 インターネットは、地域、距離の区別なく、自由にデータがやりとりできる空間であると同時に、無防備なままでは、自由に自分のPCも悪用/攻撃されてしまうような空間である。このような問題には、インターネット全体での取り組みも盛んだが、小企業や、個人のレベルでも、インターネットの脅威から身を守る必要性はあるといえる。そこで今回は、インターネット全体のセキュリティソリューションを研究、開発、販売している(株)シマンテック SARCジャパンの星澤氏にお話しをうかがった。 エンドユーザの基本的なPC防御法からウイルスの歴史、最新のウイルス情報ハッカーたての手口に触れ、それらからどのように情報財産を保護するべきなのかを解説してくれている。 ◆◆◆ PCを守るには? PCやサーバには重要なデータが入っていることが多い。ところが、これは、案外簡単な操作で全てを消すことができる。また、操作ミスでも消えてしまうことがあったり、今回問題にしようとしている、インターネットからの攻撃などによって改ざん、消去されてしまうこともありうる。したがって、PCユーザーは様々な方法でPCを守る必要があるし、実際に守っている。その、もっとも基本的な方法は、PCを正しい方法で使う、ということだ。安全な使い方を知れば、そうそうミスでデータを消してしまうようなことはない。また、人為的ミスからデータを守るため、重要なデータを常にバックアップしておくということも、重要なことだ。その他、ソフトウエアの方が誤動作してしまうことを防ぐためにこのような部分にはアップデートファイルが提供されるが、それらを正しく適用しておくことなどが重要だ。 しかし、コンピューター同士のやりとりが、フロッピーディスクなどのリムーバブルメディアやネットワークを通じて行なわれるようになってくると、それらを媒介として活動するウィルスという存在が現れ、それを防ぐためにアンチウィルス(古くは予防機能がなかったので、ワクチンといった)が生まれた。これらは、正確には、自己増殖をし、ネットワークなどを媒介として感染し、潜伏期間の後に発症して、何らかの被害をもたらすものだが、今日では、ネットやコンピューター内でたくさんに増殖し、処理速度を落とす「ワーム」や、自己増殖はせず、単にメールやダウンロード、フロッピーディスクなどで相手のパソコンに侵入したら、ある程度経って被害をもたらす「トロイの木馬」といったタイプものも、総じて「ウィルス」と呼ぶようになっており、それらを駆除、予防するものを「ノートン・アンチウィルス」に代表される「ウイルス対策ソフトウエア」と呼んでいることが多い。以下の文章でも、これらを分けずに呼称することにする。 最新のウィルス動向 これら、アンチウィルスを適用するのは、もちろんウィルスによって被害がもたらされるのを防ぐためだが、ウィルスによってどのような被害がもたらされるかというと、軽いものでは、作業中にさして意味もない表示をするだけのものから、データを破壊、変更するものが主なものだ。中には、非常に稀ではあるが、ハードウェアを破壊するものがある。最近のマザーボードはBIOSが書換できるものが多く、このシステムを狙って破壊しにかかるのだ。ビデオカードにもBIOSはあるから、書換えて表示不能にすることも可能なのだ。また、一定のチップセットの内部の値を書換えて、起動不能にもできる。これらは、ウィルスのタイプとハードウェアが合致しないと被害にはならないが、合致した場合はかなり深刻な被害となる。 また、最近のウィルスは、ネットワークとやりとりする機能も持っており、特定の場所にあるデータを読み出したり、操作することによって、重要なデータを漏洩させてしまうこともありうる。その他、副作用として、様々な値をいじられることでPCが極度に不安定になったり、ウィルスが大量にメールを送りつけることでメールサーバがクラッシュしたり、という被害をもたらすこともある。これらの被害を防ぐためにアンチウィルスソフトウエアでウィルスの流入の防止や発症の防止、ウィルスの削除を行うことが必要なのだ。 ところで、最近のVBS.LoveLetterや、Happy99、FunLove、W32.Navidadなどを見ると、ウィルスは、インターネットを通じて感染したり、インターネットを攻撃武器に使ったりするタイプが多くなっている。