連載
» 2009年08月17日 10時00分 公開

セキュリティTips for Today(7):ゴシップへの好奇心を「実行防止」せよ! (2/3)

[飯田朝洋,@IT]

実行ファイルだけが脅威ではない

 実行形式の添付ファイルは警戒されるようになり、ダブルクリックしない人が増えました。しかし、実行形式ではないファイルが添付されていたらどうでしょうか。クリックしてしまう方は多いのではないでしょうか。今年の新型インフルエンザの騒動に便乗したウイルス付きのメールで特に注目していただきたいポイントとしては、Adobe PDF(以下、PDF)ファイルが添付されていたケースも確認されているということです。

 このPDFファイルは、ファイルを開くだけでウイルスに感染してしまうという細工がされていました。このPDFファイルには不正なコードが埋め込まれており、Adobe Readerの脆弱性を悪用して、ファイルを開くだけでこの不正コードが読み込まれる(実行される)仕組みになっています。

【参考】

APSB09-03:Adobe ReaderおよびAcrobat用セキュリティアップデート公開(アドビシステムズ)

http://www.adobe.com/jp/support/security/bulletins/apsb09-03.html


 不正コードを埋め込まれるファイルは必ずしもPDFファイルだけとは限らず、そのほかの文書ファイル(Microsoft Word/Excel/PowerPointや一太郎など)でも同様の攻撃にさらされる可能性があります。ウイルスは必ずしも実行形式のファイルというわけではないのです。

 攻撃者は、どのようなファイル形式にすれば、ユーザーが実行(クリック)しやすいのか、調査、研究しているのです。

 また、常に時事ネタを収集し、ユーザーの興味をそそる題材を探しています。このような、人々が興味がわくようなネタを題材にし、人の心理を突く攻撃手法を「ソーシャルエンジニアリング」と呼んでいます。

ソーシャルエンジニアリングとは

 ここで、新型インフルエンザの騒動に乗じて確認されたPDFファイルのウイルス「TROJ_PIDIEF」のウイルス感染被害件数を示したグラフをお見せしたいと思います。このデータは、日本に限らず、世界中のユーザーから弊社へ寄せられたウイルス感染被害件数です。

 新型インフルエンザの話題は、2009年4月ごろから6月ぐらいまで続いたわけですが、その話題性と比例するようにウイルス感染の被害件数も増加していることが確認できます。

図1 2009年4月〜6月のコンピュータウイルス感染被害件数の推移 図1 2009年4月〜6月のコンピュータウイルス感染被害件数の推移

 昨今のセキュリティ上の脅威の1つとして、ソーシャルエンジニアリングを巧みに利用する手法が確立されていることがお分かりになるでしょう。このソーシャルエンジニアリングの手法を巧みに利用した脅威には、人の注意力や判断力に頼ったセキュリティ対策だけで対抗することは難しいといえます。また、ウイルスが文書ファイルで作成されていた場合には、ユーザー心理として「ファイルの中身を見てみたい」という欲求もあり、「ウイルスは実行形式のファイルだけ」と思い込んでいたりすると、被害にあってしまうケースが多いと考えられます。

 そこで、今回はアプリケーションの脆弱性を悪用するウイルス対策についてTIPSをご紹介したいと思います。

水際で実行を止める「DEP」

 アプリケーションの脆弱性を悪用するウイルスは、アプリケーションのプログラミング上の不具合(バグ)を悪用し、ウイルス感染させます。

 実際にはバッファオーバーフローによって、ファイルに埋め込まれた悪意あるコードが実行されてしまい、ウイルス感染するという仕組みをとっています。

【関連記事】

5分で絶対に分かるバッファオーバーフロー

http://www.atmarkit.co.jp/fsecurity/special/110buffer/buffer00.html


 このバッファオーバーフローへの有効な対策としては、Windowsの「データ実行防止機能(以下、DEP:Data Execute Prevention)」を利用することをおすすめします。

【参考】

Windows XP SP2 のデータ実行防止機能について

http://support.microsoft.com/kb/884515/ja


 もちろん、DEPの機能がすべてのバッファオーバーフローを抱える脆弱性への対策に有効というわけではありませんので、アプリケーションを常に最新バージョンに保つという、セキュリティの基本は重要です。しかし、ゼロデイ攻撃やセキュリティパッチを適用するまでの間の対策としては有効な対策といえます。

 このDEPという機能は、Windows XP SP2以降から備わった新機能です。DEPのリリース当初は、正規アプリケーションが正常に動作しなくなるシーンも散見されましたが、時間の経過とともに各社もDEPへ適応してきており、正規アプリケーションが動作しなくなることはあまり見られなくなってきています。そのため、以前よりも使い勝手が向上しているといえるでしょう。残念ながら、その割にはユーザーの利用率は極めて低いと感じています。

 Windows XP SP2以降の初期設定では、限定されたプログラムのみ有効設定となっています。どのようなアプリケーションが悪用されるか分からない状況において、プログラムを限定することは危険です。そのため、このDEPは、すべてのプログラムに対して有効に働くように設定しておくことが重要です。

 本記事でお伝えしたいポイントは、DEPの有効範囲をすべてのプログラムへ広げて利用すべきだ、という1点です。

Index

ゴシップへの好奇心を「実行防止」せよ!

Page 1

コンピュータウイルス感染のきっかけは「人の好奇心」

Page 2

実行ファイルだけが脅威ではない
ソーシャルエンジニアリングとは
水際で実行を止める「DEP」

Page 3

すべてのアプリケーションでDEPを有効にするには
これですべてが解決するわけではないが、意義は大きい


Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。