2005年08月11日(木) 12時19分
スパイウェアの侵入経路と対策(japan.internet.com)
スパイウェア の侵入経路について説明する前に、利用されるコンピュータの環境について分類しておきます。ここでは、公共アクセス PC、ホーム PC、および企業内 PC と大きく分類してみました。
公共アクセス PC が危ない
公共アクセス PC とは、ネットカフェや、ホテル、Kinko’s でのコンピュータの貸し出しなど、公共アクセス端末として利用されている PC(パブリック アクセス端末)を意味します。恐らく、公共アクセス PC が、最もスパイウェアの脅威にさらされている PC ではないかと考えられます。
これらの PC に、スパイウェアが侵入する方法として、以下の経路があります。
まず、商用リモートアクセスソフトウェアのインストールによるものがあります。RAT(Remote Access Tool)などは、コンピュータの管理者やユーザーによりインストールされる場合、第三者によりインストールされる場合、ドライブバイインストールなどの方法でユーザーの知らないうちにインストールされる場合があります。
商用というのは、一般に市販されているソフトウェアのことを意味します。多くの場合、コンピュータの監視や管理を目的としたソフトウェアで、誰でも入手することができるものです。また、こうしたソフトウェアは、ウィルス対策ソフトウェアではインストールを検出したり除去したりされることはありません。
第三者によるキーロガーやリモート管理ソフトウェアのインストールは、企業内では、オフィスの監視やデータアクセスの記録など、管理目的で管理者によりインストールされるものがあります。
一方、公共端末 PC は、スパイ行為を目的として、リモートアクセスやキーロガーなどが、コンピュータの利用者や所有者が知らない間に、悪意を持った第三者によりインストールされる場合があります。例えば、ファイルを印刷するサービスを提供する PC にリモート管理ツールを仕込むことで、大切な文章ファイルがそのままネットワークを経由して第三者にコピーされる可能性があります。
キーロガーによりユーザー ID が盗まれる
また、インターネットカフェなどでは、悪意を持った第三者によりキーロガーが仕込まれ、オンラインゲームユーザーのゲームアカウントを盗み出し、その ID を利用してゲームアイテムを盗み出して売買するような事件は、日本よりもネットカフェユーザーがたくさんいる韓国や中国では、多く発生していました。
そうした事情から、韓国や中国では日本よりも早くアンチスパイウェア ソフトウェアが多く紹介されていました。
では、不特定多数のユーザーに利用されるこうした公共のアクセス端末を、どうやってスパイウェアなどの脅威から保護することができるでしょうか? 最も有効な手段としては、アンチスパイウェアを含んだセキュリティ対策を適用したうえで、さらにユーザーが利用するごとに、コンピュータを初期化することが有効だと思われます。
また、セキュリティテンプレートなどを利用して、ユーザーがプログラムをインストールできない、システム設定を変更できない、ブラウザの設定を変更できない、など利用範囲を制限する設定をサービス提供側で用意する必要がありますが、利用する側も、利用する前に、オンラインスキャンサービスなどの Web サービスを利用して、いったん確認してから操作を始めるなどの注意も必要かも知れません。
「
スパイウェアの定義 」でも紹介したように、商用キーロガーにはハードウェアタイプのものも存在しています。ハードウェア キーロガーは、スパイウェア対策ソフトウェアでも検出することはできません。
従って、セキュリティ対策のチェック項目として、ハードウェアの検査も含めることが必要になります。ハードウェアタイプのものはキーボードコネクタ間に挿入されるものです。通常目視で確認することができます。
こうした、公共アクセス端末を使ったことでプライバシーや情報盗難の被害に遭った場合、誰が責任を持つべきかについてなどの議論の解決は困難です。実際、こうした公共アクセス端末を提供している側からすれば、このような PC へはセキュリティ対策の投資を最小限にしたいと考えます。従って、問題があれば交換、再インストールなどの対応がされているのでしょうが、利用者に損害が発生したとしても、保障することなどまさに想定外になっていると思われます。
情報セキュリティリテラシ向上のためのいい循環構造とは
例えば、クレジット カード ID やオンラインバンク ID 情報の盗難により消費者が被害にあった場合でも、米国などでは、クレジット カード会社や銀行などが責任を持つというシステムがすでにありました。
このため消費者を守るために、企業側が IT 情報セキュリティに投資を惜しまない、また、スパイウェアなどの新たな脅威に対するリテラシ向上のため、消費者に対する教育活動に貢献する、といういい循環が自然生まれる構造になっているのではないかと思います。