これらには、やはり、エンドユーザーの使っている環境がWindows+IE+OutlookExpress+MS-Officeのように大概予測できる環境になりつつあることと、これらの間の連携が密になっていて、一つのアプリケーションに穴をみつけることでそれらと連携する多くのアプリケーションに影響をもたらすことができること、それらに、インターネットが大きく関係していることなどからだ。 このようなことから、最近のウィルスでは、インターネットを媒介するために感染スピードが非常にはやく、VBS.Loveletterのように一晩で全世界に広まるようなタイプが多くなって、ウィルスを発見した時にウイルスを未然に防ぐことのできるワクチンである「ウィルス定義ファイル」が出来る前に広まってしまう危険性が出てきている。また、これらの「アプリケーションが連携する」という特徴から、社内文書などでよく用いられているMS Officeに感染すると、多くの文書を読まれてしまうことにもなりかねず、情報の漏洩が世界的なスピードでやってくる、というところに、従来のアンチウィルスソリューションでは対応しにくくなってきているのだ。 アンチウィルス最前線 そのようになってきたウィルスの状況に、インターネットは対応をしようとしている。まず、古くは、端末だけで行われていたアンチウィルス作業を階層的に3つに分け、それぞれのレベルで最適のアンチウィルスソリューションを導入する、ということだ。ひとつは、デスクトップ。つまり、従来の端末別アンチウィルスということだ。二つめは、サーバ。端末経由で送られてくるデータを調査対象とする、と言うものだ。三つめは、ゲートウェイ。インターネットのトラフィックを監視して、自分たちのネットワークにウィルスはいれない、自分たちのネットワークからウィルスは出さない、という形だ。この形が各ネットワークやISP単位で広まれば、ウィルスはエンドユーザーに届く前にどこかで駆除される形になる。 では、逆に、これだけ保護されていれば、端末側にはいらないではないか、と思う向きもあろうが、端末側では、フロッピーディスクや、CD-ROMからの感染もあり得る。特に雑誌やアプリケーションのCD-ROMにウィルスが感染していたという例は少なくない。もちろん、ウィルスに感染した人からフロッピーディスクで書類をもらう、という従来通りの感染ルートも少なくないのだし、これらにネットワーク感染機能があったら、サーバ側は安全でも、社内が軒並み汚染されることになる。だから、3層の全てにわたって、完全にアンチウィルスソリューションを導入しておく必要があるのだ。一台でも抜ければ、情報漏洩の面からは危険だということもありうるのだ。 また、このような形を補強するものとして、ウィルス定義ファイルを使わない形も出て来ている。たとえば、ゲートウェイでファイル以外のトラフィックも監視して、ウィルスのようなものはすべて駆除してしまう形。ウィルス定義ファイルをつけなくとも、プログラム内容を検知して、免疫プログラムを作ってしまう、デジタル免疫システムなども登場してきている。(2000年10月、IBMとシマンテック製品 NAV CE7.5により)その他、ファイアウォールなどとのインテグレーションにより、各種製品にウィルス検出システムを組み込んでしまう、ということも積極的に行なわれるようになっている。とにかく、アンチウィルスソリューションでは、ウィルスが移動したら検知、すぐに自動で免疫づくり、そこから出さない活動させない、を目標にしているといえるだろう。 インターネットの脅威 PCへの脅威はウィルスだけではない。いわゆる「ハッカー」がそれである。(一部、現在でも「ハッカー」はコンピューターなどに非常に精通しているカッコイイ人を指すのであり、悪事を働く人間のほうは「クラッカー」と呼んでくれ、との思想があるが、本稿では、それも踏まえ、成り立ちをも含めた一般的な用語として悪事を働く方の人間を「ハッカー」とする形を用いる。) ハッカーは、ウィルス作者だったり、情報を盗んだり、セキュリティ上の穴を通じてマシンをクラッシュさせたりするが、手当たり次第に試すわけではない。銀行強盗をするのに、何も調べないで手当たり次第に襲ったらすぐにつかまるだけだからだ。