セキュリティ コラム - 止まらないウイルスの増大、進化をとげるマイクロソフトの技術
公開日: 2004年10月27日
マイクロソフト株式会社 セキュリティ レスポンス チーム マネージャ 奥天 陽司
.jpg) |
皆様こんにちは。マイクロソフト セキュリティ レスポンス チーム マネージャの奥天です。 セキュリティニュースレターをご購読していただき、ありがとうございます。日々、緊急性の高い仕事に追われていると、こういったコラムの原稿を書くのがとても前向きな仕事に感じます。 マイクロソフトは、ソフトウェアを開発し提供することで、コンピュータを通じて皆さんの生活を便利で豊かに、仕事を効率的に行うことを会社の目標としています。しかし、昨今のウイルスなど攻撃プログラムにより逆にコンピュータが危険な存在と評価されることを、黙って見過ごすことはできません。そのために様々な取り組みを現在おこなっています。日本法人においても独自の取り組みを行っています。 |
今後、このコラムでは、マイクロソフトが行っている以下の取り組みを紹介してまいります。
ウイルスの増大とマイクロソフトの取り組み
わかりやすい情報提供について
脆弱性の発見と、マイクロソフトの対応
更新プログラムの品質向上に向けて
情報リテラシの向上への取り組み
犯罪対策への業界の団結
まず第一回は、ウイルスの増大とマイクロソフトの取り組みについてです。
ウイルスの進化
コンピュータ ウイルスと呼ばれるソフトウェアは、まだパソコンがフロッピー ディスクで動作していた時代に登場していたことをご存知でしょうか?それは、ほとんどコンセプトと言われる実験用だったと言われています。それが急激に被害となって現実化したのは、今では当たり前のハードディスク搭載型コンピュータが一般化したことが引き金だったと言われています。もともとコンピュータの実行プログラムに寄生するタイプのウイルスは、動作原理がシンプルでした。ただ、感染活動を円滑に行うために常に寄生先のコンピュータへ接続され、動作しているデバイスが必要だったわけです。程なく、アプリケーションというべき実行ファイルから、システム ファイルへ、そしてマスター ブート レコード、最終的にコンピュータの BIOS へ感染を広げるようになりました。
これらはフロッピーやハードディスクの接続による電子媒体を介したものであったため感染のスピードが遅く、経路も非常に限られていたためそれほど多くの被害を出していなかったわけですが、とはいえパソコンの使用用途が今のようにしっかりとした著作権に関する認知も無い時代でしたから、ソフトウェアをコピーして受け渡すなどが日常的に行われおり、その結果、人知れず感染の被害が広がっていました。
昔からパソコンを使用している方は懐かしく思うでしょうが、ウイルス発病カレンダーといったものがもてはやされていた時代がありました。しかし過去の遺物ではなく、未だにこのカレンダーは有効です。なぜなら、感染しているコンピュータが動作し続けているためです。これらのウイルスは、最後の感染コンピュータが停止するまで生き続け、決して自然治癒することはありません。
発病する条件が揃うと画面に救急車を登場させたり、音楽を鳴らしたり、画面上の文字を正しく表示させなくなったり。このように、明らかに話題性を狙ったのがこの時代のウイルスの特徴でした。
しかし次の世代になると、Microsoft Office のマクロ機能など、コンテンツと思われていた文書ファイルに感染させるものが増えてきました。明らかに感染台数を増加させる試みでしょうが、Office の文書を、その昔のパソコン通信や、電子メールなどで共有したときに、その Office ソフトウェアが感染してゆくのです。このマクロ機能を悪用したウイルスは、当初究極のウイルスなどと評されていました。なぜなら、それまでの実行ファイルへの感染だったものが、ほとんどの人が気にもかけない文書ファイルでの感染が行われるのですから、当時の技術者も驚いたのです。
とはいえ、文書ファイルを介さないと感染を広げられないのは、要するに Office ソフトウェアを使用している人、たとえば知り合いに対して攻撃を仕掛けなければならないわけです。もちろん会社に対しての攻撃として考えると、ネットワーク上の共有フォルダに保存するなど、リアクティブな感染方法もありますが…。これでは短期での感染拡大は見込まれないわけです。
そこで次に主流になったのが、電子メールで送信されるウイルスです。これは実行ファイルそのもの、もしくは実行ファイルへのリンクをメールで送り、それを実行させるというものです。もちろん、単純にメールで送信をしていてもなかなか表示や実行をしてくれないため、彼らは考えました。1 つはソーシャル エンジニアリングの手法、もう 1 つは製品のセキュリティに対する弱みを悪用するものです。ソーシャル エンジニアリングとは、人間の心の弱みに付け込むものです。たとえば、世界的に人気のあるアーティストの画像やソフトウェアの無償提供など、人が飛びつく話題を使います。感染活動を行うときに送信する電子メールの送信元を感染者自身にして安心させたり、別のユーザーのメールアドレスを使用したりしています。セキュリティの弱みを悪用するタイプのウイルスは、メール ソフトウェアの使用者に何も面倒なことを行わせずに感染を広げるものです。これで、ネットワークを介した大規模感染被害の下地はでき上がりました。
