ネスぺテキスト_６章：セキュリティー_マルウェアへの対策

１．マルウェアとは

悪意のあるソフトウェアのこと。スパイウェア（情報を不正に収集）、ランサムウェア（利用者のPCやデータをロックすることで身代金を要求）、アドウェア（利用者の意図しない広告を不正に実施）、ルートキット（不正アクセスをサポートするツール）、ボットなどを含む概念。コンピュータウイルスは規制タイプのマルウェアと言える。

２．コンピュータウイルスの分類

コンピュータウイルスの実体は、メモリや補助記憶装置に保存されるプログラム。自動的に増殖したり、システム内のデータを破壊するなどの挙動を示す。コンピュータウイルスを細かく分類すると、下記の３つに分かれる。

ウイルス（狭義）

他のプログラムに寄生す

ワーム

他のプログラムに依存せず、単独で破壊行動が可能

トロイの木馬

見かけ上は有用なプログラムとして動作するが、あるトリガーを仕掛けられると破壊活動や増殖を行う。

３．コンピュータウイルスの3機能

1990年に通商産業省（現経済産業省）の策定した、コンピュータウイルス対策基準において、次の3つの機能のうち１つ以上を持つものがウイルスとして定義されている。

コンピュータウイルスの3機能

・自己伝染機能

ウイルス自身の機能やOS、アプリケーションの機能を利用して、他のノードに自分のコピーを作成する機能。

・潜伏機能

ウイルスとしての機能を起動して発病するまでに、一定の期間や条件を定めてそれまで沈黙している機能。潜伏期間の長期化に伴って感染経路の特定が難しくなる。

・発病機能

メッセージの表示やファイルの破壊、個人情報の漏洩を実行する機能

４．ルートキット

情報システムを攻撃しようとする攻撃者が使うソフトウェアのセットのこと。複数のソフトウェアがパッケージングされている。

定期的な侵入のため、以下の特徴を持つ

・侵入の痕跡など、各種ログの削除

・悪意ある用途に使っているプロセスやタスクの隠蔽

・悪意ある用途に使ったファイルの隠蔽

・バックドアをつくり、次回以降の侵入を容易にする。

５．マルウェアへの対策

マルウェアへの効果的な対策として、ウイルスチェックソフトの導入があるが、万能ではないため、運用方法の工夫や他のツールと組み合わせることにより効果を増大させる必要がある。

主な対策方法は以下の通り。

ウイルスチェックソフトウェア

パターンファイルと呼ばれる、既存のマルウェアの特徴を記述したデータベースをもとに、ローカルノードに流れ込むデータを監視する。監視中のデータにマルウェアと同じパターンをもつデータが存在した場合にはユーザに通知する。また、定期的にHDDやメモリの感染チェックを行うことで感染の有無を確認する。

ウイルスチェックソフトウェアは、非常に高価的なソリューションである一方、構造的な問題点がある。

・パターンファイルに情報があるマルウェアしか検知できない

・亜種に対抗できない

・圧縮データに弱い

パターンファイルの更新を確実に行うため、強制的にパターンファイルをDLさせる機能や、クライアントのパターンファイルバージョンを管理するサーバソフトウェアなどによる対策が考えられている。

ネットワークからの遮断

マルウェアの感染経路を確実に断つことができる一方、ネットワークを通じたサービス提供が不可となる。高い信頼性を求められるシステムで採用されることが多い。（金融機関の機関システムなど）ネットワーク設計を行う際には、ネットワークにつなげる必要があるのかどうか、ポートを有効にしておく必要があるのかも含めて考えておく必要がある。

６．マルウェア感染後の対応

マルウェア感染リスクを０にすることは不可能であるため、ネットワーク管理者は万一の場合に備えて感染後の対応手順を作成しておく必要がある。

感染後の対応手順

・感染したシステムの利用停止

・ユーザへのアナウンス

・マルウェアと影響範囲の特定

・復旧手順の確立と復旧作業

・原因の特定と対応策の策定

・関係機関への届出

初動対応

マルウェアに感染した際にまず考えるべきは、2次感染の防止。原因の特定は後回しにして、後の解析で必要になるスナップショットを記録するだけにしておく。発見したユーザが単独で対処することで被害が拡大させてしまうことが多いため、管理者への通報を徹底させる。教育及び対応マニュアルの整備が必要。また、マルウェアに感染したことをユーザに通知することで、他に感染がないか確認する。

復旧

復旧作業中に2次感染を引き起こさないよう、完全に遮断された環境で復旧作業を行い、十分なチェックを行ったうえでネットワークに再接続する。

ダウンタイムを短縮しなければならないシステムにおいては、普段からイメージファイルを保存することで復旧を高速にする。

復旧手順は記録に残し、後日監査して再発防止策を策定できるようにする。口頭での指示や確認は最終的な被害を大きくする原因となるので注意が必要。

事後処理

復旧が済んだら、再発防止策の策定と実施、関係機関への通知を行う。

７．CVSS

Common Vulnerability Scoring Systemの略、共通脆弱性評価システム。ベンダーに依存しないオープンで包括的、汎用的な同一基準下の脆弱性評価方法。以下の基準に基づいて、脆弱性評価を行う。

CVSSにおける脆弱性評価基準

・基本評価基準

脆弱性の特性を評価する。機密性、完全性、可用性のCIAに対する影響を評価し、CVSS基本値を出力する。脆弱性固有の深刻度が分かる。固定値

・現状評価基準

脆弱性の現在の深刻度を評価する。攻撃コードの有無、対策の有無などを基準に評価し、CVSS現状値を出力する。脆弱性の現状がわかる。変動値

・環境評価基準

最終的な脆弱性の深刻度を評価する。利用者の利用環境が加味される。対象製品の使用状況や、二次災害の大きさなどを評価し、CVSS環境値を出力する。利用者が脆弱性にどう対応するかを表す。利用者ごとに変化する。