つまり、ネットを通じたハッキングの方法は、セキュリティホールのあるPCを見つけることからはじまるともいえる。 では、そのセキュリティホールを持ったPCとは、どのように見つけるのだろう。まず、ご自分のたれ流している情報を見てほしい(Web上には自分が流している情報を確認できるサイトが存在する)。もし、セキュリティ的にしっかりしていなければ、OSやブラウザのバージョンはもとより、画面のサイズ、ブラウザのサイズ、あなたのネットワーク的な位置、ISPの情報などが出てくるはずである。詳しく見れば、どの拡張子が見られるか、のような部分でMS-Officeが入っていれば、Excelのファイルが見られますよ、のような情報も入っている。つまり、Windows2000で、Excelが使えて、IPはここで、ブラウザはIE5.5ですよ、のような情報をインターネットをふらついている間中まきちらしている、ということがわかる。 このような情報は、あなたが(知らずに)公開しているのだから、盗んでいるわけではない。実際サイトの統計に使われている例も多く存在する。ところが悪意あるホームページ開設者にかかると、これも簡単に悪用されてしまう。画像を一個貼るだけでも情報は等しくあたえられるから、エロ広告のバナーだけでもOKだし、これをバナー交換相互リンクなどで自サーバから貼ってもらえば、情報などたくさん手に入るわけだ。もちろん、プレゼントページなどを仮に設けて、応募が殺到するようにしてもよい。ハッカーは、プレゼントなど実際にやらなくてもよいのだから。また、そのマシンにTelnet接続などすると、IDは知らなくても、OSのバージョンを教えてくれるTelnetサーバは多い。 このように情報を収集したら、それらのOS、ソフトウエアに対するセキュリティホールを探す。セキュリティホールの情報は、CERT、SecurityFocus、BUGTRAQなど、管理者に注意を促すためのサイトにたくさん存在する。管理者がいつもそこを見ていれば対策出来るが個人は見ないから、いいハッカーの温床になっているわけだ。ユーザーに警鐘を鳴らすためのメディアは、少なからずそういう宿命を背負っているともいえる。つまり、この記事もそうだ。知らなければ、ハッカー志願の素人に要らない知識を与えているともいえる。そして、セキュリティホールを見つけたら、攻撃するが、調査や攻撃のためのツールは豊富にあるのだ。 ハッカーの手口 ハッカーの手口として比較的基本的なものから紹介しておこう。まずは、スニファーと呼ばれる手口だ。社内LANに使用されているEthernetというネットワークは、リピーターという方式のハブを使っている比較的古い構成では、LAN内を流れるデータはルーターより内側の社内LANにつながっているマシン全てに到達する。通常、パソコンが混乱しないのは、自分宛ではないデータを自動的に破棄するようにソフトウエア的に作られているからだ。ところが、スニファーはこれらをすべて受け取ってしまう。しかも、本来の相手先にもきちんと到達するので、受け取ったことすら知られないうちに全てを見ることができるのだ。これは、ハードウェアでもデータ解析ソフトなどとともに販売されているが、ソフトウエア的にも実現可能でありWeb上から入手することができる。つまり、このソフトをいれた小さなノートパソコンを持ち歩き、社内に潜入、データを取り込んで保存すれば、非常に多くのデータを取得することが容易なのだ。 これを使うと、どのようなことがわかるかというと、メールや、ファイルの内容を取得出来る。また、パスワードも簡単に取得出来る。メールなどは通常、テキスト形式でやりとりされているため、かなり簡単にデータの中から抜き出せてしまう。もちろん、FTPやTelnetを使って、遠隔地のコンピュータの操作をしている場合は、そのパスワードも盗まれてしまう。とすると、ハッカーは、その外部のコンピュータを正規ユーザーと同等に扱えてしまうのだ。一種の物理的な力業ともいえる手法だが、大企業などでは要注意の方法だ。これを防ぐにはスイッチングハブを導入したり、内部PC間通信の暗号化、などの方法がある。もちろん、会社に出入りするもののセキュリティチェックも重要である。 