|
|
|
 |
 |
 |
 |
 |
 |
 |
|
 |
||
 |
|
|
インターネットセキュリティ講座 |
||
株式会社ネットワークボックス・ジャパン(NBJ)代表取締役社長の坂野直人(ばんのなおと)です。 |
||
トロイの木馬、バックドア、論理爆弾そしてスパイウェア |
||
| この節で解説する不正プログラムは、何らかの特徴的な機能を有している点で共通点があります。 |
||
| 【トロイの木馬】 | ||
トロイの木馬(Trojan horse)はホメロスの叙事詩で有名ですね。そのストーリーをちょっと思い出してみましょう。トロイの木馬とは、トロイア戦争においてトロイアを攻めあぐねたギリシア軍のオデュセウスの放った奇抜な秘密兵器のことです。これを撤退後に残されたギリシア軍の贈り物と勘違いし、トロイアの市民が戦利品として城内に引き入れたことで一夜にしてトロイアは陥落してしまいました。実は木馬の中には屈強なギリシア兵が隠れていて、闇夜に乗じてトロイアの城門を内側から開いてしまったからです。撤退したかに見せかけていたギリシア艦隊が城内に攻め込んで来たのではひとたまりもありません。 不正プログラムのトロイの木馬は(誰が名付けたかは知りませんが)実に的を射たネーミングです。トロイの木馬は顕著な二面性を持っているのが特徴です。表の顔は有益なプログラムだったり、ゲームだったり、果ては不正プログラムの除去ソフトだったりするのです。これがトロイの木馬の「贈り物」としての側面です。ところがトロイの木馬の本質は裏の顔に潜んでいます。表の顔に騙されたユーザがゲームなどに興じている間に不正プログラムとしての破壊活動を行うのです。城主自らによってコンピュータという城に引き入れられたトロイの木馬が、城主の知らぬ間にコンピュータ城を内部から破壊し尽くすという、まさに物語そっくりのトリックを演じるわけです。では、どうしてこのような手の込んだ演出をする必要があるのでしょうか?トロイの木馬はワームと同義語かもしれないと前回説明しましたが、通常ワームは独立したファイルで実行可能形式のプログラムの形態をしています。だから、誰かが起動しない限り自分では活動を開始できないのです。そこでコンピュータのユーザ自らに起動を促すために、ワームはトロイの木馬として自身を偽装する必要に迫られるのです。 この点でもトロイの木馬=ワームはウィルスと顕著な違いを見せます。ウィルスはなるべく発見されないように自身を目立たなくする工夫が施されていますが、トロイの木馬は起動してもらうためにあらゆる手段を使って目立とうとします。魅力的に見えるプログラムが無償で送られてきたら、一度はトロイの木馬を疑ってみるべきでしょう。トロイの木馬が偽装する対象の主なものを下記に列挙してみます。
|
||
| 【バックドア】 | ||
| バックドア(Backdoor)とは文字通り「裏口」を意味しますが、不正プログラムの場合、これはコンピュータの遠隔操作プログラムを意味します。コンピュータを遠隔操作するソフトウェア自体には違法性はなく、企業内でも当たり前に、というより業務効率向上のために積極的に使われています。例えば一般ユーザをサポートあるいは指導するために情報システム部門やプロバイダの管理者が使っている例や、工場内のコンピュータを管理センターから集中管理する例などがあります。 遠隔操作といっても、画面の参照、ファイルの読み・書き・削除から果ては電源のon/offやCDトレーの開閉まで出来てしまいます。つまり操作対象のコンピュータが自分のものになっているのと同じです。こんなソフトウェアの技術を悪用したらどうなるでしょうか?考えるだけで恐ろしいですね。バックドアとはこの技術を積極的に悪用して他人のコンピュータを乗っ取るための不正プログラムの総称なのです。 バックドアもトロイの木馬の形態をとるか、あるいはトロイの木馬と連携することを運命付けられています。誰も好き好んで不正プログラムをダウンロードしたり起動したりしませんから、バックドアを仕掛けるにはどうしてもユーザを騙すための偽装手段が必要になります。もちろん正規の遠隔操作プログラムでもパスワード管理をしっかりしないとハッカーに悪用されるリスクを抱えていますし、肝心の管理者が悪質な人間だった場合は・・・もうお手上げですね。 |
||
| 【論理爆弾】 | ||