最近日本でのクレジットカードのスキミングなどによる犯罪行為で、預金者の預金を銀行が守れなかった場合に、銀行が預金者の預金を保障する法的な動きも、結果的にこのような新しい脅威に対して迅速に対応できる、いい循環を生む原動力となることを期待したいものです。
ホーム PC への脅威
家庭で利用している PC がスパイウェアに感染する経路として、公共アクセス PC での侵入経路である第三者によるインストールよりも多くの可能性があるのは、やはり Web サイトへのアクセスや、インターネット上のソフトウェアのダウンロードによる感染です。
特に、海外の Web サイトからのドライブバイインストールによる感染には注意が必要です。危険なサイトにアクセスしないのも被害を軽減することになりますが、フィッシングメールや URL の入力間違によって誘導されるのを避けるのは困難です。また最近では、フィッシングメールによりユーザーを Web サイトに誘導し、サイトにアクセスすることでドライブバイインストールする手法が多く見られます。
スパムやフィッシング メール対策や、Web サイトへのアクセスをフィリタリングすることで、ある程度危険を軽減することが可能です。ドライブバイインストール対策として考えられる方法は、ウィルス対策ソフトウェアの導入とパーソナルファイヤウォール、ブラウザの脆弱性、ポップアップの禁止など対応に加え、Internet Explorer をブラウザとして利用している場合、Active-X の停止やブロック リストによる Active-X の制御も効果的です。
ブロックリストの活用
スパイウェア対策専用のソフトウェアでは、各社の持つシグネチャ ファイルから生成したブロックリスト機能を提供しているものがあります。
プロックリストは、既知の Active-X コントロールを利用したスパイウェアを、Internet Explorer から実行できなくする方法です。これにより、既知のスパイウェアについては、実行を抑止し、また侵入を阻止することができます。
リアルタイムで検出する方法に比べ、システム リソースを一切消費しないで効果的にスパイウェアから守ることができます。
ブロックリストで利用している技術についての詳細は、Microsoft 社の
技術情報 を参照してください。
ブロックリストを提供しているスパイウェア対策ソフトウェアを利用している場合、そのスパイウェアシグネチャファイルの更新とともに、最新のブロックリストを定期的に適用することで、常に新しいスパイウェアへのブロックリストによる対応が可能です。ブロックリストの入手や追情報は、
スパイウェアガイド を参照してください。
その他スパイウェア対策専用ソフトウェア機能の活用
逆に、ユーザーがインターネット上のソフトウェアを故意にインストールすることによる感染もあります。プラグインや無料ソフトウェアなどにバンドルされているものです。
多くの検索機能を提供するブラウザプラグインでは、検索キーワードをいったん特別な Web サーバーに送信し、結果を表示します。
ソフトウェアにバンドルされるスパイウェアには、さまざまなものあります。広告を目的としたアドウェアであっても、アップデート機能を持ったものは、ユーザーの知らないうちに、さらに他の広告表示のためのソフトウェアをダウンロードしたり、自分自身の最新版のダウンロードを試みるものがあります。
インストール時にインターネットにアクセスする場合が多いので、パーソナルファイヤウォールでそれを検出したり、情報の流出や他のソフトウェアの自動ダウンロードを拒否することはできます。
除去には、同時に提供されるアンインストーラを使用するといいのですが、上記のように他のソフトウェアをインストールしたりしていると、アンインストーラでは完全に除去はされないままになります。
ホーム PC では、ハイジャッカの被害が多く報告されています。また、ハイジャッカは、除去が非常に困難な場合が多く、除去が可能なスパイウェア対策ソフトウェアが必要になります。
感染に気づいたら、早期にスパイウェア対策ソフトウェアでの除去が必要です。ハイジャッカでは、ブラウザの開始ページや検索ページが変更されていることで、感染に気付きます。
スパイウェア対策ソフトウェアの多くは、そうしたブラウザ設定の変化を検出する機能が提供されているので、それらの機能を利用すると、早期に発見することができます。非常に複雑な場合が多く、手動ではなく、ソフトウェアでの除去が必要になります。
多くの場合、コンピュータの起動ごとに自分自身をコピーしながら増えていくので、コンピュータの挙動がおかしいからと、安易にコンピュータを再起動していると、感染が重症化してしまいます。
さらに個人ユーザーのコンピュータの被害としては、LSP(Layered Service Provider)の置き換へ、hosts ファイルの改竄なども報告されています。スパウェア対策ソフトウェアでは、未知のスパイウェアによるこれらの情報の変更を検出する機能が提供されています。
企業内コンピュータは、本当に守られているか?
