|
本頁作成日: 2003年9月18日
最終更新日: 2004年8月28日
雑感いろいろ
『これはウィルスですか?』
『○○××というメールが来ました。これはウィルスですか?』
よく、そう訊かれることがあります。
仮に本物のコンピュータウィルスだとしたら、どうしようというのでしょう?
不審なメール・ファイルなどは、他人に訊く前に捨てるべきではないでしょうか?
ファイルは、拡張子さえ変えなければ名前を自由に変えられるもの。
メールの件名も、ユーザーが自由に書けるもの。
したがって、掲示板やメールや電話越しでジャッジできる人は本来いない筈です。
『これはウィルスですか?』と訊かれたということは、
ウィルススキャンエンジンが機能していないものと推測されますが、
そういった中で、もしも、『私のマシンは大丈夫ですか?』の意が少しでもあるなら、
誰も、『あなたのマシンは如何なるウィルスにも感染していません。』とは
断言できません。
出張してそのマシンの所まで行くか、特別なリモートツールでも使わない限り、
そのマシンのシステムファイル群やレジストリを覗き込むことができないからです。
●こうしましょう
1.市販のウィルス対策ソフトをシステムにインストールし、
スキャンエンジン・パターンファイルなどを常に最新の状態にして常駐させる一方、
ユーザー登録して、サポートやセキュリティ関連の情報メール配信を利用しましょう。
2.使用中のメーラーが受信メールスキャンの対象になっていることを確認しましょう。
受信メールスキャンを行わない対策ソフトもあります(取説にて確認を)。
3.もし、不審なファイルやメールがシステム内にあることに気付いた場合は、
ファイル単体ではなく、システム全体をスキャンしましょう。
システム全体のスキャンは、すべての拡張子を検索対象にしましょう。
怪しいと思った時は、Safe Mode または MS-DOS(Windows 9Xのみ)にて起動し、
それからスキャンしましょう(余計なドライバやアプリケーション等の読み込みが
制限され、システム修復に専念できます)。
4.定期的に、システム全体をスキャンしましょう。
5.対策ソフトは、定期的に EICAR テストファイル(※)等で動作テストをしましょう。
正しくインストール・設定・起動されていなければ、意味がありません。
6.定期的に、システムのメンテナンスをしましょう。
正しくシステムが動作していなければ、対策ソフトも正しく起動できる筈がありません。
7.定期的に
OSや周辺コンポーネントの脆弱性情報
を入手、
修正プログラムがあれば、それを適用しましょう。
その後、対策ソフトの動作テストもしましょう。
このようにして対策ソフトを利用していく中でも、
どうしても不審なファイルやメールがある場合は、
『検出しないんですが、「新種」ですか?「動作異常」ですか?』
と、ベンダーのサポート窓口に問い合わせることができるでしょう。
※ 印:
 EICAR.org
(the European Institute of Computer Anti-virus Research) より:
The Anti-Virus test file (and important information)
http://www.eicar.org/anti_virus_test_file.htm
むやみにHTMLメールを送らない
HTMLメールは、文字装飾ができたり、本文内に画像を配置できたり、
メールを開いたと同時に音楽を鳴らすことができたりといった、
Webで使われている視聴覚効果などをメールに持たせることができます。
それにも拘らず、HTMLメールは相手に嫌われることがよくあります。
なぜでしょうか。
一つは、HTML形式で送るというだけで、データの大きさがテキスト形式の
2〜4倍にもなり、それは、相手のメールサーバーの容量を圧迫することに
直結します。にもかかわらず、開いたメールが、どうでもよい部分の文字の
色や大きさを変えただけだったとしたら、それは相手も怒ってしまうでしょう。
読書の感想文が人によって違うように、文書への目の付け所は、
読み手によって違うのです。
もう一つは、HTML形式は「Webページ」として開かなければならないので、
Webに纏わるセキュリティに気をつけなければならなくなるということです。
HTMLワームや、ハイパーリンクに纏わる問題ですね。