| 論理爆弾(Logic bomb)はウィルスやワームにも仕込まれることのある機能ですが、これはまさに特定の目的を持って特定の相手に攻撃を仕掛ける「ソフトウェアの爆弾」といえます。仕掛けられたユーザがある特定の操作をした場合、あるいは特定の条件つまり特定の日付や時間が到来すると、不正プログラムとしての機能を発揮して破壊活動を開始します。例えばBlasterはシステムの日付が16日〜31日になるとウィンドウズアップデートのサイト(事前にアドレスを変えて回避したそうです)に一斉にサービス妨害攻撃を仕掛けるようにプログラミングされていました。 |
||
| 【スパイウェア】 | ||
| スパイウェア(Spyware)は一概に不正プログラムとは言えない側面も持っていますが、明らかな悪意を持って使用されるケースもあります。不正プログラムではない、つまり違法性のないスパイウェアとは何かというと、ひとつにはWebのバナー広告に関連するものですが、その話をする前にひとつ知っておいていただきたい事実があります。 皆さんは何度もアクセスするWebページを見て、以前検索したキーワードや前回入力したパスワードを覚えているとかで驚いたことはありませんか?有名なWebサイトは何千万人もアクセスするはずなのに、どうして自分の情報をこんなに細かく記録しているのだろうと不思議に思ったことはありませんか? もちろんそんな情報を全部記録するサイトなど作るのは不可能に近いです。ではこれらの情報はどこにあるのでしょう?それは個々のパソコンにファイルとして保存されているのです。パソコン内のCookiesというフォルダを開いてみてください。おそらく無数の小さなテキストファイルが見つかると思います。実はこういった情報はこれらのcookieファイルに格納されているのです。試しにどこか新しいWebサイトをいくつかアクセスしてみてください。新しいcookieファイルが自動的に作成されているのが判ると思います。Cookie自体は不正プログラムでもスパイウェアでもありません。Webの利便性を高めるために貢献している技術です。 そこでWebのバナー広告の話に戻りますが、バナー広告の中にはユーザが閲覧した統計的なデータを広告主に知らせるサービスを伴ったものがあります。広告主はそのデータを解析して特定のユーザに特定のバナー広告を見せて販売促進につなげるという戦略がとれるわけです。そのデータ収集に実はcookieが使われているのです。こういった調査の行為は広告主のプライバシー・ポリシーに基づいて行われる場合には何ら違法性はありません。 しかしながらユーザが知らないうちにデータが収集されるため、こういった調査行為に対して広告主が好印象を持たれないというリスクはあります。ブラウザはcookieを一切受け付けない設定も出来るようになっているので、神経質なユーザはcookieを無効にしている場合もあります。このようなユーザに対してはバナー広告の調査も効果がないわけですね。 さて前置きが大変長くなってしまいましたが、このcookieでも悪徳商法のサイトで使われるものは要注意です。いつも閲覧しているコンテンツの情報を解析して、どんどんエスカレートしたバナーを表示して深みに導いていく危険性があります。このように使われる場合はcookieといえども立派な不正プログラムの一部と言えるでしょう。こういったものはスパイウェアとして危険視されています。広告に使われるものはアドウェア(Adware)と呼んで区別しているようですが、不正か不正でないかの切り分けは実は微妙で、対策ソフトのメーカーも頭を悩ませているようです。 本来のスパイウェアとは、実は存在自体が危険性を帯びたものです。ユーザがキーボードから打ち込んだ文字を記録して送信するキーストローク・ロガー(Keystroke logger)やネットワークを流れるパケットを参照するスニッファ(Sniffer)などです。いずれもネットワーク管理などで使用される場合があって直ちに不正プログラムであるとは言えないですが、これらをパスワードやパケットの盗聴に使えるということは容易に想像できますね。実際ハッカー(クラッカー)はこれらを不正行為に使っています。 |
||
プログラムではないけれど害をもたらすもの |
||
| Cookieも厳密にはデータが記述してあるだけでプログラムではありません。情報を収集して統計解析するシステムのプログラムの一要素に過ぎません。ところが単なる文字データで全くプログラムではないにもかかわらず、不正プログラムに匹敵する被害をもたらす脅威が存在します。それがデマ・ウィルスとスパムです。これらに、ここでは私が勝手に「非プログラム系不正プログラム」という矛盾に満ちた名称をつけました。あるいは、これらは後述する「ソーシャルエンジニアリング」の範疇に属するといえるかもしれません。 |