次に、外部からの攻撃の方法としてよく使われるのが、バッファオーバーフローである。バッファオーバーフローは、プログラミングツール群と、そのような攻撃を意識しなかったプログラマのミスによるセキュリティホールであり、想定した文字数以上の情報を入力することにより、プログラムが入っているであろう領域にまで文字を入力、プログラムがそこを参照することでハッカーの目的のプログラムを動作させることができる、という手法だ。バッファオーバーフローは、Cプログラムなどで、ある種のパターンをみつけることで穴があると感知することが可能であり、OS自体はどこにでも売っているし、Linuxなどではプログラム自体を見ることも可能なので、穴が発見され易く、そこをつくのも容易だということなのだ。そして、管理者権限で実行されているプログラムの穴を見つけると、それで管理者になりすまし、特定のIDを管理者として設定、そこにログインすることで、そのコンピュータを乗っ取る、という形を取る。非常に危険なセキュリティホール、それがバッファオーバーフローだ。最近では、プログラミングツールのほうも対応済であり、プログラマも意識するようになったので、新しいバージョンのものからはそのような問題は少なくなっている。 ポートに攻撃をかける 他の攻撃方法としては、TCP/IPのポートを通じたアタックがある。TCP/IPでは、アプリケーションごとに異なる番号のポートを使う。たとえば、IPアドレスが電話番号だとすると、ポートは内線番号だと思えばいいだろう。同じ会社でも担当部署によって受ける業務内容が違う。メール受取は25番、ホームページ参照は80番、ファイル受取は20番・・・などのようにある程度決まっている。これは、会社によっては、顧客ごとに番号を割り振っていることもあるだろう。たとえば、お客様から、お客様苦情センターにはつながるが、秘書課に直接通じることはない(もちろん教えない)のようにある程度のガイドラインはあるはずだ。 ところが、これを交換機レベルで外部からの電話は秘書課には通じない、のようにしておかないと、内線番号リストが漏れたり、他の番号から類推したり、しらみつぶしに電話したりして、直接かかる、ということは避けられない。もし、秘書課の人間が、内部からしかかからない、と信じていて、「ヤマダだが、これからうちの若いのをよこすから、XXの書類を渡してくれ」などと部課長クラスの名前で社内文書をもってこさせるような社内ではよくある類いの電話を秘書課にかけたとしたら、そして、ハッカーがその若い者になりすましたら、重要書類をみすみす渡すことになりはしないだろうか。これがポート番号のセキュリティホールである。 つまり、内部としか文書交換をしないと思っているアプリケーションが外からの通信に応えて重要情報を流してしまったり、コマンドを受け付けてしまったりすると言うことができるのだ。これには、そのようなポートは、ハッカーが類推できないような番号にするか、やはり交換機レベルで対応すべきだ。 存在しない番号にかけると、交換機が狂ったり、変なところにかかったり、コンピューターが応答したり、モデムにかかるかもしれない。モデムにかかったりしたらこれ幸いと、社内ネットを探検するだろう。こういうことも、PCにはある。つまり、ユーザーはどのアプリケーションがどのポートを使っているか、全てを把握しているわけではないということだ。それが、たまたま発見されて、システムを牛耳れるものだったりすると、大騒ぎになってしまったりする。さすがに最近はそういうことはないが、サーバソフトなどでは、明示しているにしても、あまりにもたくさんのポートを管理用に使うので、かなり不安になったことがある。 というわけで、これには、教えない、という方法もあるのだが、根本的に解決する方法がある。外部からは内線にかからないようにするものだ。必ず、受け付け番号を通して、それぞれの部署につなぐようにすればいい。その際各種の確認事項をパスしてから、というようなことになる。どこの会社のどなた様ですか、のような形が普通だろう。また、社内の人間の場合には、携帯電話の番号から着信番号表示で確認することが可能だ。このようなことをするのがファイアウォールと呼ばれるソフトウエアだ。 