企業内コンピュータへのスパイウェアの侵入経路や方法は、特に他の例と異なるものではありません。先日のイーバンクでの事件のように、個人を狙ったさまざまな騙しのテクニックによる侵入の可能性は、他の環境よりも高いのかも知れません。
騙しのテクニックには、フィッシング メール、IM (インスタント メッセンジャー)やチャット機能を利用して、感染リンクからソフトウェアをインストールさせてしまう方法があります。
大企業など、外部と社内ネットワーク間でセキュリティが装備されている企業内でのコンピュータは、その利用用途やインターネットなど外部ネットワークへの接続がある程度制限されている環境にあり、スパイウェアによる被害も少ないかも知れません。
SOHO や中規模になると、外部との接続に関する安全確保は、家庭での利用とさほど変わらないケースもあるでしょう。
しかし、大企業であっても、ネットワーク環境に多くの制限事項があるから安全だ、と思い込んでしまうことは非常に危険ともいえます。
これは例えば、“自分は健康に気をつけているから病気にならない”と過信して、定期健診もしない人に似ています。企業内においては、スパイウェアもその侵入やインストール場所を管理してこそはじめて安全といえます。スパイウェアを管理するということは、具体的には、企業内のコンピュータにインストールされているスパイウェアを、アプリケーションソフトウェアの管理と同様に、インベントリを作成して管理しようというものです。
グレーソフトウェアの管理
その理由として、まず、キーロガーやリモートアクセスなどを、スパイウェアではなく監視ツールとしてインストールしているコンピュータでは、これらの活動が、スパイウェア対策ソフトウェアにより妨害されないように管理する必要があります。
また、ブラウザプラグインも、種類によっては、企業で推奨したものをインストールしている場合もあります。どれを残してどれを除去するかは、つまり、スパイウェアポリシーの管理が、コンピュータを利用している個々のユーザーではなく、管理者により各グループ毎にコントロールされることが必要になります。
そのためにも、企業内コンピュータのスパイウェア対策では、スパイウェアインベントリの管理が必要ということになります。これを利用して、管理者は、どのコンピュータにどんなスパイウェアがインストールされているかを常に把握します。
悪質なものや有害なものは最初に除去するとして、ここで管理するスパイウェアとは、悪質なものではなくよりグレーなソフトウェアということになります。
また、ユーザーの介在なしにリモートから除去できるような仕組みも必要です。
こうした面から考えると、スパイウェア対策とウィルス対策では、大きくその目的が違っていることがお分かりになると思います。
スパイウェア対策で要求されるのは、企業内のグレーなソフトウェアをいかに管理するかということではないでしょうか。
ウィルス対策ソフトウェアでは、グレーソフトウェアという概念は存在しません。白か黒かと判断し、黒の侵入を完全に排除することがその目的であり、期待されている役割です。
一方スパイウェア対策はというと、グレーソフトウェアの存在を認め、それらを企業ポリシーに沿って管理してゆくとことが期待されるべき機能と役割ではないかというのが、私の考えです。
残念ながら、スパイウェアの存在や定義も曖昧な現時点において、ここで説明した機能と役割を持ったスパイウェア対策ソフトウェアは、市場にはほとんど存在していません。
しかし、皆無ではありません。スパイウェア対策ベンダーの製品で、企業用としてエンタープライズ機能を持った製品が、これらの要望をある程度満たしていると思います。
しかし実際製品化について色々と話をしていると、スパイウェア対策ソフトウェアのエンタープライズ版の導入を求める企業は、少ないように思われます。これは、セキュリティに対してさらなる投資を必要とするからです。最小限の投資でこうしたシステムを企業ユーザーに提供する方法や製品開発に関して、現在私達は、いくつかのソフトウェアベンダーと協議を始めましたので、そちらもご期待ください。
スパイウェアは感染しない?
