防御の仕組み（その３）ウィルス対策ソフトの機能と特徴「暗号とセキュリティ」（第１３回目）今井慈郎（[email protected]）ウィルス対策（ワクチンソフト） • ウィルス対策：既に感染した場合，PC内部に潜むウィルスを発見・駆除する機能（ワクチン機能）．不正に侵入しようとするアクセスを感知し，水際で遮断する機能（F/W 機能）．常駐型とオンライン型が存在． • ウィルスがPCに潜在かを検索：これは常駐型でなくても可能．インターネットのHPで(オンラインで)ウィルス検索＆駆除のサービス．総てのドライブ上のファイルを検査，ウィルス以外にもスパイウェアやPCの脆弱性チェックなどを実施，PCの総合的なセキュリティチェック． • PCを監視してリアルタイムでウィルスから守ってくれる常駐保護機能の提供はオンライン型では無理． • F/W機能などが常駐型が主力．ウイルス対策ソフト：検査対象のファイル（プログラム）の中身をチェックし，既知のウイルスの特徴を収めたパターンファイル（ウイルス定義ファイル）と照合．特徴が一致した場合，当該ファイルはウイルスに感染と判断．出典 http://itpro.nikkeibp.co.jp/article/COLUMN/20071215/289572/?ST=security ウィルス対策ソフトNo1 • 対象によって，(1)クライアント対象，(2)サーバ対象に分類・・機能よりも価格． • 販売スタイルによって，(1)単一機能型，(2)統合機能型：通常「スイート（suite）」に分類・・後者は割安感が売り． • ウィルス対策スイート：多くの場合，ウィルス対策・パーソナルファイアウォール・アンチスパム機能が統合 • インターネットセキュリティスイート（単にセキュリティスイート）：コンピュータを包括的に保護できる機能を組み込んだソフトウェア. アドウェア(adware：Webブラウザに寄生し一定の間隔で広告ウィンドウを表示させる等)やフィッシング(Phishing)への対策機能を統合．ウィルス対策ソフトNo2 ウィルス対策ソフトの動作： • (1)対象ファイルを静的にスキャンすることで「脅威」を検出． • (2)パソコン内のデータストリーム：Webブラウザや電子メイルクライアントなどで送「受」信されるデータ(添付ファイル・スクリプト等)を動的にスキャンすることで「脅威」を検出． • そのためには，「パターンファイル(定義ファイル，シグネチャ)」や「ウィルス検索エンジン(検索プログラム，アンチウィルスエンジン等)」は，新種の脅威や亜種に対応するため，頻繁な更新・改良が必要．ウィルス対策ソフトNo3検出手法 • (1)パターンマッチング法：ウィルスなどの特徴を記録したデータファイル(通常，パターンファイル・データベース等と呼称)に基づいて，コンピュータ内部でのプログラム動作(その結果のデータなど)を比較・照合し，脅威となるウィルス等を検出． • (2)ヒューリスティック(heuristic)法：プログラムの動作を監視し，未知のコンピュータ・ウイルスを発見(=脅威を検出) する方法．プログラム自身を複製したり，ファイルを削除するようなウィルス特有のプログラミング・コードを含んでいないかどうかを調査：静的手法 • プログラムをメモリ内に作成した仮想空間(サンドボックスと呼ぶ)上で実際に動作(エミュレーション)させて，不正な動作がないかを確認：動的手法 • 後者の方が，確実にウイルスを検知可能．ウィルス対策ソフトNo4 もしコンピュータ内部に脅威が検出された場合， • (a)駆除ができれば（当然ながら）駆除を実施． • (b)駆除ができない場合，感染元(感染ファイル等)の隔離・削除を実行． • (c)もし，隔離や削除もできない場合，感染元へのアクセスを遮断．ウィルス対策ソフトNo5-1 更新の必要性： • パターンファイル・データベースが最新でない場合(時として最新であっても)最近の(=つまり流行りの)ウィルスをチェックできない危険性がある． • そこで，多くの場合，パターンファイルなどは自動的に更新される方式を採用．