PR

 コンピュータ・ウイルスの被害は後を絶たない。2001年に大きな被害をもたらしたウイルスだけでも,「CodeRed」や「Sircam」,「Nimda」に「Badtrans」と枚挙に暇(いとま)がない。これらから身を守るには,各クライアントに任せるだけではなく,メール・サーバーのフィルタリング機能や,ゲートウエイ型アンチウイルス・ソフトの使用も考える必要がある。企業ネットワークに侵入する前の“水際”で食い止めるのである。

「ユーザー任せ」は危険

 古くは「LOVELETTER」や,先日発見された「Myparty」にみられるように,ウイルス製作者はユーザーの裏をかこうと,日々様々な試みをしている。最近のウイルスはLAN内で感染を拡大するものも多く,企業内でたった1人が感染するだけでも,次々と感染が広がり,結果的に大きな被害を被る恐れがある。そのため,特に企業においては,ウイルス対策が不可欠である。

 企業としてはきちんとウイルスの脅威を認識し,対策を施す必要がある。対策として最も一般的なのが,アンチウイルス製品の使用である。製品によって詳細は異なるが,使用形態としては,大きく分けて次の3つが考えられる。いくつかを組み合わせて使用することもあるようだ。

(1)パソコンやサーバーなどの,個々のマシンにアンチウイルス製品を導入し,製品の運用はユーザーに任せる
(2)個々のマシンに導入するが,それぞれを一括で管理できるツールを利用して,管理者が運用する
(3)ゲートウエイ型アンチウイルス製品を導入する

 まず(1)については,大きな問題がある。ユーザー全員がきちんと導入しているかどうか,ウイルス情報の定義ファイルを更新しているかどうかを,管理者が把握できないのである。

 この問題を解決するために,アンチウイルス・ベンダーは,集中管理ツールが付いたエンタープライズ用製品を用意している。そういった製品を使用すれば,(2)が可能になる。しかし,たとえ一元管理ができたとしても,感染の危険性を全くなくせるわけではない。対策ソフトをインストールしていない,個人のノート・パソコンを社内に持ち込まれた場合などは,そのマシンが“穴”となり,感染が広がる危険性がある。

 万全を期するためには,ウイルスの侵入を“水際”で食い止めるようにもしたい。現在は,多くのウイルスが電子メールを利用している。トレンドマイクロが公開した,2001年12月の「ウイルス感染被害マンスリーレポート」でも,被害件数が多かった上位10件中,実に8件がメールを利用するウイルスである。このようなウイルスを食い止めるには,メール・サーバーを利用したフィルタリングや,(3)のゲートウエイ型アンチウイルス製品が効果的である。

メール・サーバーで食い止める

 自由に配布や利用が可能なライセンスで開発されている(いわゆる「オープン・ソース」の)メールサーバー・プログラム(MTA:Mail Transfer Agent)の多くは,受信したメールをチェックして,フィルタリングする機能を備える。標準機能として備えていない場合でも,フィルタリング用ソフトをアドオンとして利用することで,フィルタリングが可能になるサーバー・ソフトもある。以下,フィルタリング機能を標準で備えるメール・サーバーでの設定方法や,アドオンするソフトをいくつかリストアップした。

 フィルタリング機能を持つソフトの多くは,特定の文字列を正規表現で指定して,それらがメールのヘッダーや本文に含まれていないかどうかを調べる。メーリング・リスト用ソフトウエアとして有名な「FML」のように,拒否したい添付ファイルの拡張子で指定できるものもある。また,単にフィルタリングするだけではなく,「qmail-scanner」のように,他のアンチウイルス製品と組み合わせられるソフトも存在する。

MIME形式メールをフィルタリングする

 メールで運ばれるウイルスをフィルタリングするには,その添付ファイルを調べる必要がある。ただし,添付ファイルといっても,実際には「base64」という方式でバイナリ・データをテキスト・データ(ASCII)にエンコードされて,「MIME(Multipurpose Internet Mail Extensions)」と呼ばれるフォーマットで本文中に含まれている。

