Broadband Watch logo
バックナンバー
第3回:
サーバー(IIS)にアタックするウイルスの仕組みと対策
[2001/12/20]
第2回:
“見ただけで感染する”ウイルスの仕組みと対策
[2001/12/19]
第1回:
個人でできるウイルス対策をしよう
[2001/12/18]
【Click Here!】

【短期集中連載】

大和 哲の
コンピュータウイルス対策入門

第1回:個人でできるウイルス対策をしよう


12月はウイルスシーズン

 ブロードバンドに限った話ではないのだが、最近では、インターネットが多くの人に利用されるようになり、また常時接続など長時間の接続も一般的になってきた。非常に便利になったことも多いのだが、やっかいなこともいくつか増えつつある。
 そのうちのひとつがコンピュータウイルスだろう。

 パソコンをターゲットとしたウイルスは、かつてはフロッピーディスク経由などで感染していたため、感染の広がる速度も範囲もさほどではなく、実際目にする機会はそれほど多くはなかった。しかし、インターネットが普及した現在では感染の広まるスピードがけた違いに速くなっている。ウイルスファイルの添付されたメールを毎日、十通、数十通と受け取っている人も少なくないのではないだろうか。

 12月は、情報処理振興事業会(IPA)のウイルスカレンダーによれば、ウイルスシーズンだ。もちろん、常時接続環境ではウイルスに気をつけている方も多いだろうが、これから年始にかけては特に、コンピュータウイルスの流行に注意したいところだ。

 このウイルスカレンダーは既知のコンピュータウイルスで、PCに感染後、一時活動を休止しているものが活動を再開する日を記したものだ。メールで感染するウイルスを作って流行させようと思うならば、メールのやりとりが多くなるクリスマスや新年が“おいしい季節”にあたるわけだ。したがって、潜伏していて12月に活動を再開するウイルスは多い。また、IPAのウイルスカレンダーには、今後発見されるウイルスは当然含まれていないわけだが、こうした未知のウイルスもこの時期を狙って流される可能性もあるだろう。

 コンピュータウイルスはやっかいだが、対策できないものではない。むしろ、個人ユーザーレベルでもきちんと対策しておけば(これは筆者の個人的な経験則ではあるが)、ほぼ完全にシャットアウトできるという印象だ。

 以下では、ウイルス対策のために具体的に何をしたらいいのか、見ていこう。



予想される年末のウイルス・傾向と対策

 この12月から年始にかけて流行が予想されるウイルスとしては、まずIPAのウイルスカレンダーにある、「既に見つかっていて、12月〜新年にかけて活動を始めるウイルス」がある。
 これらは「既知のウイルス」であるから、市販のウイルス対策ソフトを導入すれば、ほぼ完全に予防できる。万一、すでに感染したウイルスが潜んでいても、ディスクスキャンによって、ほぼ確実に感染ファイルを見つけて駆除できる。

 まずは、ウイルス対策ソフトを購入し、なるべく早い時期にウイルス対策ソフトでPC内のハードディスクをスキャンしておこう。

おもなウイルス対策ソフトメーカー
 ■ シマンテック (Norton AntiVirus)
   http://www.symantec.com/region/jp/
 ■ トレンドマイクロ (ウイルスバスター)
   http://www.trendmicro.co.jp/
 ■ 日本ネットワークアソシエイツ (VirusScan)
   http://www.nai.com/japan/
 ■ シー・エス・イー (Sophos Anti-Virus)
   http://www.cseltd.co.jp/security/
 ■ 山田洋行 (F-SECURE)
   http://www.fs-support.yamada.co.jp/df/index.html

 対策ソフトを購入してスキャンした結果、自分のマシンのハードディスクではウイルスが検出されなかったとしても、ウイルス添付メールや、ウイルスに感染したサイトを閲覧するなどで、新たに感染する可能性は常にある。ウイルス対策ソフトを導入したら、Webやメールなどのファイルをリアルタイムに監視する設定をすることで、感染がほぼ避けられる。以下の設定作業も忘れずにしておこう。

  • Windows起動時に、ウイルス対策ソフトを起動し、常駐させる

  • 添付メールのあるファイルは、開く時に自動でウイルス検査を行なう

  • ダウンロードファイルは、ダウンロード時に自動でウイルス検査を行なう

 さて、問題は、今後登場するウイルスの予防策だ。
 新しいウイルスは、従来のウイルスの亜種であることも多く、多少新たな仕掛けはあるにしても、従来のメール添付型ウイルスなどと同様の感染方法を取ることが多い。したがって、まずは使い古された手口にひっかからないようにすることが肝心だ。
 ウイルス対策ソフトのヒューリスティックスキャン(ウイルスらしき挙動を行なうファイルを検出するスキャン方法)によって、未知の新型ウイルスを捕捉できる可能性もあるが、ウイルス定義ファイルによる検出と違い、残念ながら確実に発見できるというところまではいかない。したがって、ユーザー自身も怪しい添付ファイル付きメールなどの基本的な扱いを心得ておく必要がある。

 たとえば、それほど危険でない、昔からある「ウイルスファイルがメールに添付されているが、添付ファイルを開かないとウイルスが活動を開始しないタイプ」のウイルスを考えてみよう。こうしたウイルスの場合、ユーザーも以下に挙げることを心がけておくことで、ほぼ感染を予防できる。