一人のHTML送信者のために、相手は、HTML形式をデコードできるよう、
メーラーをルーズな設定にせざるを得なくなるのです。
相手のことを考えるなら、むやみにHTMLメールを送ることは避けましょう。
デマが産み出すデマ
a:『システム内を検索したら、jdbgmgr.exeがありました。ウィルスですか?』
b:『デマです。それはウィルスではありません。』
デマメール(※1)が存在しているという背景があるのは理解できないでもないですが、
掲示板などを見ていると、ソースを提示せずに結果だけを先走りする会話が
多く見受けられるようです(ファイルが発見されたディレクトリや、ファイルサイズなどが
問われているような風景はまず見かけませんし、チェックサムが比較されることなど、
ほとんど皆無に等しいのが現状でしょう)。
デマは人づてに拡大する。キーポイントはここなので、
デマであると判断するのに参照したソースを提示することがより重要です。
jdbgmgr.exeを特に感染ターゲットにするウィルス(※2)が既知であるし、
exe拡張子ファイルに感染するウィルスも、それはもう、多数確認されています。
これは、sulfnbk.exe(※3)でも同様のことが言えます。
sulfnbk.exe が電子メールのアタッチメントフォルダ内に存在する場合は、
ウィルス(※4)である可能性が高いです。
先走りすぎは、こういった実在するウィルスへの警戒を怠る原因になるでしょう。
もともと「デマ」は、実在する事柄A・B・C.....を、何の根拠もなく結びつけているから、
「デマ」だと見破るには、「実在する事柄」と「実在しない事柄」の線引きを
しっかりすることが大事でしょう。
『ウィルスですか?』と聞かれたら、まず、ウィルススキャンを勧めること。
そして、ワクチンベンダーの解説記事など、ソースの提示を励行しましょう。
デマメールはよくできていて、『・・・の対策ソフトでは検出できません』
などと書かれている場合がありますが、そのようなことが実際あるならば、
ベンダーのサイトにまずその情報があるはずです。
※ 印:
Symantec security response
より(一例):
※1:
Jdbgmgr.exe file hoax
http://www.symantec.com/region/jp/sarcj/data/j/jdbgmgr.exe_file_hoax.html
※2:
W32.Efortune.31384@mm
http://www.symantec.com/region/jp/sarcj/data/w/w32.efortune.31384@mm.html
※3:
SULFNBK.EXE Warning
http://www.symantec.com/region/jp/sarcj/data/s/sulfnbk.exe_warning.html
※4:
W32.Magistr.24876@mm
http://www.symantec.com/region/jp/sarcj/data/w/w32.magistr.24876@mm.html
ウィンドウのボタンが文字化け
a:『ウィンドウのボタンが文字化けしています。ウィルスですか?』
b:『大丈夫です。それはウィルスではありません。』
・・・そうでしょうか?一般論を敵に回すようですが、
ウィルス感染している場合もあれば、そうでない場合もあるでしょう。
(ShellIconCache、ttfCache、marlett.ttf などの破損によって)
文字化けしているかしていないかということと、
システムファイルが何かのウィルスに感染しているかしていないかということとは、
本来別けて考える必要があります。
さもないと、わざと目に見える文字化けを起こしておいて、
『よかった、直った。』とユーザーを安心させた後、目に見えない影で何かをやらかす。
そんなウィルスが発生するかもしれません。
WindowsはDOSと違ってマルチタスクです。影で何かをできるのです。
やはり、システム全体のウィルススキャンを励行しましょう。
コンピュータウィルス感染の90%以上は電子メールによる?
そうかもしれませんが、
例えば、『たった今、ネットサーフィン中にコンピュータをウィルス感染させたよ』
というような人の耳元でこのフレーズを囁いて、果たして聞き入れてもらえるでしょうか?