そして今の状況ですが、既にご存知のように、ワームと呼ばれるウイルスの種類が被害を出しています。これは、電子メールなどといった感染手法を用いず、現実の世界のウイルスのように、空気感染に近い概念の攻撃になります。製品のセキュリティ上の弱点を悪用し、1 台から複数台への感染を試みるものです。もともとワームは、限られたネットワーク上で他のコンピュータの診断、修復を行うための自動ロボットとして開発されたのですが、このコンセプトが不正な用途に使用されてしまったわけです。
被害の認知
実は、日本ではコンピュータ ウイルスの被害はなかなか表沙汰にならない状況が続きました。理由は、企業が感染の被害を公表するような時代ではなかったということです。唯一、会社のメール クライアントから感染したウイルス メールが送信され、送信者がそのまま送られてしまったときに外部に知られてしまうといったものでした。
しかし、2001 年の CodeRed や Nimda によるインターネットを介した感染被害が一気に脚光を浴びることになりました。いずれも特徴的なことは、Web サイトの改ざんと、バッファオーバーフローいうキーワードです。2001 年には既に、インターネット上の Web サイトは、多くの会社の看板としての役割を担っていました。この看板がウイルスにより問題のある内容に書き換えられてしまうことになったのです。さすがにこのような被害は人々の間に知れ渡り、ワームという攻撃プログラムの実態が明らかになってきました。特に Nimda は、ハイブリッド型のワームとして、様々な攻撃の手法を保持していたのです。被害にあった日本の企業としては、今後発生するやも知れない更なる大規模な感染被害を思うと苦い経験でしたが、その後の教訓にすることができました。2003 年の Blaster や 2004 年の Sasser の際に、クライアントへの攻撃が大規模な被害を引き起こす前に対策を本格的に行えたのですから。事実、Nimda などの被害を受けた企業では、Blaster や Sasser の被害が非常に少なかったのです。
この時期から、企業などに “IT ガバナンス” などという言葉と共に “最高情報責任者 (CIO)” という役職が増えてきました。
しかし、個人のパソコン使用者は、継続的な啓発活動を行わない限り、セキュリティへの意識が根付くことは難しく、それがセキュリティ対策を進める上で阻害している 1 つの理由にもなっています。
マイクロソフトの進化
コンピュータ ウイルスが凶悪化していることと、製品の弱点を突いてきている現実を受け、マイクロソフトでも全面的にセキュリティ対策に乗り出しました。とはいえ、CodeRed などの段階では、実は日本以外の国ではそれほど深刻に受け止めていなかったのです。日本では、24 時間体制の対応窓口を組織し、問題の発覚から 2 日後には対策資料を独自に作成しています。同じく Nimda に関しては、ウイルス対策メーカーとの協力により、ウイルスの動作に関しては早期に、具体的な対策手順なども数時間後には Web に公開するなどの対策を行ってきています。米国本社においては、Nimda の対策から非常に危機感を持って対策を本格的に行いました。
製品の弱点を突く攻撃が増えるに従い、マイクロソフトにはセキュリティ更新プログラムを早く公開し、適用してもらえば問題が発生しないのではないか、という考えがありました。そこで、2001 年には Security Tool Kit と呼ぶセキュリティ更新プログラムの適用を手助けするツール群を無償で提供しました。また、2002 年には Microsoft Baseline Security Analyzer 1.0 (MBSA) やSoftware Update Services 1.0 (SUS) を提供し、さらに IT 管理者の方がコストを抑えたセキュリティ更新プログラムの配布ソリューションを提供しました。これらの Tool により更新プログラムの適用率が向上しましたが、新たにいくつかの問題が浮かび上がってきました。
まず、更新プログラムの他のソフトウェアへの影響などが問題視されました。これにより、更新プログラムの開発をより慎重に行い、十分なテストを行うようプロセスを改善し、今現在も改善を進めている最中なのです。
また、Webやメールでの告知を行い、日本でも報道の協力を得て広い告知を行っていますが、一般のユーザーには残念ながら認知度は上がりませんでした。
さらに、コンピュータの弱点を悪用しているウイルスだけではなく、単純な添付ファイル型のメール ウイルスが被害を広げているのが現状であり、うっかりミスや危険さの理解が進んでいないことが明らかになりました。
結果的に、更新プログラムだけでは対策が進まないという認識となり、多層防御という概念を導入するに至りました。
現在マイクロソフトとして課題と考えているのは、以下の通りです。
いかに緊急連絡を多くのお客様に届けるのか
早期に情報を集め、お客様に対策情報を提供するには
セキュリティ上の弱点にたいして積極的に対応するには
更新プログラムの適用による影響度を軽減するには
企業、個人ユーザーの情報セキュリティへの認知度を向上するには
業界全体の課題として対策する体制を作れるのか
今後は、それぞれの対策に関してのお話しをしていきたいと思います。
.jpg)
この記事は、マイクロソフト セキュリティ ニュースレターで配信しました。