||
| 【デマ・ウィルス】 | ||
| 「百聞は一読に如かず??」で実際に私が受け取ったデマ・ウィルス(Hoax)の例を見てもらいましょう。これは”JOIN
THE CREW”および”PENPAL GREETINGS !”と呼ばれる良く知られた2つのデマ・ウィルスを組み合わせて作られたメッセージと見られるものです。 ウイルス警報のニュ−スです. もし、JOIN THE CREWというタイトルのemailを受け取ったら、絶対に開かないで下さい。もし開いてしまうと、ハードディスクのすべてが消えてしまいます。 この文書をできるだけ多くの人に送って下さい。これは、新種のウイルスであり、知らない人がたくさんいます。この情報は、IBMから手に入れました。 この情報をインターネットにアクセスする人に知らせてあげて下さい。また、もし、PENPAL GREETING !というタイトルのe-mailを受け取ったら、絶対に読まずに削除してください。 この文書は、すべてのインターネットユーザーへの警告です。PENPAL GREETING !というタイトルのe-mailメッセージにより、インターネット全体に広がる危険なウイルスが存在します。 PENPAL GREETING !というタイトルのメッセージは、くれぐれも絶対にダウン ロードしないで下さい。 《このメッセージは、ペンパルに興味があるか尋ねてくる、フレンドリーなメッセージに見えます。》 しかしこのメッセージを読んでいるそのときには、もう手遅れになっています。 このトロイの木馬ウイルスは、すでにハードディスクのブートセクタに感染し、中のすべてのデータを破壊し始めています。 このウイルスは、自力増殖型ウイルスです。いったん読まれてしまえば、あなたのメールボックスにあるだれかのアドレスに自動的に送られてしまいます。 もしこのウイルスをネットワークに回し続けてしまえば、全世界規模のコンピュー ターネットワークに、多大な損害を与えるといった危険性が生まれてしまいます。 PENPAL GREETING !というタイトルのメッセージを見つけたらすぐに削除してださい。 友達、親戚、ニュースグループを読んでいる人、メーリングリストに載っている人全てにこの文書を回し、この危険なウイルスが彼等に損害を与えないようにして下さい。 もし皆さんがこれをデマとは知らず、しかも正義感と責任感のある人だったら、指示通りにこのメールを転送してしまわないでしょうか? デマ・ウィルスには次のような特徴があります。
このデマ・ウィルスに良く似た社会悪がありますね?そうです「不幸の手紙」です。これの悪質性は皆さんよくご存知だと思いますが、インターネットで同じことをやるとその影響力は計り知れません。この事例のオリジナルは英文なのですが、日本語に翻訳した人は善意からでしょうか、それとも悪意からでしょうか? |
||
| 【スパムメール】 | ||
| スパム(SPAM)については第1回で概要を説明しました。これももちろん中身はメッセージだけでプログラムではありませんが、それが無許可で大量に送られてくるところに悪質性があるのです。システムを圧迫したり、ネットワークの帯域を侵害したりとか、スパムメールの削除にも時間とコストがかかります。米国のさる調査機関によると、2003年だけでスパムによる被害額は100億ドルに達すると警告しているそうです(参照記事)。専門家によっては、スパムはウィルスよりもたちが悪いとの見解も見られます。 最近ではバックドアを作るトロイの木馬がスパムメールに仕込まれたものが発見されているそうです(参照記事)。こうなるともう立派に不正プログラムの範疇ですね。こういった悪質なものは論外でしょうが、スパムメール対策は過剰にやり過ぎるとインターネットによる広告行為自体を否定することになりかねず、スパイウェアと同様に不正行為かどうかの切り分けが難しくなるのが問題です。 |
||
不正プログラム対策 |
||
 その影響が大きいだけに、不正プログラム対策は技術面でも運用面でもかなり浸透しています。運用面では今さら説明の必要がないほどになっていますね。皆さんのほとんどは自分のPCにウィルス対策ソフトやパーソナルファイアウォールをインストールしているはずです。インターネットの入口でウィルスを阻止するゲートウェイ型のシステムもあります。しかしながら技術や方法論は確立されていても、絶え間なく発生する新種のウィルスに対応するためには、日々の地道な運用管理の努力が不可欠になります。セキュリティの堤に蟻の一穴が開いているだけでウィルスはあっという間に感染してしまいます。不正プログラム対策には、これだけあれば万全という王道はないと心得たほうが良いでしょう。 |