といいますか、複合型脅威(Blended Threat)といって、ひとつのコンピュータウィルスが、
感染手口としては、「OSやアプリケーションの脆弱性」や「ユーザのうっかりミス」を、
感染媒体としては、「リムーバブルメディア(フロッピーディスクやCD-Rなど)」や
「Webページ」や「電子メール」などを、それぞれ複数組み合わせて悪用することが、
最近非常に多くなってきています。
このように、コンピュータウィルスの感染脅威度は、使用するマシン環境や
マシンの使い方、つまり、ユーザによってまったく異なってきます。
ユーザ各自は、
ご使用のコンピュータの OS や周辺コンポーネント等に纏わる脆弱性情報に、
絶えず注目していきましょう。
スキャンエンジンを常駐することの意義
爆発的に猛威を揮うウィルスは、ワクチンベンダーの定義ファイルができ、
それがリリースされる前に多くのユーザーに届いてしまうことがよくあるようです。
そうなったら、ユーザー個々がシステム全体をスキャンするしかありません。
一方、独自調査ですが、
POPサーバー内メールのウィルススキャンサービス利用を理由に、
ウィルス対策ソフトを手放すユーザーが増えてきたようです。
そういったユーザーが持つ個人のホームページが、
これからは危ない物の一つになると思われます。
ウィルスは必ずしも電子メール伝いにやってくるとは限りません。
見た目大事のホームページは、フラッシュムービーやチャットなどを多用し、
訪問者は、それが思うように表示されないからといって、
ActiveX コントロール等全開で無防備にネットサーフィンしたりします。
ウィルスは、そこを付け狙って、システムに侵入しようとします。
あるいは、BBSやチャットやメッセンジャーで興味を惹くメッセージがあると、
たとえ見知らぬドメインであっても衝動的にアクセスしてみたくなったり、
雑誌の付録に「ダウンロード支援」「無料」などの肩書きが付いたCD-ROMがあると、
とりあえずインストールしてみたくなったりするユーザーの既知の脆弱性も
大いに利用されてしまうことでしょう。
ならば、最後の砦はファイルを開く水際で御用とすること。
ウィルススキャンエンジンがコンピュータに常駐することの意義です。
『常駐しなくてもオンラインスキャンがあるさ?』
オンラインスキャン
は、ウィルス対策ソフトをインストールしてないマシンであっても、
Web上からウィルススキャンできる優れもの。ということもあって、
『ウィルススキャンエンジンを常駐しなくてもオンラインスキャンがあるさ。』
というユーザーさんがかなりな人数いらっしゃるようです。
しかし、実はオンラインスキャンでウィルスが検出されなかったからといって、
ウィルスがシステム内に存在しないとは断言できないのです。
例えば、多くのスキャンエンジンは、その仕様上、Outlook や Outlook Express の
受信済みメールをスキャンしません。
その理由は、受信しただけで添付ファイルがファイルとして展開されてない状態では、
たとえウィルスを検出できたとしても、メールアカウントそのもの(Outlook Express なら
.dbx拡張子ファイル、Outlook なら outlook.pstファイル)を削除せねばならないからです。
メールアカウントを削除されてしまったら、メーラーは正しく機能できません。
そこで、あえて検出しない仕様になっているのです。
このため、オンラインスキャンをしただけでは、
ウィルスメールを受信していても気付くことができないでしょう。
I-FRAMEの脆弱性を狙った、添付ファイルが存在しないメールなどは、
更に気付くことが困難でしょう。
このような流れから、オンラインスキャンが済んだからと安心(油断)して、
悪意あるメールや添付ファイルを開き、最悪、システムファイルやレジストリを
改ざんされてしまい、修復に手間をかけさせられることになるかもしれません。
しかも、次のスキャンまで、そうなっていることに気付かないかもしれません。
メール受信と同期して、透過proxy的にスキャンをする目的はここにあります。
(これを行わず、ファイルオープン時のスキャンのみに徹したエンジンもありますが、
それは一概にエンジンの優劣とは言えません。)
ウィルススキャンエンジン(全般)は、注意事項をよく読んで、
自己責任の範囲で上手に活用しましょう。
私個人的には、オンラインスキャンは、
・緊急時でローカルにスキャンエンジンをインストールしている余裕がない。
・インストールされているが、レトロウィルスによって正しくスキャンできない。
・とにかくウィルス対策ソフトを体験してみたい。
といった一時的な用途向きではないかと考えます。
ウィルス対策ソフトをインストールしたら安全か?
