対ウイルス多層防御ガイド
第 1 章: 対ウイルス多層防御ガイドの紹介
公開日: 2004年9月7日
多くの組織がウイルス対策ソフトウェアを展開していますが、新たなウイルス、ワーム、他の形態の "マルウェア" (悪意のあるソフトウェア) は、多くのコンピュータ システムに急速に感染し続けています。この明らかな矛盾に理由などありませんが、基本的な傾向は、システムが感染した組織の IT 専門家およびセキュリティ スタッフからマイクロソフトが得たフィードバックによって明白です。受け取ったコメントには次のようなものがありました。
"何度も警告したにもかかわらず、ユーザーが電子メールの添付ファイルを実行した。"
"ウイルス対策ソフトウェアで検出するはずであったのに、このウイルスの定義がまだインストールされていなかった。"
"これがファイアウォールを通り抜けるとは考えられなかった。これらのポートが攻撃される可能性があることにさえ気付いていなかった。"
"サーバーに修正プログラムを適用する必要があるということに気づいていなかった。"
最近の攻撃が成功するのは、組織内の各コンピュータにウイルス対策ソフトウェアを展開するという標準的な方法では十分でない可能性があることを示唆しています。最近の感染は、発見、特定、および攻撃からの保護を行うウイルス対策ツールを配信しているソフトウェア業界の能力を超えて、驚くほどの速さで広がっています。最新の形態のマルウェアが示す技術もさらに高度になっており、最近感染したケースでは、マルウェアは検出されずに広がっています。このような技術には、次のものがあります。
ソーシャル エンジニアリング: 多くの攻撃は、システム管理者または公式のサービスからの指示に見せかけ、エンド ユーザーにその攻撃を実行させシステムを感染させる可能性を高めるといった手口が使われます。
バックドアの作成: 最近の感染の大多数は、ハッカーがシステムに何度もアクセスできるようにするために、既に感染しているシステムに対する承認されていないアクセス形式を何らかの形で開こうとします。このように繰り返されるアクセスにより、システムに新たなマルウェアを感染させ、それらのシステムを DDoS 攻撃の「ゾンビ」として使用したり、ハッカーが望むコードを実行させるのに使われます。
電子メール アドレス盗用: 感染したシステムから取り込んだ電子メール アドレスは、マルウェア プログラムが自分自身を他の被害者に転送するために使用されますが、マルウェア作成者がアドレスを収集する場合もあります。マルウェア作成者は、取得したアドレスを使用して新しいマルウェアの変種を送信したり、他のマルウェア作成者の持つツールやウイルス ソース コードと交換する場合もあります。また、スパム メールの作成に関心のあるユーザーに売り払う可能性もあります。
埋め込まれた電子メール エンジン: 電子メールは、マルウェア伝搬の主要な手段です。現在の多様な形態のマルウェアでは、悪質なコードを短時間で伝搬できるように、また簡単に検出できる異常なアクティビティが作成されにくいように、電子メール エンジンが埋め込まれています。不法なマス メーラーは、感染させたシステムのバックドアをすぐに悪用し、このような機会を逃がさずに電子メール エンジンを使用します。昨年発生したスパム メールの大多数は、このようにして感染したシステムを介して送信されたものと思われます。
製品の脆弱性の悪用: マルウェアは、伝搬する製品の脆弱性を利用していることが多く、悪質なコードの拡散がさらに加速されます。
新しいインターネット テクノロジの悪用: 新しいインターネット ツールが使用できるようになると、マルウェア作成者は、それらのツールをすぐに調査してどのように悪用できるかを判断します。最近では、インスタント メッセージングおよびピア ツー ピア (P2P) のネットワークが、そのための攻撃経路になっています。
このようなマルウェアの用語および技術については、このガイドの次の章を参照してください。
マイクロソフトは、作成するアプリケーションをセキュリティ保護すること、およびパートナーと連携してマルウェアの脅威に対処することを強く約束しています。このような脅威の影響を軽減する最近のマイクロソフトの取り組みは、次のとおりです。
ウイルス対策ベンダと密接に連携した Virus Information Alliance (VIA) の結成: VIA の加盟メンバーは、ターゲット、影響、および改善の情報を顧客に迅速に伝達できるように、新しく検出されたマルウェアに関する技術情報を交換します。VIA の詳細については、次のサイトで Microsoft® TechNet の「Virus Information Alliance (VIA)」ページ (英語) を参照してください。https://technet.microsoft.com/security/cc165596.aspx
Microsoft Windows® プラットフォームのセキュリティ保護に役立つ Active Protection Technology、Dynamic System Protection などの新しいセキュリティ テクノロジの調査: このような取り組みの詳細については、次の Microsoft.com サイトで RSA Conference 2004 におけるビル ゲイツの寸評 (英語) を参照してください。 https://www.microsoft.com/presspass/press/2004/feb04/02-24RSA2004KeynotePR.mspx