パーソナルファイアウォール 大企業の場合には、この「ファイアウォール」が導入されていることが多いため、各社員のPCに攻撃がインターネットから来ることはほとんどない。攻撃を受けるとすれば内部からだ。ところが、個人やSOHOの場合には導入されていないことがほとんどで、攻撃の標的にされることがありうる。ただ、これまでは、そのような報告を聞くことは少なかった。何故かと言えば、日本の個人でのインターネット接続のほとんどは、ダイヤルアップIP接続であり、普段は物理的に切断されていること、ひとつのIPアドレスを複数人が使っていること、その中でセキュリティホールを持ったPCがいつ接続してくるかわからない、という形が自然にPCを守っていたからだ。 ところが、昨年来、常時接続が格安になり、個人のレベルに降りてきて、ダイヤルアップのようにIPアドレスが変わるものの、しばらくは同じIPアドレスでずっと接続していることが多くなり、企業のネットワークと同じようなレベルになってきているのだ。このような接続には、もっぱら二種類あって、インターネットに直接つながっているグローバルIPアドレスが提供される場合と、ISPのファイアウォールに守られたローカルIPアドレスがあたえられる場合がある。この場合、グローバルIPアドレスのほうは比較的危険で、ローカルIPアドレスの方は少しは安全、という形になっている。何故かと言えば、グローバルIPのほうは、基本的に何にも守られず、インターネットに対してすべてのポートが開放されていることが多いのに対し、ローカルIPアドレスでは、途中でグローバルIPアドレスへの変換が必要なので、限られたポートしか空いていない、ということにある。 ただし、この両者も、危険度に対しては大きく変わりはない。ISP内にハッカーがいたら、ポートは全くふさがれていない状態でグローバルIPと同じだからである。インターネットに開かれている方がハッカーの人数が多いだろう、くらいの差でしかない。また、ポート80や25など、基本的なポートは開かれたままで、ここから侵入する、ということは充分に可能だから、つまり、攻撃されたり、情報を盗まれる危険性では大きく変わらないのだ。ネットにずっとつながっていることで危険性は飛躍的に増しているといえる。しかも、個人ユーザーは、情報が盗まれても、攻撃されても「あ、またパソコン調子おかしい」位にしか思わない。つまり、気づかない。これは問題である。 そこで、このような状況に対し「ノートン・パーソナルファイアウォール」のような製品が登場してきている。パーソナルファイアウォールは、大企業などで採用されているファイアウォールのサブセットのようなもので、ポートの制限、アプリケーションの制限などが可能で、上のほうでお話ししたホームページ閲覧の際の個人情報たれ流しも制限してくれるような優れたソフトウエアだ。これは各PCにインストールして、使用するもので、大規模なファイアウォールにない長所も持ち合わせている。各PCにインストールするので、どのアプリケーションが動くか検知できる、ということだ。たとえば、メールソフトでも、OutlookExpressには問題が多いことが指摘されつづけているが、ユーザーが別のメーラーを使っていても、このソフトは入っている限り動作可能だから、ウィルスにより、OutlookExpressを通じてウィルスがばらまかれることを防ぎにくい。このパーソナルファイアウォールでは、Becky!からメール送信は可能でも、OutlookExpressからはメール送信できない、という設定が出来る。これは、ファイアウォールでは高級なものでないと出来にくい設定だ。(X-Mailerを見る、という方法がとれるから、高速、高機能な物なら出来るが。) もちろん、メーラーでは出来ても、FTPクライアントは事実上不可能だし、telnetクライアントを制限することも出来ないから、パーソナルファイアウォールは企業などにおいても、重宝するに違いない。企業内攻撃を防ぐということもできる。上記のように、企業内に入ってきて、どこからともなく攻撃をかける、ということも不可能ではないからだ。 また、ノートンパーソナルファイアウォールでは、ハッキングツールの動きに対する設定のデータ、ファイアウォール規則によって、ファイアウォールの設定を自動でアップデートできるようになっているため、個人ユーザーでも安心の運用が可能とのことだ。 