ここでは、コンピュータウイルスとは何か、どのような種類があるか、手口、対策方法について記す。
※応用情報の午後大問1では、ここで出てくる用語が問われる問題が多い。選択肢があれば答えれるではなく、問われたら迷いなく言えるくらいに学習してもらいたい。
用語チェック
- マルウェア・・・悪意のあるソフトウェア
- トロイの木馬・・・無害と見せかけて侵入するマルウェア
- ワーム・・・自己増殖能力があるため、感染を拡大させてくるマルウェア
- キーロガー・・・キーボードに打った内容を勝手に記録するマルウェア
- ボット・・・他の攻撃の踏み台にしてくるマルウェア
- ランサムウェア・・・データを使用不可にし、復元の対価に代金を要求してくるマルウェア
- ドライブバイダウンロード・・・攻撃者が気付かれぬよう、ユーザーの端末にマルウェアのダウンロードとインストールを試みる攻撃
- ガンプラー・・・ドライブバイダウンロード+Webの改ざん
- 標的型攻撃・・・不特定多数ではなく、対象を絞り込んで攻撃を行う。
- APT・・・標的に対して継続的かつ長期間にわたって検知されない攻撃
- ビヘイビア法・・・マルウェアと思われるプログラムを実際に動作させて、挙動を調べる方法
- 水飲み場攻撃・・・攻撃対象が何度もアクセスする先にウイルスなどを仕掛け、該当のページやデータにアクセスするまで待ち伏せするサイバー攻撃の手法
- BYOD・・・私用のデバイスを許可を得て業務に使うこと
- シャドーIT・・・私用のデバイスを許可を得ずに業務に使うこと
コンピュータウイルスとは
コンピュータウイルスとは、コンピュータシステムに被害を与えるプログラムである。
また、コンピューターやその利用者に被害をもたらすことを目的とした、悪意のあるソフトウェアのことをマルウェアと呼ぶ。malicious(マリシャス:悪意のある)+software(ソフトウェア)
マルウェアの種類
| トロイの木馬 | 無害なプログラムやソフトのように偽装してPC内に侵入し、悪意のある動作を行うプログラム。単体で活動が可能だが、自己増殖はできない。 |
| ワーム | 自分自身で複製できる「自己複製能力」を持つことと、単独で活動しながら感染が拡大させるプログラム。 |
| キーロガー | キーボードの操作を不正に記録するプログラム。IDやパスワード、個人情報など入力した情報が知られてしまう。 |
| ボット | コンピュータを外部から踏み台にして遠隔操作するためのプログラム。DoS攻撃などの踏み台にされる。この、外部から指示を出すサーバをC&Cサーバと呼ぶ。 |
| ランサムウェア | データを暗号化などをして使用不可状態にし、復元の対価として代金を要求する。 ランサム=身代金 |
| ダウンローダ | 他の不正プログラムを勝手にダウンロードする。 |
| スパイウェア | 個人情報や履歴情報などを勝手に収集する。 |
| アドウェア | 画面に勝手に広告を表示すプログラム。使用規約に、広告の表示を求めるもののあり、一概に不正プログラムとは言えない。 |
| マクロウイルス | マクロ機能(自動化)を悪用する。データファイルに感染する。 |
マルウェア感染の経路・手口
マルウェアに感染する経路は様々なので、典型的なものを紹介する。
- 電子メールの感染した添付ファイルを開ける
- 外部記憶媒体からファイルをコピーする
- SNSに記載されたURLに飛ぶ
- Webサイトのファイル等のダウンロード
自らがダウンロードなどの操作を行わなくても、Webサイトを閲覧しただけで自動的にマルウェアうぃダウンロードして感染させる手口もある。これをドライブバイダウンロードという。
このドライブバイダウンロードとWebの改ざんを組み合わせて、多くのコンピュータにウイルスを感染させる攻撃方法をガンプラーという。
最近では、特定の企業や部門などターゲットを絞り込んで行う、標的型攻撃が増加している。
- 差出人のメールアドレスが偽造されている。(正: Higasi.gmal、偽: HIgasi.gmal)
