|
「基礎から学ぶネットワーク構築」 (連載第4回)
4. ウィルスとワーム
最近、インターネットは本当に物騒になってきました。インターネットが広まったや1995年当初からは、考えられないほど、危険になっています。インターネットでセキュリティ問題には、「個人への攻撃」と「サーバーへの攻撃」がありますが、最近の攻撃の特徴は、
- 破壊自体が目的。
- 自己増殖型。
であることです。そして、ファイアウォールが、あまり役に立たないことも、もうひとつの問題点です。
つまり、人間が直接、手を下すというよりは、いったん解放せば、勝手に増殖し、勝手に破壊を繰り返し、誰にも止められなくなってしまうタイプのものが多いということです。最近のセキュリティ問題の悪の主役は、「ウィルス」と「ワーム」です。ワームとウィルスの違いは、人によって多少のずれはありますが、「ウイルスは感染対象のプログラムを必要とするが、ワームは、感染対象となるプログラムを必要とせずに自己増殖をする。」といった点では、大筋、合意が取れています。「ワーム型ウィルス」としてコンピュータウィルスの一種とする場合もありますが、他のプログラムに寄生するわけではなく単独で活動する点で狭義のコンピュータウィルスとは異なります。ワームの名称の由来は、ネットワークに接続されているマシンの間を這い回る様が「虫」のイメージであることに由来しているようです。
最近のウィルスやワームは悪質化してきており、データを破壊し、システムを復旧できなくすることを目的としています。これらのデータ破壊タイプのウイルスやワームは、感染時にシステム上の重要なファイルやレジストリ等を改変してしまい、さらに発病してデータ等を破壊するので、ワクチンソフトでは元通りに修復することはできず、バックアップから戻すしか対処の方法がないの現実です。日頃からデータ及びプログラム等のバックアップをとり、データ類を失わなくて済むようにしておかなければいけません。
4.1 ウィルス
情報処理振興事業協会(IPA)が発表した報告では、2001年7月のひと月の届出件数では1738件で、前年同月の700件の約2.5倍と高水準でした。また、同協会の緊急警告では、8月15日現在のウィルスの届け出に関する報告では、8月15日までで1711件と7月の約2倍になっており、過去最多の
2000年12月の 2778件を上回るペースとなっています。また、実際にパソコンに感染した割合は7月と同様に20%近くの高い値となっています。これは届け出た件数ですので、実際の数字はもっと多いと考えられます。最近のウィルスとしては、W32/Sircam、W32/Hybris、W32/Magistr、W32/MTXの4種類のウイルスが最も多く、届出全体の約80%を占めています。最近見つかった新種のウィルスは、非常に悪質で、W32/Sircamは、10月16日にCドライブのすべてのファイルを消去し、ハードディスクの空き領域をデータで埋めて使用出来なくしたりします。また、W32/Magistrは、感染から1ヵ月後にBIOS、CMOSのデータ破壊します。VBS/Haptimeは、システムクロックの「月」と「日」の合計が13のとき(例えば、8月5日や9月4日等)に拡張子がEXE、DLLファイルの消去してしまいます。これらのウィルスは、自己増殖を繰り返します。アウトルックやアウトルックエクスプレスのアドレス帳の登録アドレスすべてと閲覧したWebページに掲載されているアドレスを増殖のターゲットとなるメールアドレスとしてメールを送信します。特に、W32/Sircamウイルスが送信するメールは、件名及び添付ファイル名がもっともらしく、うっかり実行するケースが多いので実害率が高いので注意が必要です。
このように、届出が前月より増加したのは、本年2月以来のことです。本年2月までのウィルスは、添付ファイルで本文を開いただけでは感染しないものでした。このタイプのウィルスに関しては、昨年からの添付ファイルに関する各方面からの警鐘によって、被害が減少してきたのですが、最近のウィルスのメールがだんだん本物っぽくなってきたり、VBS/Haptimeなどのようにメール本文を開いたり、プレビューで見ただけで感染してしまうウィルスが出現していますので、今後の被害は増加傾向となることが予想されます。
4.2 ワーム
2001年にワームとして有名になったのは、LINUXサーバーのセキュリティホールを攻撃する「1iOn」ワームや「Ramen」ワーム、「」ワームとマイクロソフト社のウェブサーバーソフトであるIISのセキュリティを攻撃する「CODE
