PR

ウイルスが第1の壁を飛び越えてパソコンに到達しても,パソコン上での感染,あるいは“発病”を防げれば被害には遭わない。そのために重要なのが,(1)ウイルスの動きを封じ込める設定をする,(2)~(4)パソコン上で動作する全ソフトウエアのぜい弱性を減らす,(5)攻撃者のだましに気付きやすいようにOSを設定する──といった対策である。

(1)設定とツールでウイルスを無力化する

 ウイルスをパソコンで稼働させない方法としてオススメしたいのが,Internet Explorerが一時ファイルを保存するフォルダ「Internet Temporary Files」にあるファイルの実行禁止である。Webブラウザ経由で感染するウイルスは,本体を送り込むときにこのフォルダを使うことが多い。ここでファイルを実行させなければ,ウイルスの攻撃は不発に終わる(写真4)。

写真4●Internet Temporary Files内のファイルの実行を禁止しているところ
写真4●Internet Temporary Files内のファイルの実行を禁止しているところ
ローカルコンピュータ ポリシー(LCP)のソフトウエアの制限ポリシーで「C:\Documents and Settings\[ユーザー名]\Local Settings\Temporary Internet Files」を「許可しない」にしておく。LCPは「コントロールパネル」,「管理ツール」の中にある。

 もう一つ紹介しておきたいのが,Office文書のぜい弱性を狙った攻撃を無力化するOffice 2003/2007用の無償アドオン・ソフト「Microsoft Office Isolated Converter Environment」(MOICE)である(写真5)。

写真5●Microsoft Office Isolated Converter Environment(MOICE)を使ってWordを開いたところ
写真5●Microsoft Office Isolated Converter Environment(MOICE)を使ってWordを開いたところ
埋め込まれた不正なプログラムを実行する可能性が低くなる。

 MOICEはOffice 2003までのOffice文書をOffice 2007の形式に自動的に変換して開くツールである。Office 2003までは,作成する文書ファイルのフォーマットがバイナリ形式で,これがOffice文書に不正なプログラムを埋め込まれる一因だった。 Office 2007ではファイル・フォーマットとしてテキスト・ベースのXMLが使われるため,不正なプログラムを埋め込まれにくい。

 利用のポイントは,Office文書の拡張子とMOICEの関連付けを「コマンド プロンプト」であらかじめ実施しておくことだ(表2)。

表2●MOICEを使うためのコマンド
これらのコマンドを実行することで,拡張子とMOICEが関連付けられる。
表2●MOICEを使うためのコマンド

(2)無償ツールでパッチ適用状況を検査

 マイクロソフトが「Windowsの自動更新」を提供したことで,WindowsやOfficeのパッチ適用がスムーズに進むようになった。一方で, Adobe ReaderやQuickTime,Flashなどには最新のパッチが当たっていないことが珍しくない。「攻撃者はこの状況を見抜いているからこそ,マイクロソフト以外のソフトにあるぜい弱性を積極的に攻撃してくる」(ラックの新井部長)。

 とはいえ,ユーザーが自分のパソコンにインストールされているソフトを調べ上げ,それぞれにパッチが当たっているかどうかを調べるとなると,かなり手間がかかる。デンマークのセキュニアが無償で提供している「PSI」はこの手間を軽減してくれる(写真6)。

 PSIは,パソコンにインストールされているソフトの一覧をチェックし,最新パッチを適用済みのソフトと未適用のソフト(Insafe),サポート終了のソフト(End-of-Life)の情報を表示する。最新パッチが未適用の製品とサポートが終了した製品については,PSIの画面に最新バージョンやパッチの提供サイトへのリンクが表示され,ユーザーは1クリックでそこにたどり着ける。

写真6●デンマーク セキュニアの「PSI」
写真6●デンマーク セキュニアの「PSI」
パソコンを検査し,最新パッチの未適用ソフトとサポート終了ソフトをレポートしてくれる。パッチの取得先にも1クリックでたどり着ける。

 ただし,検査対象は海外でもメジャーなソフトが中心。一太郎などの日本でしか流通していないソフトは対象になっていない。

(3)XP並みに設定を緩めたVistaを使う

 システム自体に発生するぜい弱性を減らすこともセキュリティ強化につながる。そこで専門家が口をそろえるのが,Windows Vistaへの乗り換えである。VistaはXPに比べてはるかにぜい弱性が少なく,セキュリティ向上に寄与する。

