連載
» 2014年05月08日 18時00分 公開

川口洋のセキュリティ・プライベート・アイズ(49):ウイルスとは言い切れない“悪意のあるソフトウェア” (2/2)

[川口洋(株式会社ラック チーフエバンジェリスト CISSP),@IT]
前のページへ 1|2       

ウイルスとして認定することはできるのか?

 「こんな“悪意のあるソフトウェア”はウイルスとして認定してしまえばいい」と思うかもしれませんが、ウイルス対策ソフトの会社としても難しいようです。

 ダウンロード画面やインストール画面に(分かりにくいとはいえ)利用規約やEULA、プライバシーポリシーへのリンクが張られており、ソフトウェア提供者としては利用者に確認を促して(いるという建前になって)います。

ダウンロード画面の注意書き
ダウンロード画面の注意書き
インストール画面の注意書き
インストール画面の注意書き

 どの画面を見ても小さな字でプライバシーポリシーにリンクが張ってあります。これらの文字を見逃して(理解せずに?)「Accept」「Next」ボタンを押すと、次々と怪しげなソフトウェアをインストールされてしまいます。

 このようなソフトウェアを「ウイルス」認定してしまうことは、ウイルス対策ソフトの会社としてはリスクが大きいのでしょう。ある会社は「アドウェア」として認識し、ある会社は「スルー」しているというのが実態です。

 複数のウイルス対策ソフトでチェックできるVirusTotalで確認したところ、残念ながら日本でメジャーなウイルス対策ソフトの会社はスルーしてしまう傾向になってしまいました。この場合、利用者が意図して設定を強化し、検知させる必要があるようです。

 このような現状がありますので、システム管理の技術者や運用事業者の方に対し「なぜウイルス対策ソフトで検知できないんだ?」と責めてはいけません。運用担当者にはぜひ優しくしてあげてください(笑)。

あるソフトをVirusTotalにてチェックした結果(マルウェアと認知するベンダもある)
別のソフトをVirusTotalにてチェックした結果(ベンダーによってばらつきがある)

“悪意のあるソフトウェア”の被害に遭わないために

 このような「アドウェア」「スケアウェア」と呼ばれる、“悪意のあるソフトウェア”はいまに始まったわけではありませんが、インターネットの広告を悪用したケースで、被害の相談を受けることが多くなったと感じています。

 被害に遭わないためには、まず広告の仕組みについて理解してほしいところです。特に業務環境にソフトウェアをインストールする担当者には、今回のような事例を知っておいてほしいと思っています。

 教育だけではどうにもならないことも多いため、そもそもこのような悪意があるソフトウェアを提供するWebサイトにアクセスさせない、もしくはアクセスしたログを確認することが重要です。今回の調査で私が遭遇したドメインは以下のものでした。

apportal.jp

down4load.com

download366.info

fileprogram.net

pc-life.info

softome.net

win-install.info


 ダウンロードするソフトウェアごとに、これらのドメインのサブドメインが用意されているようです。このドメイン全てが悪意のあるものであると断定することはできませんが、せめて上記に挙げたドメイン(およびサブドメイン)からファイルをダウンロードしているものについては注意をするべきでしょう。

 次に悪意のあるソフトウェアの被害にあっていないか確認する方法を紹介します。ソフトウェアによって挙動は異なるため、全てのケースに当てはまるかは不明ですが、以下の点を調査していつもと違うものが登録、存在していた場合はご注意ください。

  • コントロールパネルの「プログラムと機能」
  • ブラウザーのホームページ
  • ブラウザーのアドオン一覧
  • 自動起動するサービス一覧
  • 起動しているプロセス一覧
  • 一時ディレクトリの中
    • C:\Users\ユーザ名\AppData\Local\Temp (Windows 7/Windows 8の場合)
    • C:\Documents and Settings\ユーザ名\Local Settings\Temp (Windows XPの場合)
    • C:\WINDOWS\Temp
  • タスクスケジューラーに登録されているもの
    • C:\WINDOWS\Tasks

 「いつもと違う」に気付くこと自体も難しいわけですが、普段からシステムをよく見ている方ならば、なんとか気付くことができるかもしれません。これを機に、システムの設定を見直してみることをお勧めします。


 これからHardening 10 APAC、セキュリティキャンプと個人的には忙しい時期が続きますが、いろんな方のセキュリティのお手伝いをするべく頑張っていこうと思います。

 というわけで、Hardening 10 APACの環境構築ミーティングと称して、今日も飲みに行くのでした。

著者プロフィール

川口 洋(かわぐち ひろし)

株式会社ラック

チーフエバンジェリスト

CISSP

ラック入社後、IDSやファイアウォールなどの運用・管理業務を経て、セキュリティアナリストとして、JSOC監視サービスに従事し、日々セキュリティインシデントに対応。

チーフエバンジェリストとして、セキュリティオペレーションに関する研究、ITインフラのリスクに関する情報提供、啓発活動を行っている。Black Hat Japan、PacSec、Internet Week、情報セキュリティEXPO、サイバーテロ対策協議会などで講演し、安全なITネットワークの実現を目指して日夜奮闘中。

2010年〜2011年、セキュリティ&プログラミングキャンプの講師として未来ある若者の指導に当たる。2012年、最高の「守る」技術を持つトップエンジニアを発掘・顕彰する技術競技会「Hardening」のスタッフとしても参加し、ITシステム運用にかかわる全ての人の能力向上のための活動も行っている。


「川口洋のセキュリティ・プライベート・アイズ」バックナンバー
前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。