自動更新の問題点： • 更新モジュールの安全性検証テストが不十分な場合も存在． • その場合，自動更新されたユーザのPCが動作不良・起動不能になったり，誤検出する等の障害発生の危険性ウィルス対策ソフトNo5-2 • 中には，アンチウィルス，アンチスパイウェアを装った偽装セキュリティツールとも呼ばれるマルウェア(WinFixer 等)も存在・・・新たな「脅威」となるパターンファイルの自動更新でトラブルが発生した有名な例： • ウィルスバスター(トレンドマイクロ(株)開発のインターネットセキュリティスイート)の「CPU使用率が100%になる問題」がある．ウィルス対策ソフトNo6-1 2005(H17)年4月23日7時30分頃， • 個人向けのウイルスバスター2004/2005 • 企業向けのウイルスバスターコーポレートエディション 5.02/5.06/5.5/5.58/6.5 • 中小企業向けのTrend Micro Client/Server Security の３機種向け全世界配布された「パターンファイル 2.594.00(日本時間：AM7:30頃公開)」が原因特定のWindows環境で適用・更新すると • CPU使用率が100%となりコンピュータの処理が停止してしまう不具合が発生． • 日本国内では個人利用者および企業も業務遂行に多大な支障をきたす事態が生じる．ウィルス対策ソフトNo6-2 • 同社では同日11時ごろ修正版を公開． • 同日夕に社長が謝罪会見を開き，原因として配布前の検証テストが十分でなかった点を認める． • CPU使用率が100%となる原因：検査対象のファイルが圧縮されているかどうかの判別に失敗すると，ウイルス検索が無限回繰り返されることに起因． • 24日午前には問題のパターンファイルを検索し自動削除する問題修復ツールの配布が開始． • 大きな社会問題となるウィルス対策ソフトNo7-1 複数セキュリティソフトの同時インストールに関する問題点： • セキュリティソフト(ウィルス対策ソフト)は，1台のパソコンに複数製品を同時にインストールしないことが正常動作の基本条件． • 機能的に競合が発生し，最悪の場合はOS自身を巻き込んだ起動不良を引き起こす危険性がある． • 原理的には，機能的に競合しないよう配慮すれば，正常動作可能． • 例：別個の会社のアンチウィルスとファイアウォールを個別にインストールする等・・スイートが多数を占め，これは低減傾向ウィルス対策ソフトNo7-2 • セキュリティソフト：コンピュータの動作を監視するために割込み命令を使用． • コンピュータは，その割込み命令に従い「割込みハンドラ（割込みサービスルーチン）」を起動． • セキュリティソフトはその割り込みハンドラを使用する． • セキュリティソフトが用いる割り込みハンドラは，最高優先度に設定されており，他のソフトウェアやスクリプトの動作をロック(排他制御) • 最高優先度に設定されている割込みハンドラ（セキュリティソフトが用いる割込みハンドラなど）が複数存在すると，デッドロック(共有資源の奪合いや譲合いによる動作衝突) やライブロック(同様な衝突回避行動をとることによる回避行動の動作衝突)が発生：競合発生ウィルス対策ソフトNo7-3 • 本来セキュリティソフトに用いられる割込みハンドラは，最高優先度以下の割込みに対するフェアネス(公平性， Fairness．「共有資源を利用したいユーザがいつかは共有資源を利用できる」という排他制御アルゴリズムが満たすべき性質)を満足してはならない． • もしこれを満足すれば，それを悪用したマルウェアがセキュリティソフトの攻撃や検出を突破する可能性が生じる． • 従って，割込みハンドラを使用するセキュリティソフトがメモリ上に複数存在すると，同優先度(最高優先度)以下の割込みに対するフェアネスを満たしていないソフトが複数存在することとなり，競合が発生する．