルス
というパーソナルファイアウォールが搭載されていたが、
定義ファイルが最新でない場合などに、警告が表示され
デフォルトでは有効とされていなかった。
るようになった。
Windowsファイアウォールは、有効にしているサービ
このほか、WindowsXP SP2のWindows Update機能
スへのアクセスのみを許可するので、ファイル共有やプ
では、重要な更新のダウンロードだけでなく、適用まで
リンタ共有などのサービスを妨害しないようにしたうえ
を自動的に行う設定がデフォルトとなっている。
で、利用していないサービスへのアクセスを遮断する。
このように、WindowsXP SP2はWindowsのウイル
例えば、UPnPを使用していなければファイアウォール
ス/ワーム対策機能を大幅に強化するために有効なもの
で自動的にUPnPのポート(1900/UDP、2869/TCP)
と言えるだろう。
へのアクセスをブロックするように設定する。また、
Windows特有のプロトコルが使用する137/UDP、
エンドポイントでの対策を補完する
ネットワーク上のウイルス対策
138/UDP、139/TCP、445/TCPへのアクセスは、ロー
カルネットワークからのアクセスのみが許可される。
このWindowsファイアウォールを導入することで、M
エンドポイントPCでのウイルス対策上の問題として、
SBlasterやSasserのように、ある特定のポートを開いて
アンチウイルスソフトのウイルス定義ファイルやパーソ
アクセスを待ち受けるバックドアを作成するようなワー
ナルIDSのシグネチャ、またはセキュリティホールをふ
ムの感染を防ぐことができるようになる。
さぐパッチのアップデートに手間がかかり、対応に遅れ
また、バッファオーバーフローを引き起こすようなウ
が発生してしまうことがあげられる。これらのアップデ
イルスやワームから防御するために、メモリ保護機能と
ートが遅れると、新種のウイルスやワームに感染してし
してデータ実行防止(DEP:Date Execution Preven
まう可能性が非常に高くなってしまう。特に常時ネット
tion)機能が追加された。これにより、実行可能コードが
ワークに接続されていないPCの場合は、このリスクが非
含まれていることがわかっている場所を除いて、アプリ
常に高い。
例えば、しばらく電源を入れていない間に適用されて
いるOSのパッチやウイルス定義ファイルのバージョンが
古くなってしまい、その状態で電源を入れてネットワー
クに接続すると、接続後すぐに、すでにネットワーク上で
まん延している新種のワームに感染してしまうだろう。
このため、エンドポイントPC上での対策だけでなく、そ
れを補完するためのネットワーク側での対策も重要とな
る。
以上、今回はエンドポイントPCでのウイルス/ワーム
対策技術について解説した。次回は、ネットワーク上の
ウイルス/ワーム対策技術を紹介する。
画面5● WindowsXPのWindows Updateの自動更新の設定。更新のダウンロ
ードからインストールまでを自動的に行える
124
NETWORKWORLD
Nov 2004
NTTデータ 馬場達也