そのときどうするウイルス感染(前編)

おとり実験では未知多数

 現実にはマイクロソフトがセキュリティホールを発見して公開した後、それを悪用したウイルスが作られるケースが圧倒的に多い。 同社があえてセキュリティホールを公開するのは危険を知らしめるためで、黙っていてウイルス作者に利用されるのが一番マズい。 もちろん公開する際は、必ずそれを修正するプログラムが提供される。 セキュリティホールが公開される以上、ユーザーとしてはWindows Updateが欠かせない。

 セキュリティホールを放置するとどうなるか、面白い実験がある。 2005年4 ~5 月にJPCERT/CC やTelecom-ISAC JAPANなどが共同で実施した“おとり実験”だ。 セキュリティホールを放置したコンピューターを多数用意してインターネットにさらしておいた。 感染したウイルスの総数は3万件以上で、うち3537件が未知のものだった(図19)。 だが興味深いのは数より種類。 3705種類のうち何と2938件が未知だったのだ。Windows Updateを怠ると、未知のウイルスにネットから侵入される可能性は意外に高いといえる。

●ウイルスの1割は未知のもの

図19 おとりコンピューターを使ったボットの実態調査。おとりを使ってとらえたウイルスのうち1割程度は、まだパターンファイルが提供されていない未知のものだった。2005年4月1日~5月12日に JPCERT/CC、Telecom- ISACなど国内のセキュリティ関連団体/企業が協力して調査

 余談になるが、先のおとり実験で感染したウイルスの約8割はボット(bot)だった。これは感染したパソコンをネットから遠隔操作する目的のウイルス。 感染したら何をされるか分からないからコワい。

 第一章で述べたように、ネットからウイルスが侵入してくるケースはセキュリティホールがある場合に限られる。 言い換えれば、WindowsUpdateをきちんとやっておけばネット侵入の危険は低い。

未知対策はネットから

 また、ブロードバンドルーターやパーソナルファイアウオールはネットからの侵入防止に極めて有効だ。 前者はパソコンをネットに直結せず、後者はネットとのやり取りに強い制約を加える(図20、図21)。 ウイルスがパソコンへの侵入を試みても、アクセス自体ができないため失敗に終わる。 いずれにせよ、ネットからの侵入を防いでおけば、未知のウイルスに感染する可能性はかなり低くなる。 感染するとしたら、メールを見ただけで感染するなどネット以外のセキュリティホールがあった場合か、ユーザー自らがウイルスファイルを実行してしまうケースしかない。 現実には後者がほとんどだ。

 さて、完璧くんの話はこれくらいにしよう。問題は、対策ソフトの常駐機能がオフでWindows Updateも怠っているようなダメダメくんだ。 完璧くんですら感染の可能性がゼロではないのに、ダメダメくんは「ようこそウイルスさん」状態。 未知とか既知とかの議論は後回しだ。

●パーソナルファイアウオールでネットからの侵入を防ぐ

図20 Windows XP Service Pack 2(SP2)は標準でファイアウオールがオン。コントロールパネ ルの「Windowsファイアウオール」を開くと確認できる(左)。一方、SP1では手動でオンに設定する必要がある。コントロールパネルの「ネットワーク接続」で「ローカルエリア接続」のプロパティを開き、「詳細設定」タブで当該項目にチェックを入れる(右)

●ウイルス対策ソフトにも付属

図21 最近の統合型ウイルス対策ソフト(スイート型のセキュリティソフト)はパーソナルファイアウオール機能も備えている。Windows標準のものより高機能なので、こちらを使っても全く問題ない

既に感染済みの心構えで

 とにかく、ウイルス対策ソフトのパターンファイルを更新したうえで、ハードディスクをスキャンしてみることだ。 ただし、感染の可能性が完璧くんよりずっと濃厚なだけに、慎重にやる必要がある(図22)。 理想をいえば既に感染しているという前提で作業を進めたい。

●ダメダメくんから完璧くんへの道

図22 ウイルス対策を全くしていないダメダメくんが、完璧くんと同じ環境を手にいれるまでの作業の流れ。もし、作業途中でウイルス感染が判明したら第五章へ

 まずインターネット接続環境を確認してほしい。ブロードバンドルーターがあるかどうかだ。 あればネットから感染している可能性は低い。 もしネット直結だったら感染の可能性大だ。セキュリティホールをほったらかしのうえ常駐機能オフでネット直結など、ダメダメくんを通り越した“特攻くん”である。怪しい添付ファイルを開いたり、いかがわしいサイトで怪しいリンクをクリックした覚えがないかも思い出してほしい。 もし覚えがあれば、ウイルス感染の疑いはますます深まる。

 感染の疑いが濃いなら、感染や被害のさらなる拡大を防ぐところから始めたい。 もしブロードバンドルーターがないなら、パーソナルファイアウオールをオンにしよう(WindowsXP SP2は標準でオン、SP1はオフ)。 取りあえずこれで、ネットからの侵入はほぼ防げる。 そうしたらWindows Updateを実行してセキュリティホールを修正しよう(自動更新もオンに)。 もしSP1のままだったら、その際にSP2にアップデートした方がいい。

 実はSP2は、最近のNX機能搭載CPUと一緒に使えば未知のセキュリティホールにある程度対応できる。SP2はむしろダメダメくんにこそ使ってほしい。

救いはリカバリーのみ

 以上が済んだらウイルス対策ソフトを起動する。持っていないとか、使用期限が切れているとかいう“スーパーダメダメくん”は第七章を読んでいただきたい。 起動したらパターンファイルを更新してハードディスクをスキャンする。 終わったら常駐機能とパターンファイルの自動更新をオンするのを忘れずに。 なお、ウイルスの中にはWindows Updateやパターンファイルの更新を妨害するやからもいる。 これについては第六章を参照してほしい。

 もしウイルスが発見されても、既知のものなら対策ソフトが退治してくれる。 問題は未知のウイルスだ。 ダブルクリックして感染する危険は完璧くんでも同じだが、ダメダメくんはネットから侵入されている可能性が高い。 もし、ネット侵入タイプの既知のウイルスがいくつか見つかったら、未知のウイルスにも侵入されていると考えるのが妥当だろう。 前述したようにこれを検出する手段はない。御愁傷様だがリカバリーするのが無難だ。

 奇跡的にウイルスが何も見つからなくても、それは既知のウイルスに限るという認識が必要だ。 ダメダメくんが100%の安心を得るには、リカバリーしかないのである。 リカバリー後、第一章で述べた完璧くんの“水際防止策”を講じて、同じ轍を踏まないように心掛けてほしい。

 買ったばかりのパソコンでも似たような注意点がある。製造後にセキュリティホールや新種のウイルスが発見されるケースが多々あるのだ。 買ったらすぐにWindows Updateを実行し(自動更新はオンに)、ウイルス対策ソフトの設定を確認しよう。



日経パソコン(2005年12月12日号)
日経パソコン(2005年12月12日号)より

 上記の記事「そのときどうするウイルス感染」は,『日経パソコン』2005年12月12日号に掲載された特集です。
 『日経パソコン』は、ハード、ソフト、インターネット、サービスの最新動向から使いこなしにいたるまで、パソコンを仕事と生活に活用するユーザーのためのパソコン総合誌です。『日経パソコン』のコンテンツや最新号の記事エッセンスなどについては,こちらのサイトでご覧いただけます。
 『日経パソコン』の年間ご購読の申し込みは,こちらで承っておりますので,どうぞよろしく願い致します。

SAFETY JAPAN メール

日経BP社の書籍購入や雑誌の定期購読は、便利な日経BP書店で。オンラインで24時間承っています。