世間一般には、毒にもなれば薬にもなるプログラムファイルが
星の数ほどあります。それらは、ユーザーの自己責任において、
「薬」として使われることを前提としてリリースされているので、
ウィルス対策ソフトでは検出対象にされません。
たとえば、個人のWebサイトなどで配布されている自作物全般
(この中には、ダイヤルアップネットワークなど、
システムの設定を変更してしまうものもあるでしょう)。
あるいは、
社団法人 電子情報技術産業協会(JEITA) より:
パソコンの廃棄・譲渡時におけるハードディスク上のデータ消去に関するガイドライン
http://it.jeita.or.jp/perinfo/committee/pc/HDDdata/original.html
にて説明されている、(データ消去)専用ソフトなども、それに該当するでしょう。
そういった次元のお話しは、この際、論外とします。
・・・過去に、
IT Pro Nikkei BP Workplace より:
ウイルス対策ソフトの一部に「Sircam」ウイルスを検出できない不具合
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20010727/1/
なるものがありました。定義ファイル更新は当然のことですが、
スキャンエンジンも常に最新版にした上で活用することが重要です。
新しいウィルスは、常識を破った上で流行します。
Sircamは新しいウィルスパターン(レコード)というより、
新しい感染手口と考えるべきでしょう。
そのような手口の発生と、それへの対応を見るために、
常にワクチンベンダーの情報に注目していくべきでしょう。
また、別の意味でも、過信してはいけません。
ウィルス対策ソフトは、正常な論理の下で動作しているシェルが操る
一つのアプリケーションに過ぎません。
従って、正しくインストールされていて、かつ、正しく起動されていなければ
使い物になりません。
自己責任による定期的な動作確認、EICARテストファイルなどの活用。
作った人=メーカーのWebにて、バグレポート有無の定期的な確認、
必要に応じて、バグフィクス(パッチ)を入手、自己責任による、それの適用を。
同様、正常な論理の下でシェルが動作するためには、
OSやブラウザなどのセキュリティ設定の定期的な確認、見直しを。
メーカーのWebにて、バグレポート有無の定期的な確認、
必要に応じて、バグフィクス(パッチ)を入手、自己責任による、それの適用を。
その際、決して、個人などのミラーサイトからダウンロードしてはいけません。
どんなに手間がかかっても、オリジナルサイトからダウンロードするべきです。
可能であれば、チェックサムの確認を。
まかり間違っても、電子メールの添付を信じてはいけません。
情報を収集するには、ベンダーだけでなく、
第三者的立場のセキュリティ調査団体Web
への積極的な訪問も肝要でしょう。
パスワード式 Web コンテンツをフリーのサーバー上に配置しない
Windows の醍醐味のひとつに コピペ (copy and paste)がありますね。
何時間も何十時間もかけて作った文書、グラフなどを、任意のファイルの
任意の位置に自由に複製できたりして、とても重宝ですね。
さて、これが subject とどういう関係があるのでしょうか。
実は、Windows(+ Internet Explorer) ならではの、とても深い関係があるのです。
1.パスワード式 Web コンテンツのログイン時のセオリーのひとつに、
『パスワードをメモ帳等からコピペしてはいけない』 というのがあります。
ローカルコンピュータの中にパスワードが残ってしまうからというのが
理由のひとつに挙げられますが、もっと深刻な理由が他にあります。
2.それは、ネットワーキングすることによって、
「スクリプトによる貼り付け処理(※)」を用いてクリップボード上のデータを
まったく知らない無関係なリモートコンピュータに盗まれる可能性があるのです。
その上でリファラを探られれば、コンテンツURLとパスワードが揃ってしまい、
結局のところ、パスワード式 Web コンテンツの意味を成しません。
これにサイト管理者が注意したところで、Webはひとりのものではありません。
みんなで注意していても、誰かがいつか、コピペでログインしてしまうことでしょう。
3.そういった中、特に、フリーのホームページスペースの中には、
サーバーの設置・維持費用を契約ユーザが支払わなくていい代りに、
ページ上の広告バナー等を訪問者に効率よくクリックしてもらうために、
同じサーバーのユーザ同士で相互リンクし合っているケースが数多く見受けられます。
リンクをクリックした訪問先で、アクセス解析でリファラを記録されるのは
よくあることでしょう。ならば、クリップボードの中身を見られていないか、
そこが、ひとつの要注意ポイントになるのです。
4.これは単なる例え話で済ませてよいのでしょうか。
なりすました Web サイトによるフィッシングが深刻な問題になりつつある
ご時世です。大いに気をつけたいところではないでしょうか。
5.ここまで書きましたが、
Web は、パスワードをかけようがかけまいが公の場。
行先は他人の HDD であり、一度 Upload した物は事実上回収不可です。
プライベートなものは一切 Upload しないことが大前提の場なのでしょう。
※ 印:
産業技術総合研究所/ 高木 浩光 さんのWebより:
Internet Explorerの「スクリプトによる貼り付け処理」機能の能力を検証する
http://java-house.jp/%7Etakagi/security/misc/jscript-clipboard/test.html
好むと好まざるとに拘わらず、作られてしまう Cookie
好むと好まざるとに拘わらず、作られてしまう Cookie。
Webサイトにおけるスクリプト混入やクロスサイトスクリプティング脆弱性。
経済産業省より:
Cookie盗聴によるWebアプリケーションハイジャックの危険性への対応について
http://www.meti.go.jp/kohosys/press/0004378/0/030811cookie.html
TRUSNET/ セキュリティ関連情報 より:
セキュアWebプログラミング
http://www.trusnet.com/secinfo/docs/webprog1/index.html
自分(Webページ訪問者)だけがセキュリティに気をつけていれば
それで安全というものでもないようです。
ならばどうしましょう?