 そのため,本文中のエンコードされたデータや,エンコードされたデータの冒頭に付けられる「MIMEヘッダー」に,特定の文字列が含まれているかどうかを調べることが多い。MIMEヘッダーには,添付されているファイル名などが記述されているので,ウイルス・ファイルの名称が分かっている場合には,フィルタリングが可能になる。簡単な例をみてみよう。

 以下は,Badtransウイルスを添付したメールのMIMEヘッダーである。

--====_ABC1234567890DEF_====
Content-Type: audio/x-wav;
         name="Sorry_about_yesterday.MP3.pif"
Content-Transfer-Encoding: base64
Content-ID: 

 ヘッダー中の「name=」以下が添付ファイル名である。Badtransが「Sorry_about_yesterday」「.MP3」「.pif」といった文字列を組み合わせてファイル名に使用することがあらかじめ分かっているので,上記メールはBartransに感染していることがわかる。

ゲートウエイ型製品で食い止める

 メール・サーバーによるフィルタリング以外の方法としては,最近導入が進んでいる,ゲートウエイ型アンチウイルス製品の利用が考えられる。既存のサーバーにインストールするソフトウエア製品や,ハード一体型のアプライアンス・サーバーが存在するが,いずれも企業内のメールの配送経路上に設置する点では同じである。そして,製品が中継しているメール内にウイルスがあれば,それを検知し自動的に駆除するとともに,管理者やメール受信者あるいは送信者などに警告を発する。ウイルスに特化した,一種のIDS(侵入検知システム)といえよう。

 ゲートウエイ型製品の利点は,個々のマシンを“見張る”必要がないことである。ネットワーク経由のウイルスに関しては,確実に“水際”で食い止めることができる。さらに,社内へ送られてくるウイルスだけではなく,社内から社外へウイルス・メールを送信した場合も検知できる。

 ただし,ゲートウェイ型の製品も万全ではない。CD-ROMなどのメディアからの感染は防げないし,ウイルスに感染したノート・パソコンを社内ネットワークに接続された場合の被害も防げない。あくまで外部とのネットワーク接続の水際で見張るだけであり,個々のマシンへは別途アンチウイルス製品を導入することも必要である。

 ゲートウエイ型製品としては,以下のような製品が挙げられる。なかには,電子メール(SMTP)だけではなく,トレンドマイクロの「InterScan VirusWall」のように,FTPやHTTPで送られてくるウイルスを検知できる製品もある。

 最後に,近年よく見られ,Mypartyウイルスが出現した際にも見られた,これらの製品の“弱点”を紹介しておく。これらの製品は,自動的に検知および駆除し,警告を出してくれることが特徴であるが,それが“裏目に出る”場合がある。

 例えば,ウイルス・メールの送信者に,「貴方のメールが○○ウイルスに感染しています」という警告を送信する設定にしていたとする。この場合,相手が個人ならば問題ないが,メーリング・リストなどの,一度に多数の相手に送信するアドレスの場合には問題になる。全く関係がない多数のユーザーにも,警告メールを送信することになるからだ。実際,多数のメーリング・リストにおいて問題になっていたようだ。筆者自身も何通か受けとっている。

◇     ◇     ◇     ◇     ◇     ◇

 今回紹介した,メール・サーバーでのフィルタリングやゲートウエイ型アンチウイルス製品は,まだまだ一般には運用上のノウハウが十分には蓄積されておらず,発展途上の分野であると考える。しかしながら,ウイルスの多くが電子メールで送られてくる現状においては,十分有効な対策であろう。特に,従業員数が多い大企業であるほど,特定の個所ですべての電子メールをチェックできるこれらの対策は魅力的であり,今後の発展が期待される。


若居和直(WAKAI Kazunao)
株式会社ラック 不正アクセス対策事業本部
wakai@lac.co.jp


 IT Proセキュリティ・サイトが提供する「今週のSecurity Check [一般編]」は,その週に起きたUNIX関連およびセキュリティ全般のニュースや動向をまとめた週刊コラムです。セキュリティ・ベンダーである「株式会社ラック」のスタッフの方を執筆陣に迎え,専門家の立場から解説していただきます。