| ■ブラスターとは |
 |
|
□ウィルス名の意味
|
|
|
○ウィルスの作者を喜ばせないために、ファイル名や、ウィルスコードの中の名前をそのまま使わないという暗黙の了解がある。重複を避ける意味で造語を使っている。
|
|
○解析した人が勝手につけているために、会社によって呼び名が違う(ブラスト、ラブサンなど)。ウィルス名を統一することは会社同士で協議すれば可能であるが、協議よりもウィルスの拡大を防ぐことを優先している。
|
|
|
□被害状況
|
|
|
○今回はお盆の時期(8月12日)に拡大した。これまでのウィルスでは企業の感染が多く、お盆の時期に被害が拡大することは少なかった。しかし、お盆に被害が増えたことは個人でも感染が広がっていることを示している。
|
|
|
□ブラスターの感染方法
|
|
|
○自分でインターネットに接続しているコンピュータを探し出し、セキュリティホールを通じて侵入する。したがって、感染や被害を防ぐには、ワクチンだけでなく、アタックを防ぐためのファイアウォールも必要。
|
|
○被害が広がった理由は主に以下のことが考えられる。
1)セキュリティホールが放置されていた:修正プログラムを適用していない。
2)メール送信型と異なって広がるワーム:人が操作をしなくても、常に電源が入っていて常時接続されているPCなら被害を受けてしまう。この種のウィルスには、基本的なウィルス対策である「添付ファイルを開かない」「怪しいサイトを見ない」が通用しない。
|
|
|
□対策はどうするか
|
|
|
○感染したと思ったら、すぐにチェックすべきことは以下の通り。
1)どのOSやアプリケーションを使っていると感染するのか。自分が使っているOSやアプリケーションが何か、それがウィルスの感染対象に該当しているのかどうか。
2)危険度はどれくらいか。シマンテックでは4段階の深刻度がある。「緊急」の場合にはすぐに対策を。
|
|
| ■ウィルスとは何か |
|
|
|
□ウィルスの感染手順
|
|
|
○ウィルスは正常なプログラムに対して以下のような行動を取っている。
1)他のプログラムを探す:感染する対象が必要
2)感染チェック:感染しているならここで終了
3)スペースを作って自分が入り込む:この時点で感染
|
|
○ウィルスに感染したプログラムは、ウィルス自体を起動させるほか、もとのプログラムも正常に起動させため、ユーザは感染に気づかないことが多い。
。
|
|
|
□不正プログラムの進化と最近の傾向
|
|
|
○1981年が一番最初のウィルス(Apple2上で感染)、IBMのPCに感染したのは1986年が最初。
|
|
○以前は感染していることを明確に示すことが多かった(画面上の文字がバラバラになる、花火が上がる、救急車が走る、ルーレットが出る、Word文書を改変する、など)。当時はウィルスがよく知られていなかったため、これがウィルスだとは思われなかったこともある。
|
|
○最近では、感染していることをわからせないウィルスが多く、より悪質になっている。感染速度が速く、複雑になってきている。特に、メタモーフィック技術でつくられたウィルスはやっかい(途中のプロセスを改変して結果を同じにしてしまう、つまりウィルス独特のコード(「指紋」)を毎回変えてしまう)。
|
|
|
□グレイウェアの存在
|
|
|
○グレーゾーンにあるソフトウェアで、白か黒かはっきりしていないウィルスっぽいソフトのこと。最近になって被害が増えてきている。
|
|
○例えば、HPにつながると自動的にダウンロードを行い、ライセンスアグリーメントに同意した場合には、アドレス帳のすべてのアドレスに送付するなど、合法的にウィルス活動をしている(同意しない場合には何も起こさない)。
|
|
○マーケティングのために個人情報を配布元に送付したりするものもあり、同意したことが根拠になっているため、ウィルス対策ソフトも勝手には除去できない(勝手に除去した場合には、訴えられることもある)。内容をよく読まずに同意してしまうと大変なことになる。
|
|
| ■ウィルス対策ソフトの原理 |
|
|
|
□指紋の照合技術
|
|
|
○指紋照合と呼ばれ、そのウィルスにしかないコード(指紋、数字や英数字の羅列)をデータベース化し、すべてのファイルをチェックしている(パターンマッチング、フィンガープリント)。
|
|
○この指紋照合は、ベーシックな技術で、確実にウィルス感染の判断ができるが、今までに見つかっていないウィルスは検出することができない。また、ウィルスによってメタモーフィックで変化したプログラムは、すべての羅列を変えてしまうため、見つけられない。
|
|
○これを解決するための技術として、「ヒューリスティックテクノロジー」「ビヘイビアブロック」という技術がある(ウィルスによるメタモーフィックの変化を先読みする技術)。対策は、いろいろな技術の組み合わせで100%に近づけることはできるが、実際に100%は難しい。
|
|
| ■コンピュータのセキュリティ確保の難しさ |
|
|
|
□セキュリティとオープン性の両立の難しさ
|
|
|
○画面上には見えているが物理的には見えないため、PCに保存されたデータの保護は難しい。また、狙っている人も見えない。つまり、見えないものを見えないものから守らなければならないのがコンピュータのセキュリティ。
|
|
○コンピュータを閉鎖的にすることでセキュリティを高めることができるが、閉鎖的にすると情報化社会の発展の妨げになってしまう。ITテクノロジーはすべての人に恩恵をもたらしている。情報もすぐに手に入るが、ウィルスもすぐに流れてしまう。
|
|
|
□複合型の脅威と対策
|
|
|
○最近では、ウィルスに分類できないもの(ワーム、トロイ、バックドアなど)も増えてきており、こうしたいろいろな感染経路や感染方法を使っているものを「複合型の脅威」と呼んでいる。
|
|
○これに対しては、守る側も発想の転換が必要。1つだけでは十分な対策ができないので、いろいろと対策を考えなければならない(ファイアウォールや侵入検知など)。また、コンピュータを使う人それぞれが意識を変えることによって、8〜9割のウィルスは防げる。こうした対策を総称して、「トータルセキュリティ対策」と呼ぶ。
|
|
|
□早期警戒システムの充実
|
|
|
○今インターネット上で何が起きているかを表示するシステム。ウィルス製作時には、作者が下調べをしているケースが多く、世界の中で局所的にトラフィックが増えていることがあり、このシステムはこれを発見する。
|
|
○現在の仕組みでは、データベースを自分のPCに入れるため、速くて1時間、遅くて2〜3日かかることもある。これからのウィルスメーカーは天気予報みたいなこともしないといけなくなる。
|
|
|
□デスクトップファイアウォールの必要性
|
|
|
○個人が使うファイアウォールも必要。企業側で防ぐことができないウィルスもあるため。昔は必要なかったが、複合型の脅威が出てきてからはファイアウォールがないと防ぎきれない。
|
|
| ■まとめ |
|
|
|
|
○セキュリティ対策ソフトを使うだけでなく、システム全体で安全性を高めることが必要。また、ソフトだけに頼らず、ユーザの意識の改革も必要となる。「トータルセキュリティ対策」の充実が重要。
|
|
○ISPによるメールチェックサービスだけでは不十分。ブラスターは感染してしまうし、またニムダは、サイトを見るだけで感染してしまう。
|