  • 知らない相手やメールがめったに来なさそうな相手から届いたメールの添付ファイルには気をつける

  • 添付ファイルの送り主が普段は英語で送ってこないのに、英文で書いてあるようなメールは注意する

  • 送信者、題名などが半角カナに化けていて意味を成さないような場合はウイルスメールを疑う

  • 添付ファイルの拡張子が「.jpg.scr」のように2つ続いている、メーラーで表示されているアイコンと違う(たとえば拡張子が「.jpg」なのに画像ファイルのアイコンではない)ような場合は、ファイルの拡張子が偽装されているのではないかと疑う

  • 「.exe」や「.wsh」のようなファイルは開かない

 また、さらに、厳重に予防するには以下のような対策も考えられる。

  • マクロウイルスやスクリプトを利用したウイルスの感染を防ぐために、WordやExcelのマクロ自動機能を切る、Internet Explorerのセキュリティレベルをあげて不用意にスクリプトを実行しないようにする

 ただし、マクロやスクリプトを切ってしまうと、その使用を前提にしている文書やWebの利用に支障が出る場合もあるので、このあたりのさじ加減が難しい。

 万一の場合、不幸にも感染してしまった場合のことを考えて、ディスクのバックアップを取っておくこと(最近のハードディスクは大容量化が著しいので現実的にはかなり難しいが、ハードディスクをもう1台買ってくるなりして)も、可能ならばやっておくと安心だろう。

 また、以下のことは特に重要なので忘れないようにしたい。

  • ウイルス対策ソフトのウイルス定義ファイルは常に最新のものにすること

 ウイルス対策ソフトメーカーは、当然ながらウイルスの流行には早く気づき、ニュースリリースなどで注意を促すとともに、ウイルス定義ファイルを更新する。新しいウイルスの流行のニュースを目にしたら、しばらくは自動アップデート設定に任せずに、メールを読み込む前に定義ファイルのアップデートのチェックをしたほうがいいだろう。

 もちろん、ウイルス定義ファイルのアップデートをひんぱんに行なっても、ウイルス対策ソフトメーカーが流行に気づくよりも早く、ウイルスメールが届いてしまう可能性はある。怪しいファイル付きのメールが来たら、まずはウイルスである可能性を疑ってファイルをスキャンし、結果ウイルスが検知されなくても、必要のないファイルならすぐに削除してしまうくらいの用心はしておいた方がいい。



さらのたちの悪いウイルスには…

 今年はウイルス対策ソフトが店頭で品切れになるほど、ウイルスが流行した年だった。特にWindowsパソコンを狙ったウイルスでは、従来のウイルスよりずっと悪質なものがいくつか出回っている。

 たとえば、11月下旬から爆発的に広まったBadtrans.Bのように、メールをプレビューするだけでPCが感染するようなタイプのウイルスは、上に挙げたような「ファイルを確認」などと悠長なことをしていては(ユーザーの使用環境にもよるが)、PCがウイルスに感染してしまう。

 また、CodeRedのようにWindows NTなどでサーバーソフトを立ち上げておくと、通常のアクセスとみせかけてサーバーを乗っ取るウイルスも登場したきた。このようなウイルスではユーザーが全く介在する余地もなくPCがウイルスに感染してしまう。

 CodeRed、Nimda、Badtrans(とそれぞれの亜種)のようなウイルスに対してユーザーができる最良の対策は、以下の1点につきる。

  • 使用アプリケーションを(セキュリティに関して)最新のものにする

 マイクロソフトのInternet Explorerと、Webサーバー(IIS)を使用している場合は、それぞれ以下に挙げるバージョンにアップデートしておこう。

Internet Explorerを利用している場合
・Internet Explorer 5.01 SP2
・Internet Explorer 5.5 SP2
・Internet Explore 6 (最小構成以外でインストールすること)
Webサーバー(IIS)を利用している場合
・SRP(セキュリティロールアップ)の適用(Windows NT 4.0利用の場合)
・Service Pack 2(Windows 2000利用の場合) ・Windows XP

 ただし、上記のバージョンにアップデートすることで防げるのは、BadtransやCodeRed、Nimdaが利用したような、既知のセキュリティホールを同じように利用してくるウイルスの場合だ。まったく未知のセキュリティホールを利用するような新しいウイルスの場合は、残念ながらユーザーが取れる予防措置はあまりない。

 しかし、ウイルスが利用するセキュリティホールがまったく誰にも知られていないもの、ということはほとんどない。それでも、パソコンを買った時のまま、ソフトのアップデートもせず、ウイルス対策ソフトも導入しないユーザーが大勢いるため、ウイルスの作者は十分効果を上げることができるのだ。Microsoftのサイトではセキュリティホールに対する対策パッチもしばしば公開されているので、まめにチェックしてアップデートパッチをあてることで、そのセキュリティホールを利用するウイルスへの予防ができる。

 次回は、流行したBadtrans.BやNimda、CodeRedがどのようにしてPCに感染するのか、その仕組みを見ながら、これからとるべき対策を考えていこう。

(明日につづく)

(2001/12/18)

□IPA情報セキュリティセンター
http://www.ipa.go.jp/security/index.html
□Microsoft TechNetセキュリティセンター
http://www.microsoft.com/japan/technet/security/

大和 哲
 1968年生まれ東京都出身。88年8月、Oh!X(日本ソフトバンク)にて「我ら電脳遊戯民」を執筆。以来、パソコン誌にて初歩のプログラミング、HTML、CGI、インターネットプロトコルなどの解説記事、インターネット関連のQ&A、ゲーム分析記事などを書く。兼業テクニカルライター。ホームページはこちら
(イラスト : 高橋哲史)
Broadband Watch ホームページ
Copyright (c) 2001 impress corporation All rights reserved.