- 件名や本文を、組織に関係ありそうなないようにする。(〇〇協会からのお知らせ、御社製品□□への問い合わせ)
ぱっと見ただけではわからない。このようなメールを使った手口は自分たちも被害に合う可能性があるので、気をつけよう。
メール以外の標的型攻撃の方法は、ターゲットがよく閲覧するWebサイトを改ざんして(ドライブバイダウンロードを仕込んで)、アクセスするのを待ち構える水飲み場攻撃がある。
標的型攻撃は、方法・品を変え、長期にわたって続けられる事が多い。このように「執拗に繰り返される、高度な標的型攻撃」のことをAPT(Advanced Persistent Threat)と呼ぶ。
Advanced Persistent Threat = 高度な 持続的 脅威
マルウェアを拡散させる方法として、ステガノグラフィというものがある。画像・音声データにメッセージを埋め込み、存在を知られることなく添付する技術である。
ウイルス対策ソフト
ウィルス対策ソフトとは、名前の通りコンピュータウイルス対策を行うソフトウェアの総称である。そのウイルス検出方法には次のようなものがある。
パターンマッチング
ウイルスの型(パターン)をシグネチャコードと呼び、パターンファイルに集めておき、それを参照してその型にあったウイルスを検出する方式。
パターンファイルに登録しないと検出できないので、新しいウイルスを検出できない。
そのため、パターンファイルはいつも最新の状態にすることが重要!!
その他の検出方法
| インテグリアティチェック法 | ディジタル署名などの認証技術を用いる。 |
| コンペア法 | 安全に保管されている原本と検査対象を比較する。 |
| チェックサム法 | 情報に符号(チェックサム)を用いる。 |
| ビヘイビア法 | ウイルスによって引き起こされる動作パターン(振舞い)を監視して検出する。 |
ビヘイビア法のようなプログラムの振舞いを観察する方法の場合、パターンファイルが定義されていない未知のウイルスも検出できる!
コンピュータウイルスの侵入・感染を防ぐ対策
- 添付ファイルやDLしたファイルは、ウイルス検査を行う
- セキュリティホールは早急に塞ぐ
- セキュリティパッチを適用する
- 復旧できるようにバックアップを取る
ウイルス感染時の対応
最初にすることは、インターネットから切断し、システム管理者に連絡すること。
他のウイルスの侵入や個人情報の漏えい、他の機器へのウイルス拡散といった被害を防げる。
システム管理者は、利用者からの報告を受けて、次の手順で作業を行う。
①ウイルスの駆除
ウイルス対策ソフトを用いて駆除する。
②システムの回復
破壊されたファイルの回復を試みる。回復不可能なら、バックアップファイルをコピーする。
③再発防止
コンピュータウイルスの侵入経路を暴いて対策を施す。
④公的機関へ連絡する
情報共有のため、公的機関へ連絡する。日本ではIPA(情報処理推進機構)
このように駆除を行うには、連絡や範囲の特定が必要不可欠である。そのため、現状把握が必須であり、ウイルスに感染したからと直ちにシステムを初期化するべきではない。
検疫ネットワーク
検疫ネットワークとは、一定のセキュリティ水準を満たすクライアント端末だけを本来のネットワーク(社内LAN)に接続させる仕組み&そのためのネットワークのこと。
PCに対する一般的な認証に加えてセキュリティ上の問題がないことを確認し、問題がある場合にはネットワークへの接続を拒否したり、問題を取り除いたりするシステムである。
接続先を切り替えるために、VLANやDHCPなどの技術が用いられる。
スマートデバイスのセキュリティ
スマートデバイスとは、スマートデバイスやタブレットなどの情報機器のことである。
最近の企業組織では、従業員が自分の携帯電話やPCなどを職場に持ち込み、許可を得て、業務で使用するBYOD(Bring Your Own Device)が増えてきている。
また、許可を得ずに業務に利用している私用のデバイスをシャドーITと呼ぶ。