グレーソフトウェアの管理という概念を企業情報セキュリティ管理に導入することは、スパイウェア対策だけでなく、その他の新たなセキュリティの脅威への対策という面から非常に有効です。
例えば、スパイウェアの定義に関しての説明でよく見かける表現として、“スパイウェアは感染しない”を定義している場合があります。これはウィルス対策ソフトウェアベンダーの定義する狭義のスパイウェアになります。
つまり、感染機能を持つソフトウェアはワームとして分類されますが、スパイウェアでもワームとして分類されるものが存在します。
“スパイウェアは感染しない”とスパイウェアを定義したり、その前提でスパイウェア対策を考えようとすると、何が起こるかといえば、ウィルス対策ソフトウェアでも検出されない、感染する悪意のある、または不要な広告を表示するソフトウェアには対策しない、できないということになります。
前回 のコラムで米国の「Spy ACT」について紹介したように、スパイウェアを機能から定義することが現実的でないことが、簡単に理解できると思います。ここでいう感染機能を持つスパイウェアとは、その感染方法(技術)もウィルスとは違っていたりします。
セキュリティポリシーテンプレートの活用
また、スパイウェアを検出、除去する方法とは違う方法があります。これは、XBlock Systems 社により特許申請されている技術で、Microsoft Windows 2000/XP のセキュリティポリシー テンプレート機能を利用した、
SRP (ソフトウェア制限ポリシー テンプレート)を利用する方法です。
ブロックリストと同様に、常に最新のスパイウェアからコンピュータを守るために、最新のセキュリティテンプレートを適用することになります。これによりコンピュータは、すでにインストールされているスパイウェアを除去することもなくその活動を封じ込め、また新たな侵入からも防ぐことができます。
大きなメリットは、OS で提供されているセキュリティ機能を利用するだけなので、コンピュータへの負荷(CPU やメモリの消費)が一切ないことです。
最近では、ウィルス対策ソフトウェアベンダーの製品は、より多くの機能を統合した形式でセキュリティスイート化されて提供されてきました。しかしその多くは、システムへの負荷が増大し、実際利用しているとその動作性能の低下に困惑することが多いのではないでしょうか?
しかし、こうしたセキュリティテンプレートでの対応は、システムへの負荷の軽減だけでなく、その他多くの利点があります。まず、ファイルを削除したりすることがないため、誤検出や、除去の不具合によるシステムへの障害がなくなります。また、既存の検疫システムや、データやプログラムの配信システムに容易に統合することができます。
企業でのスアイウェア対策
スパイウェア対策を企業で考える場合、重要な点としては、グレーなソフトウェアを管理する概念と仕組みを実現すること、また、導入においては、以下のステップで実装できるかどうかとではないか、と考えます。
1.調査(インベントリ作成)
2.コンサルテーション(分析)
3.インプリメンテーション(実装)
4.運用メンテナンス(シグネチャ、セキュリティテンプレートのカスタマイズと配信)
デイリーリサーチバックナンバー、コラム、セミナー情報等はこちらから
http://japan.internet.com/
デイリーでお届けする最新ITニュースメールの御購読申込はこちらから
http://japan.internet.com/mail/newsletters.html (japan.internet.com) - 8月11日12時19分更新
http://headlines.yahoo.co.jp/hl?a=20050811-00000005-inet-sci