そういった性質のものであるからこそ、逆にWeb訪問者の側が Cookie の管理を。
一度作られてしまった Cookie は、確認ダイアログなしに、暗黙のうちに利用されます。
まずは、見覚えのない Cookie を(自己責任の下で)削除しましょう。
その上で、ダイアログを都度確認し、無防備にCookieを作らせないことから始めましょう。
SSLだから安全?
『このサイトはSSLで通信しているので安全です』
といったフレーズを、特定の場面でよく目にするでしょう。
しかし、SSLは第三者とのクロストークを回避して通信が行われるというだけのこと。
相手に渡ったデータがこれからどのように扱われるかは全く別問題です。
これから取引しようとするサイトのプライバシーポリシーなどを
しっかり確認することが肝要でしょう。
あるいは、あなたが所有するコンピュータであっても、その中に第三者のエージェントが
プラグインされているならば、SSLなど、まったく意味を成さないのかもしれません。
バックアップ&リストア
CD-ROMなどで入れ直しできないデータ類の定期的なバックアップを。
疑わしくなったら、さっさとOSごと入れ直し、最新バグフィクスをして、
データをリストアしてしまう。
これが一番簡単確実なセキュリティ対策であったりします。
コンピュータは人が造った家電品なので壊れやすいですが、
主要データ類のバックアップを励行していれば、
それこそ、軽いフットワークでホームコンピューティングできるのではないでしょうか。
廃棄・譲渡する際は、データを完全に消し去る。
パソコンというものは便利で、
日記やら家計簿やら、仕事の図面やら、打ち合わせ議事録やら...
いろいろ編集して保存しているでしょう。
ところで、一旦HDD上に保存されたそれらのデータは、
実はごみ箱から「削除」しても、完全には消し去られていません。
HDDをフォーマットしても残っていて、そのままパソコン(HDD)を譲渡すると、
譲渡先で、そのデータが復元される可能性があるというものです。
『データ消去の最終的な責任はエンドユーザにある』という、
JEITA のガイドラインを基に、パソコンメーカー・販売業者等は、
エンドユーザに対して、啓発活動を行っています。
わかりやすい解説をお求めの場合は、お使いのパソコン(HDD)の製品マニュアル、
または、メーカーのWebサイトでご覧ください。
一応、ご参考までに(リンク先は業界向け資料)、
社団法人 電子情報技術産業協会(JEITA)
パソコンの廃棄・譲渡時におけるハードディスク上のデータ消去に関するガイドライン/
エンドユーザへのデータ消去に関するご案内
http://it.jeita.or.jp/perinfo/committee/pc/HDDdata/5.html
『大丈夫でしょうか?』『大丈夫ですよ!』
a:『実は、PCを使って作業していたらこんなことがあったんですが、大丈夫でしょうか?』
b:『大丈夫ですよ!』
『大丈夫でしょうか?』と聞く人と『大丈夫ですよ!』と答える人では、
実はシステムの使い方が違う。ここに、落とし穴があります。
コンピュータは、システムは、
箱から出して電源を入れ、それを使い込んでいくと、
ユーザーの使い易いようにカスタマイズ
されていきます。
その結果、同じコンポーネント・アプリケーション構成だと仮定しても、
セキュリティの敷居値がユーザーによって全く違ってしまいます。
『大丈夫だ』と言っている人は、
「大丈夫なようにシステムをカスタマイズ」して、
「大丈夫な範囲を弁えて使っていること」を伝えなければならない。
そのプロセスを省略して結論だけ端折ってはならないでしょう。
「自己責任」
最後に、自己責任という言葉の再考を、ぜひ。
Aさんが自分自身に当てはめて考える責任と、他人がAさんに当てはめて考える責任。
この温度差が、種々のトラブルの主原因だったりしないでしょうか。
例えば、自サイトを「検索してください」としかアナウンスしない広告。
これで「なりすまし」を掴まされた人は、はたして「自己責任」の範疇なのでしょうか?
リーディングデザイナーの方々、再考されんことをひたすら切望するのみであります。
それから、
ごく希に、『お気に入りに入れました!』というようなメールを頂くことが
あるのですが、個人のWebサイトは、情報の信憑性自体疑問であるし、
いつ削除されていてもおかしくありません。
それよりも、『この情報をどこでどうやって手に入れたか。どうしていったらいいか。』
いわゆる、コンピュータ社会における危機管理に役立てて頂けたら幸いです。
当サイトの記事を見て少しでも危機感を持った方は、専門家のサイトで確かめて頂きたい。
目標は、「まとめサイト」とか「お役立ちサイト」とかではなく、専門家への橋渡しです。
|