||
| 【ウィルス/ワーム対策】 | ||
| ウィルスやワームに対する対策はもう、ウィルス対策ソフトを導入する以外に有効な手段はないでしょう。私の調査によると、新種のウィルスは一日に20〜30種も発見されています。ということは新しいシグニチャ(パターンファイル)の更新を一日に数回以上行わないと十分でないということを意味します。これを人手でやっていたのでは大変なうえにリスクも大きいので、アップデート作業の自動化も必須といえます。 また最近ではCodeRedやMS-Blastのようにメールを経由せずに直接ネットワークを通じて感染するタイプのウィルスも現れてきました。これらは従来のウィルス対策では防ぎきれません。これらに対応するにはタイムリーにシステムのセキュリティ・パッチを当てておく必要があります。 ウィルスに関してもっと詳細な情報が欲しい場合は、各種ウィルス対策ソフトのベンダーやIPAセキュリティセンター・ウィルス対策室のサイトが役に立ちます。 |
||
| 【不正スクリプト対策】 | ||
| 不正スクリプトは悪質なWebサイトを閲覧したり、悪質なHTMLメールを閲覧したりするときに被害をもたらします。このような脅威にアクセスしないよう注意することが肝要ですが、知らずにリンクしてしまう場合もあり得ます。これを防ぐためには、万一不正スクリプトが仕込まれたサイトをアクセスしても感染しないように、ブラウザの設定でJavaScriptやActiveXの機能を無効にしておくという対策があります。またはスクリプトを実行しようとする前に警告メッセージを出すという設定も出来ます。
とはいってもスクリプトの実行をすべて無効にするとWebのサービスが受けられないため甚だ利便性に問題が生じます。それを避けるためには、やはりセキュリティ・パッチの対策を万全にしてシステムの脆弱性を突いた攻撃をされないように防衛しておく必要があるでしょう。 |
||
| 【スパム対策】 | ||
| スパムメール対策製品もウィルス対策ソフトのように市販のものが手に入ります。またISPがスパムメールを除去するサービスを提供している場合もあります。但し前節でも触れたように、スパムは対策が行き過ぎると表現の自由の侵害と受け取られかねないため、業者自体がスパム対策にあまり積極的でないという話を聞きます。 スパムと思しきメールには受信者から送信拒否の意思表示が出来るものがありますが、この返信メールが個人情報の収集に使われてさらに大量のスパムが送られるという悪質なものもあります。このような状況から察するに、スパムメール対策は個人のレベルでは限界があり、もはや企業全体で取り組むべき課題になりつつあると考えます。 |
||
| 【スパイウェア対策】 | ||
| これも表現の自由の問題が絡んでくるので難しい問題です。個人としてのWeb利用はあくまでも個人の責任でスパイウェア対策を行う必要があると考えます。また企業内でWebを利用する場合は、個人の利用範囲や制限を明記したセキュリティ・ポリシーを定めることが肝要だと考えます。場合によってはcookieを受け付けないようにポリシーで設定することも必要かもしれません。但しこれもケースバイケースで、業務アプリケーションにcookieを使うこともあり得るので一概にはいえません。 スパイウェアを検索して除去するスパイウェア・チェッカーなるソフトウェアもあり、インターネットで無償配布されているものもあります。ここでは私が知っているもの2種類のダウンロードサイトをご紹介します。もちろんこれらも個人の責任において使用するように注意が促されています。
|
||
次回(第5回)は? |
||
| 今回は不正プログラムに関する話の後半とその対策についてお話しました。次回はソーシャルエンジニアリング(社会工学)と内部者の不正その他についての話題をお届けします。
株式会社ネットワークボックス・ジャパン |
||
| 第5回につづく・・・ | ||
|
お問合わせは
こちら |
All Rights Reserved. Copyright© 2002-2008 UEL Corporation |