Copyright © 2000-2005 eazyfox. All Rights Reserved.
HOME| Firewall | Security| 製品紹介| SecuTool| Forest| Hello| Link| 掲示板| 雑談掲示板| SiteMap| Contact

世の中はウィルスやワームが全盛である。一般的にコンピュータウィルスと呼ばれているがワームとの違いは

• ウィルスは他に寄生して増殖していくもので実行プログラムまたはシステムファイルに寄生、なりすましをして自分のクローンをどんどん作っていく
• ワームは他に寄生せずに自己増殖するもので自己のクローンは他のPCにメールなど転送して増えていく

と定義されている。つまり寄生するのがウィルスで、寄生しないのがワームである。しかし最近ではあまり区別していないので単にウィルスと呼んでも差し支えないと思う。
そのウィルスの仕事振りは多種多様でファイルの破壊や消去といったものからPCのBIOSを破壊して起動不可能にするといった破壊工作を行うもの、ファイルを勝手に読み込んで書き換えてしまうといったもの、メールを勝手に送るものからファイルの内容を特定の先に送信するものまである。
ウィルスの感染経路は以前ならDownloadしたファイルやFDで貰ったデータが感染していたため知らずに実行したときにPC内のファイルに感染するケースが多かったが、最近ではメールに添付されているスクリプトとして送られて知らずに実行されて感染するケースが多い。これはOutlookなどのHTMLメールを使えるメーラーで感染する。
なぜならOEなどではHTMLメール内に入っているVBスクリプトをメールを開いた時点(プレビューを含む)で実行してしまうからだ。というよりHTMLのメールを開くという事はHTML内のVBスクリプトやJAVAスクリプトやActiveXなんかを実行することである。IEやNNで通常のWebのコンテンツを見るとき、よくスクリブトが実行されるが、HTML内のスクリプトで自分のPCのファイルを読みに行くことは出来ない(基本的には)ようになっている。つまり外部から不正なスクリプトによって内部のデータを勝手に送ったり出来ないというのがセキュリティの基本だ。しかしこの件に関してIEでもNNでもDiskへのアクセス可能となるバグが見つかっている。
メールのHTMLというのは外部から送られてくるが、受信をした段階で一度自分のPCにダウンロードしたものとして扱われる。つまりIEのように外にあるスクリプトを実行するのではなく、内部にあるスクリプトとして実行される。したがってDownloadしたプログラムなどと同じように扱われるという事は自分のPCのファイルを読むことが許されてしまうという事だ。そのためOEのアドレス帳を読み込んでメールを送ってしまうといったウィルスが動いてしまう。まとめると

• Webコンテンツ内のスクリプトではPC内のDiskにはアクセスできない仕様になっている
• メールで受信したHTMLメールのスクリプトや添付されたモジュールはPC内のDiskにアクセスできる
• ブラウザのバグでWebコンテンツ内のスクリプトでもDiskへのアクセスが行われてしまう

Outlook(Express含む)でもようやくスクリプトが「インターネットゾーン」で実行できるようになった。これで最新のOutlookを使用してインターネットゾーンの設定を"高"にしておけばスクリプトが無条件に実行されることはなくなる。(2004年加筆)

これらの対策について考えてみよう

入り口で侵入を止める

最近のVirusチェッカではPOP保護機能というものがある。POPとはメールをサーバから受信する方法(POP3)のことである。これらPOP保護機能はOEなどのメーラがサーバからメールの本文や添付ファイルなどのデータを受ける前に横取りをして内容をチェックする。チェックの方法はVirusのチェックと同じで指紋の検査となる。この検査に合格したデータはOEなどのメーラに引き渡される。特定の指紋も持つウィルスはこの検査で大抵引っかかるが指紋データベースに載っていないような新種のウィルスでは引っかからないときがある。ウィルスのデータは常に最新にしておくことが大切である。
またメール以外の経路からの感染を防ぐにはDownloadしたファイルやコピーしたファイルの内容のチェックが必要である。最近のVirusチェッカでは圧縮されたファイルも一時的に展開してチェックしてくれるので他のPCやサーバとファイルのやり取りを頻繁に行うといった使い方をするのならVirusチェッカを常駐させておくのが常識だと考える。

入っても動かないようにする

Virusが入ってきても実行しなければ感染しない。また感染しようとするのを防げば発病しない。そこで実行を阻止する方法としてVirusチェッカのリアルタイム検査機能がある。これは先の指紋検査をくぐり抜けたVirusが感染しないようにシステムファイルや他の実行ファイルなどを書き換えるのを監視して防ぐ機能と、ファイルの内容をキャッシュして特定の行動パターンと一致すればVirusと判断して実行させないといったものだ。特定の行動パターンとは「寄生するためにファイルの改ざんを行う」といったものや「レジストリを書き換える」といったものらしい。
Personal FirewallであるZoneAlarmのメールプロテクション機能はこれとは異なり、VBスクリプトなどの実行可能な添付ファイルを持ったメールを受信したときに実行可能ファイルの拡張子を付け替えて、メールを開いたときに自動実行されないようにする仕組みだ。
Sandboxと言う仕組みがある。これは自PC内に仮想の隔離された環境を用意して、そこにDownloadしたファイルやActiveXなど実行可能ファイルを格納して、その隔離した環境で実行させる。普通のファイルならシステムの書き換えやファイルの改ざんなどしないで自己完結するので実行には影響がない。しかしVirusや悪意のあるプログラムの場合にはSandBoxの外の環境に影響を与えようとするので、正しく実行できないし、させない。この機能はNortonやVirusBasterなどの一般的なVirusチェッカはみな持っている。またPersonal FirewallではeSafeDesktopが持っている。

・トロイの木馬（Trojan horse)

トロイの木馬とは、クラッカが目的の動作を行うためのモジュール(プログラム)をこっそりと仕掛けておき、クラッカの指示で動き出すような形態のもので、最近ではVirusの一種とみなされている。いいかえれば従来のVirusはメモリに呼び込まれたらすぐに実行されるようにプログラムされているトロイの木馬である。目的の動作がPC内のデータの破壊であるのか、PC内のデータや所定のメッセージをを外部に送るためのものかという違いはあるが・・。トロイの木馬の動作には色々な種類がある。

• DDoSアタックのためのクライアントになる
• PC内のデータを破壊する。または書き換える
• PC内のデータを外部に送信する
• PC内の情報を外部に送信して、外部から受け取ったコマンドを実行する（BackDoor)

これらの動作が単体ではなく組み合わせて動作するものもある。

これに対する予防策はVirusとおなじで入り口でチェックして入らないようにするか、動作していても外部との接続を出来ないようにする。

よく筆者のPCには外部からBackDoor型のトロイの木馬が使用するPortを検査しにいらっしゃる方が多い。これは筆者が知らない間にトロイの木馬に感染して、それに気づかないでいる、そしてトロイの木馬を操作して筆者のPCをいじくろうという試みであろう。幸いにPersonal Firewallが防いでくれるし、Virusチェッカもトロイの指紋を見つけて削除してくれるので被害にあわずにすんでいる。しかし指紋に登録されていない新しい木馬も存在するだろう、油断は禁物である。

セキュリティのTopに戻る