暮らし
進化するコンピュータウイルス
林田力2009/11/13
|
コンピュータウイルスは日々進化している。コンピュータウイルスを発見・駆除するためのオーソドックな手法はウイルス対策ソフトの利用である。ウイルス定義ファイルを最新にして、ウイルス検査を実施することで大抵のウイルスは発見できる。ウイルス対策ベンダーの多くはオンラインスキャンを提供しており、ウイルス対策ソフトを購入しなくても、スキャンは可能である。しかし、ウイルス対策ソフトでは発見できない巧妙なウイルスも続々開発されている。たとえば以下のようなウイルスが登場している。 第一に迷惑メールの送信頻度を抑えることなどによって、自身の発見を逃れるものがある。 第二に頻繁に自身のコードを更新することで、パターンマッチング方式のウイルス対策ソフトによる検知を難しくする仕組みを持つものがある。 第三にrootkitのように関連するファイルやプロセス情報をOSから見えなくする仕組みを持つものもある。これはシステムコールを横取りして、その応答を偽装することによって実現する。 コンピュータウイルスの中でも厄介なものがボット(BOT)である。ボットに感染したコンピュータは、攻撃者が用意した指令サーバなどに自動的に接続され、外部からの指示に従って内蔵された処理(迷惑メールの送信やDDoS攻撃など)を実行する。ボットに感染されたコンピュータを放置することは、犯罪の踏み台にされ、加害者にさせられてしまいかねない。 従来型のウイルスは感染したコンピュータに不具合を起こすため、使用者は最終的には感染に気付く。たとえばアイコンを「お祈りパンダ」(線香を持って祈るパンダ)に変えてしまうウイルスなどである。使用者にとって気付いた時には手遅れであることが多いとしても、その時点で感染の拡大は防止できる。 これに対してボットは使用者が気付かないようにコンピュータを支配して悪さをする。使用者が気付かないために対策されず、ウイルスが拡散してしまう。現実世界のウイルスでも致死性の高いエボラ出血熱よりも致死性の低い新型インフルエンザの方が広範囲に流行している。 ボットの多くはInternet Relay Chat(IRC)を使って通信を行う。IRC通信は大抵、TCPポート6667を使用する。ネットワークアナライザでIRC通信を監視することで、ボットに感染したPCを発見できる可能性がある。しかし、ボットには指令を含む通信の発見を逃れるために通信を暗号化するものや通信ポートを変えるものもあるため、完璧ではない。 ウイルスは感染を広げるためにメール送信機能があるものが多い。メールの送信には、ウイルス自身がメール送信機能を有しており、直接宛先に送信する場合と、外部のメールサーバを利用して送信する場合とがある。前者については、組織内で感染PCが出た場合、ファイアウォールで社内LANからインターネットへのSMTPプロトコルの通信を禁止しておけば組織外へのウイルスメール送信を防止できる。 後者はメールサーバの管理者がSMTP AUTH方式またはPOP before SMTP方式を設定することが対策になる。SMTP AUTHはメール送信時にパスワードによる認証を実施する方式である。POP before SMTPはPOP認証が成功した後の一定時間内だけメールの送信を可能にする。SMTP AUTH方式にはPCのメールソフトが対応している必要がある。これに対して、POP before SMTP方式はメールソフトに依存せず利用可能である。但し、いずれの方式もPCに保存されているメールサーバのアカウント情報を盗用するウイルスには効果がない。 |
気軽な「オムニバス」欄にご投稿を
- 投稿条件は市民記者登録を済ませていること、これだけです。
- テーマを問いません。JanJanニュースに向かないエッセーも歓迎します。
- 原則として編集部の手が入りません。(「編集」して文意を直したりしませんが、明らかな誤字・脱字や基本的な表記上の約束ごと程度は、編集部で直すことがあります。また、タイトルは、記事内容をよりよく反映するように変えることがあります。)
- タイトル欄に「オムニバス」と明記し記事投稿画面から投稿して下さい。
- 記者登録時の『JanJan』市民記者規約に反する記事は掲載しません。
もっと見たい場合や、他のサイトでの検索結果もごらんになるには右のボタンをクリックしてください。