 Vistaは,使い勝手についての評価が決して高くない。これがユーザーがVista導入を敬遠する理由の一つになっている。これに対してフォティーンフォティ技術研究所(FFR)の鵜飼副社長は,「使い勝手が気になるなら,XPと同じ感覚で使えるようにセキュリティ・レベルを落としてでも使うべき」とする。Vistaは,XPに比べて数多くのセキュリティ強化機能を持つからだ(表3)。

表3●Windows Vistaで追加されたセキュリティ機能
ぜい弱性を狙う攻撃を実行されても,いずれかの個所でブロックされる。
表3●Windows Vistaで追加されたセキュリティ機能

 例えば,メモリー上に格納するデータの位置を起動のたびにランダムに変更する「ASLR」を備える。攻撃者が書き換えたいデータの場所が特定できないため攻撃が失敗する。

 こうした仕組みによって「ウイルス作者がぜい弱性を狙って攻撃を仕掛けようとしても,OSに組み込まれた防御システムのどこかで引っかかる」(鵜飼副社長)という。

(4)企業内で使うソフトウエアをダイエット

 当たり前のことだが,ぜい弱性を抱えるソフトを使わなければ,そのぜい弱性を突く攻撃の被害に遭うことはない。この点から考えて重要なのが,パソコンにインストールするソフトを最小限にとどめることである。

 FFRの鵜飼副社長は,これを一歩進めて「企業内で使うソフトを決め,バージョンをきっちり管理する」ことを勧める。例えば,Officeのほか, Webブラウザやメーラー,テキスト・エディタ,圧縮/解凍ソフトなどを統一する。こうすれば,管理者が社内で使われているソフトを把握でき,セキュリティ・パッチが出た際に社員に適用を促せるようになる。

 重要なのは,管理対象に市販のソフトだけではなく無償のソフトも含めること。目的はユーザーの管理ではなく,あくまでセキュリティ対策である。「利用可能なソフトを極端に制限すると,ルールを守らず勝手にソフトをインストールしてしまう社員が出てきかねない」(鵜飼副社長)。許可したもの以外でも,社員からの要望が多く社内で規定したソフトで代替できない場合は,利用を認めるように運用する。ただし,どのようなソフトを使っているかはIT部門できっちり記録しておく。

 こうした厳密な運用が難しい場合は,少なくとも,OfficeやAdobe Reader,Flashなど主要なソフトのバージョンだけでも企業内で合わせておきたい。

(5)拡張子表示で“だまし”を見破る

 zipやlzhなどの圧縮ファイルは,ゲートウエイでフィルタしないことが少なくない。フィルタしてしまうと業務に差し支える可能性が高いからだ。そこで攻撃者は,実行ファイルを圧縮ファイルにしてユーザーに送り付ける手段を取る。

 ただ,普通の状態で実行ファイルを添付してもユーザーに見破られ,ウイルスが実行されない可能性がある。そこで,攻撃者は「ファイル・アイコンの偽装」というテクニックを使う。

 アイコンの偽装とは実体はexeファイルであるにもかかわらず,PDFやWordと同じアイコンを表示させるテクニックである。exeファイルには任意のアイコンの画像を埋め込めるため,こうしたことが可能になる。Windowsの初期設定では,exe,doc,pdfのような拡張子は表示されないため,アイコンを偽装したexeファイルと実際の文書ファイルは見分けがつかない。

 対策としては,偽装したアイコンが実行ファイルかどうかを見分けられるようにOSを設定しておくと良い。まず拡張子を表示するように変える。こうすれば拡張子で実行ファイルかどうかを確認できる(図2)。

図2●拡張子を表示の重要性
図2●拡張子を表示の重要性
exeファイルでは,表示するアイコンを自由に設定できる。このため,アイコン以外で判断できるように,拡張子やファイルの詳細を表示する。

 加えて,ファイルの一覧をリストで表示するように設定する。一覧の「種類」をみれば,偽装されていないかを確認できる。例えば,Wordの場合は「Microsoft Word文書」と出るが,exeの場合は「アプリケーション」と表示される。