スパムを排除する法律のサポート、およびスパム運用の訴追に役立つ司法当局やインターネット サービス プロバイダ (ISP) との連携: この取り組みのための提携については、次の Microsoft.com サイトで「America Online, Microsoft and Yahoo! Join Forces Against Spam」 (英語) を参照してください。https://www.microsoft.com/presspass/press/2003/apr03/04-28JoinForcesAntispamPR.asp
Antivirus Reward Program の発表、およびマルウェア作成者からのこのような脅威を軽減するための司法当局との密接な連携: Antivirus Reward Program の詳細については、次の Microsoft.com サイトの「Microsoft Announces Antivirus Reward Program」ページ (英語) を参照してください。https://www.microsoft.com/presspass/press/2003/nov03/11-05AntiVirusRewardsPR.asp
マイクロソフトは、インフラストラクチャ内でウイルス対策の実施を検討する必要のあるすべての重要な部分を確認できるようにするため、このセキュリティ ガイダンスを作成しました。ご使用の環境で感染が発生した場合の対処方法および復旧方法に関する情報も提供しています。
トピック
概要
「ウイルス対策多層防御ガイド」は、次の 4 つの章で構成されます。
第 1 章: 対ウイルス多層防御の紹介
この章では、このガイドの概要、マルウェアの用語と技術の説明、および各章の概要と対象読者について説明します。
第 2 章: マルウェアの脅威
この章では、各種のマルウェアについて説明し、このカテゴリに含まれるプログラムの種類および除外されるプログラムの種類を示します。また、マルウェアの特性、攻撃経路、伝搬の手段についても説明します。
第 3 章: 対ウイルス多層防御
この章では、クライアント、サーバー、およびネットワーク インフラストラクチャの総合的なウイルス対策を確立する場合の考慮事項について詳しく説明します。また、全体的なセキュリティ計画をまとめる場合の考慮事項として、ユーザー ポリシーおよび一般的な安全対策についても説明します。
第 4 章: 感染拡大防止と復旧
この章では、業界の最善事例とマイクロソフトの内部運用に基づいて、マルウェア攻撃のリスクを軽減するための手順、およびマルウェア攻撃を受けたシステムを復旧する手順について説明します。
対象読者
このガイドは、主に IT スタッフおよびセキュリティ スタッフが、マルウェアによる脅威や、これらの脅威を防御する方法、およびマルウェア攻撃が発生したときに迅速かつ適切に対応する方法について、十分に理解できるようにすることを目的としています。
このガイダンスでは、複数のクライアントおよびサーバーで構成されるシステム全体に対するウイルス対策の考慮事項について詳しく説明しますが、1 つのサーバーで事業全体を運営する組織にも適用できます。防御策の各考慮事項は、ご使用の環境をマルウェア攻撃による脅威から保護するための考慮事項です。そのため、あらゆる規模の組織に適しています。推奨対策 (システム監視、管理など) の中には、一部の組織の範囲やニーズを越えているものもあります。ただし、このガイドを作成したチームは、ユーザーの関心事が、対策を入念にレビューしながらも、今日世界中のコンピュータ システムにマルウェアがもたらすリスクの特徴を十分に理解することであると確信しています。
このガイドで使用されている表記規則
次の表に、「対ウイルス多層防御ガイド」で使用されている表記規則を示します。.
表 1.1: 表記規則
| 要素 | 意味 |
|---|---|
| 太字 | ファイル名は太字で表記します。 |
| 斜体、<斜体> - または - "" |
斜体は、ユーザーが入力する文字や、ユーザーによる変更が可能な文字を示します。山かっこ内の斜体文字は、ユーザーが特定の値を指定する必要がある変数のプレースホルダを表します。例: <Filename.ext> は、斜体の filename.ext 部分を、ご使用の構成に適した別のファイル名で置換する必要があることを示します。 "" は、新しい用語を表す場合に使用します。例:
"デジタル身分証明": 人、グループ、デバイス、またはサービスの固有の ID と記述属性。 |
| スクリーン テキスト フォント | このフォントは、画面に表示される出力テキストを示します。 |
| Monospace コード フォント | このフォントは、コード サンプルを示します。例: public override void Install(IDictionary savedState) |
| Monospace コマンド フォント | このフォントは、ユーザーがコマンド プロンプトで入力するコマンド、スイッチ、および属性を示します。例: コマンド プロンプトで、次のコマンドを入力します。 CScript SetUrlAuth.vbs |
| %SystemRoot% | Windows オペレーティング システムがインストールされているフォルダ。 |
| 注: | 読者に補足情報を示します。 |
| 重要: | タスクの完了に不可欠な補足情報を読者に示します。 |
| 注意: | 特定のアクションに失敗した場合や、そのアクションを行わなかった場合にデータを失うおそれがあることを読者に警告します。 |
| 警告: | 特定のアクションに失敗した場合や、そのアクションを行わなかった場合にユーザーやハードウェアに物理的な害が及ぶおそれがあることを読者に警告します。 |