連載
» 2009年06月29日 10時00分 公開

セキュリティTips for Today(6):アイコン偽装に負けない秘策は「プレースバー」だ! (1/3)

アイコン偽装にだまされないためには、フォルダの表示を「詳細」にし、種類を確認すべきです。しかしファイルをダウンロードする手順を考えると、その方法が通用しない可能性があります。そこで第6回では、ダウンロードファイルの脅威を少しでも低減するTipsを解説します(編集部)

[飯田朝洋,@IT]

 皆さんこんにちは、飯田です。2009年4月ごろより新型インフルエンザの世界的流行が確認されていることは皆さんもご存じのことでしょう。各種メディアでも大きく報じられています。企業においては新型インフルエンザの影響を考慮し、さまざまな対応をとられているのではないでしょうか。

 新型インフルエンザ対策にも、従来の季節性インフルエンザ対策であるマスクの着用、手洗い、うがいをこまめに行うなどの対策が推奨されています。これらは従来のインフルエンザ対策としておなじみのものですが、このような“おなじみの対策”を、確実に行動に移すことがとても重要です。

 コンピュータウイルス対策においても、“おなじみの対策”がいくつかあります。その対策を怠ることなく、各自が効果的に実施することが重要といえるのではないでしょうか。

 さて、今回の記事ですが、未知の不正プログラムを身近に迫っている脅威として感じていただきながら、私なりのTipsを加えてコンピュータウイルス対策として、おなじみの対策を紹介していきたいと思います。

この瞬間にも増え続ける不正プログラム

 皆さんは、未知の不正プログラムの出現頻度をご存じでしょうか。

 弊社が2008年の1年間で発見した未知の不正プログラム数は、「約1244万1600個」にも上ります。これを単純に時間で割ってみると、「約2.5秒」に1つの不正プログラムが作成されていることが算出できます。この記事を読んでいただいている間にも、多くの不正プログラムが世界のどこかで作成されていることになります。

 ご存じの通り、インターネットとは世界規模で相互接続されたネットワークであるため、世界のどこかで作成された不正プログラムであっても、その不正プログラムがさまざまのルートで、日本にいるわれわれの手元に届くのです。私が所属する部署では、定期的に不正サイトを監視しています。その過程で収集された不正プログラムからも、日々増えて続けている未知の不正プログラムを実感することができます。

 ここで、私の部署で実際に監視していた不正サイトの事例をご紹介したいと思います。成人男性向けに、日本語で作成されたコンテンツが掲載されているサイトがありました。一見、ウイルスとは無縁のサイトとして存在しているように見えるのですが、該当サイトからダウンロードできるファイルは実行形式であるexeファイルとなっていました。しかも、そのexeファイルは毎日ハッシュ値【注1】を変えており、主要なウイルス対策製品では検知することのできない、未知の不正プログラムなのです。さらに、そのexeファイルは図1のようにアイコンはHTMLファイルに似せたものになっていました。

図1 該当サイトからダウンロードしたファイルのアイコン 図1 該当サイトからダウンロードしたファイルのアイコン

【注1】

ファイルデータからハッシュ関数を使って計算した結果がハッシュ値です。メッセージ・ダイジェストとも呼ばれ、もとデータ(ファイル)が異なれば,その計算結果であるハッシュ値も異なります。そのため、ハッシュ値が異なるということは、ファイルの中身も異なるといえます。


 このサイトの特性上、掲載されているコンテンツに興味を持ったユーザーがアクセスし、さらに自らの意思でファイルをダウンロードしていることが考えられますので、好奇心が高まっているユーザー心理から察すると、ダウンロードしたファイルを実行してしまう可能性は非常に高いといえます。

 実際に該当サイトよりダウンロードされたファイルは、次の通りです。

図2 アイコンはHTMLファイルのものだが、実際はアプリケーションだった 図2 アイコンはHTMLファイルのものだが、実際はアプリケーションだった

 注目すべきポイントは、ファイルの拡張子と種類の欄の表示です。拡張子が「.exe」となっており、種類の欄で「アプリケーション」と表示されているため、このファイルはexeファイル(実行ファイル)ということが判別できます。仮に、本当にHTMLファイルであった場合には、拡張子が「.htmlもしくは.htm」となっていて、種類の欄では「HTMLドキュメント」となっていなければいけないのです。ただしいHTMLファイルであれば、次のように表示されるはずです。

図3 HTMLファイルの正しい表示例 図3 HTMLファイルの正しい表示例

 このサイトは、3つのテクニックを駆使しています。

  • 特定の趣味を狙ったコンテンツを使い、サイトとしての完成度も非常に高く、見た目上では何ら不審なサイトとして疑うことができないこと。
  • 不正プログラムのハッシュ値を毎日変えており、ウイルス対策製品で検出されてしまうことを回避していることがうかがえること。
  • アイコンが偽装されていることで、ひと目ではexeファイルがダウンロードされたように見えないというトリックを使っていること。

 アイコン偽装については第2回「いつものアイコンを“オリジナル”にして先手を打て」でもお伝えしましたが、ウイルスがユーザーを欺く常とう手段として、いまなお多く使われている手法の1つとなっています。

 実際に弊社で確認している、アイコンを偽装したウイルスの一部をお見せいたします。これらも、ひと目ではexeファイルとは分からず、不用意にクリックしてしまいそうです。

図4 アイコン偽装の例 図4 アイコン偽装の例

Index

アイコン偽装に負けない秘策は「プレースバー」だ!

Page 1

この瞬間にも増え続ける不正プログラム

Page 2

アイコン偽装への対策は
“ダウンロードファイル”への対策、さらにもう一歩

Page 3

プレースバーの項目が問題ならば、それを変えればいい?
「デスクトップにファイルを保存」という悪癖をやめよう


       1|2|3 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。