RED」です。これらは、サーバーソフトウェアのセキュリティホールを「バッファーオーバーフロー攻撃」をおこない、サーバーへのアクセス権を強奪します。バッファーオーバーフロー攻撃とは、性善説の世界では問題とならなかったプログラムのバグ(セキュリティホール)を使って、自分のプログラムを強制的にサーバープログラムに書き込んで実行させることで、サーバーを自分の思い通りに動かすことです。このワームも、ネットワーク上で感染が可能そうな別のサーバーを見つけ出して、自動増殖を試みます。ワームの性悪な点は、ウィルスの様に人間のアクションを必要とすることなく、自分でターゲットを見つけて、自分で勝手に攻撃を仕掛けに行くことです。
また、今回のワームでは、ファイヤウォールがまったく役に立たなかったのが特徴的でした。これは、ファイヤウォールが悪いのではなく、これらの攻撃は客がひっきりなしに訪れる正門からの攻撃であり、ファイヤウォールが担当していた横道や裏門からの侵入ではなかったからです。ファイヤウォールの次に注目されてきたシステムが、不正アクセス監視システム、または侵入検知システム(IDS:Intrusion Detection System)です。これは、いってみれば、番犬のようなものです。怪しそうなアクセスがあれば、ご主人様にほえて知らせるのと同じシステムです。つまり、怪しいだけで知らせる点がファイヤウォールとの違いです。しかし、その怪しさのレベルの設定によっては、「CODE
RED」ワームの侵入を警告できなかった場合もあるようです。つまり、1日1回のアタックを「攻撃」とみなすか「間違い」とみなすかで、警告数と信頼度が変わってくるのです。つまり、あまりにも厳しい条件をつけると、番犬はいつでもほえていなければならず、「狼がきた」と同じ結果になりかねませんし、あまりにもルーズな条件の場合、いつも寝ている番犬と同じ状態になってしまうのです。
4.3 セキュリティに関する考え方
ウィルスやワームを遠い世界のものと思っていらっしゃるかもしれません。知り合いの会社では、毎日の様にウィルスメールが送られてきます。また、不幸にも感染してしまったケースもあります。また、ワームも毎日の様にドアをたたきにきます。実際にワームにやられたサーバーもあります。これらを防ぐ方法は、システムと人間の両面で対処する必要があります。セキュリティの考え方の原則は、以下の点です。
- 人間は信頼できても、人間の行動は信用してはいけない。つまり、頭で考えたことと、指先で違うことを行なっている場合があるのです。
- 安全は無料ではない。つまり、セキュリティ対策をすることは、医者にかかることと同じでお金がかかるということです。
- セキュリティ対策と使い勝手は反比例する。特に、パソコン上で常時セキュリティチェックをさせる場合、本来の作業スピードを低下させると問題点もあります。
- セキュリティシステムを導入するということは、セキュリティ担当の仕事を増やすことを意味します。
- それでも、できる限りのことは行なわなければセキュリティは保てない。
かなり、矛盾しているように聞こえるでしょうが、基本は「費用対効果を考えて、できるだけ高いレベルで安全対策を決定して、自動化を基本に対策を行なう」ということです。
4.4 ウィルスに関する注意
「ウィルス」はデータが存在するだけでは発症しません。ですから、ウィルスは、メールを開かないことを前提に作業することで、かなり防げます。そして、添付ファイルに注意するだけでも、多くの被害は避けられます。例えば、次のような点に気をつけることだけでも、被害を少なくすることができます。
- 知らない人からのメールはむやみに開かない。
- 知り合いからであっても、変なタイトルのメールは開かない。
- EXEファイルやDOCファイルは、送信者に確認してから開く。
- 危険そうな添付ファイルは開かない。
しかし、これを行なったからといって完全とは言い切れません。メールを開いただけで感染する場合やプレビューで見ただけで感染するウィルスも登場しました。この件を考慮するには、プレビューを使わないように設定することが無難になってきます。また、人間ですから、「気の迷い」もあります。ですから、ワクチンソフトを使うことが必要になります。ワクチンソフトには自分のパ2種類があります。ひとつは、個人個人のパソコンに入っていて、ソコンでウィルス検査や除去を行なうものと、サーバーでウィルス検査や除去を行なうものがあります。
|