トータルなセキュリティ対策が必要 ここまで見てきたように、各種セキュリティの対策は年々必要になってくるが、個別の対応には限界があるのが正直なところだ。攻撃方法は年々巧妙になってきている。したがって、まず、OSのアップデートのしっかりとした適用、アンチウィルスソフトウエアの各階層におけるインストールと最新版へのアップデート。そしてファイアウォールの設置と最新版へのアップデート。さらに重要なのは、企業の物理的、電子的なセキュリティポリシーを策定して、きちんと運用することにあるだろう。ソフトウエアを導入することは、非常に近道な方法であるし、省力化に貢献するはずだし、必要なことだが、攻撃方法で一番単純なものは物理的攻撃であることを忘れてはならない。 パスワードを盗み見るのにスニファーなど要らない、机上のメモを見ろ、または、連想、辞書アタックなどが有効なように非常に古典的な方法が今もまさに有効であることは、確実であり、パスワードは頻繁には変えられていないこともまた確かなことだ。これには、ワンタイムパスワードの適用などによって、問題を回避することができる。スニファーには暗号化、と、それぞれの対策方法がある。最低限、ある程度のトータルなセキュリティ強化は、これからの企業には必須だと言えるだろう。また、個人にもパーソナルファイアウォール程度の導入は必須だと言える。 個人のユーザーのみなさん、グローバルIPで接続していたら、パーソナルファイアウォールをいれて、一ヶ月様子を見て、ログを参照してほしい。自分がどのくらい恐い立場に置かれているか、その時、まさに実感できる、そういう時代に入っているのだ。もちろん、ISPなどもファイアウォールを設置してユーザーを守るようにしているが、個人ユーザーも、そういうセキュリティに関しての関心を高める時期に今、来たと言えるだろう。 ◆◆◆ SARC(シマンテック・アンチウイルス・リサーチ・センター)について SARCはシマンテックの世界最大のコンピュータ・ウイルス研究所で、日本をはじめ、米国、欧州、豪州のワールドワイドをカバーする4拠点の研究者が、コンピュータ・ウイルスに関する研究を行っています。ウイルスの解析やウイルス定義ファイルの提供、ファイル・システムの治療・修復に関する研究を行っており、毎月平均300個の新種ウイルスに対応し、最新のウイルスの脅威からユーザを保護しています。
最近、インターネットの利用人口の急激な増加に比例し、コンピュータ・ウイルスによる被害の増加やネットワークへの不正侵入(不正アクセス)されるなどと言ったネット犯罪が急増しています。 現在、パソコンを利用する理由の1位は、インターネット、電子メールで、新規パソコン購入者の約9割を占めています。このような現状の中、利用するユーザが増加するに連れ、コンピュータ・ウイルスの被害も増加しています。 今や、インターネット/電子メール=ウイルス感染は、当たり前と言った状態ではないでしょうか。また、不正アクセス・不正侵入やクラッカーなども、大きく問題視されています。このような問題・被害は、大半が企業を狙ったものであると認識されがちで、個人にとっては全く無関係のように認識されていますが、個人にとっても全く無関係な存在ではありません。 インターネットをしていると、知らない間にCookieの情報や電子メールアドレスなどが流出したり、不正に侵入され悪用されることもあります。 今やインターネットの脅威は、コンピュータ・ウイルスだけではなく、個人のプライバシーまでもがネット犯罪のターゲットとなっています。 そんな問題から助けてくれるのが、Norton Internet Security(ノートン・インターネットセキュリティ) とNorton Personal Firewall(ノートン・パーソナルファイアウォール)です。 http://www.symantec.com/region/jp/products/nisproducts/index.html
|
||||||
    |
||||||
Copyright (c) 1999 - 2003 Livin' on the EDGE Co., Ltd. & Vagabond Co.,LTD. |