セキュリティ対策の心得、基礎の基礎5カ条
第2回:不正プログラムの入り口(メールとインスタントメッセンジャー)
前回は「不正プログラムとは」というテーマで、不正プログラムが使用するファイル偽装、アイコン偽装の手口およびそれらを見破る手法を紹介しました。今回は、それら不正ファイルがどのようにユーザーのもとに届くのか、その送信の手口をいくつか紹介します。
まず、トレンドマイクロの企業ユーザー向けネットワーク監視製品で2009年上半期に検出した不正な通信のうち、通信プロトコル別の割合を見てみましょう。
プロトコルとは、ネットワークを通じてコンピュータ同士が通信を行う際のあらかじめ決められた手順です。たとえばWebサイト上のコンテンツをやり取りするにはHTTP(Hyper Text Transfer Protocol)というプロトコル、電子メールの送信を行うにはSMTP(Simple Mail Transfer Protocol)というプロトコルを使用するといった具合です。
不正な通信に使用されているプロトコルを監視することによって、Webを悪用して不正プログラムがユーザーのもとにダウンロードされているか、電子メールを悪用して不正プログラムがユーザーのもとに届いているかなどがわかります。
図1 不正通信のプロトコル別の割合 |
通信プロトコル別の割合では、HTTPを使用した攻撃が37.3%と、「Webからの脅威」が猛威を振るうなか、実はSMTPを使用した不正通信の割合が45.4%と最も高いことが確認できます。(「Webからの脅威」については、第3回の記事で解説します)。
それでは、「メールからの脅威」といえるこれらの不正通信は、主にどのようなものなのでしょうか。今回は、日常のコミュニケーションツールとして使用される電子メールに加えて、インスタントメッセンジャーを安全に使用するための基礎の基礎5カ条を紹介します。
第1条 不正プログラムの可能性があるメールの添付ファイルを表示しないようにする |
第2条 メールメッセージをテキスト形式で表示する |
第3条 画像ファイルのダウンロード、開封確認メッセージの送信をブロックする |
第4条 インスタントメッセンジャーのハイパーリンクを無効にする |
第5条 インスタントメッセンジャーで許可したコンタクトのみを接続する |
それでは、セキュリティの心得、基礎の基礎を第1条から見ていきます。
第1条 不正プログラムの可能性があるメールの添付ファイルを表示しないようにする
不正プログラムが自分自身を広く世の中にばらまく手法に「マスメーリングワーム」があります。この種の不正プログラムに感染すると、感染コンピュータ上のアドレス帳などからメールアドレスが収集され、それらのアドレス宛に不正プログラムのコピーが添付されたメールが送信されます。
このマスメーリングの手法は、古くから見られましたが、今でも不正プログラムに使用されています。2004年に世界的な大流行を見せた「WORM_NETSKY」ファミリーは、このマスメーリング型不正プログラムの一種であり、発生から5年が経過した現在でも、その亜種である「WORM_NETSKY.P」が広く流通しています。
図2 「WORM_NETSKY.P」の感染被害報告数 |
そこで、マスメーリングワームによる感染の危険を低減させるための方法として、Windows XPの標準プログラムである「Outlook Express」を例に、添付ファイルを非表示にする方法を紹介します。
1)Outlook Express を起動し[ツール]メニュー→[オプション]を選択します
2)[セキュリティ]タブを選択し、[ウイルスの可能性がある添付ファイルを保存したり開いたりしない]のオプションにチェックが入っていることを確認します。
この設定により、メールに添付されたEXE、COM、VBS、SCR等のファイルが表示されなくなり、不正プログラムを実行してしまう危険性を低減させることが可能です。
また、メールを送信する際は、実行可能形式のファイルを直接添付せず、送信が必要な場合は、パスワード付きの圧縮ファイル(拡張子が.zip、.lzh等)にすることをお勧めします。メールに実行可能形式のファイルが添付されている状態に違和感を持つようになれば、マスメーリング型の不正プログラムへの感染の危険性はより低減できるでしょう。
第2条 メールメッセージをテキスト形式で表示する
メールを介したウイルス感染の原因のひとつに、スパムメールがあります。スパムメールというと、一般的に迷惑メールとしてウイルス感染とは別物と思われる感がありますが、実際はスパムメールが不正Webサイトへのアクセスのきっかけとなり、ウイルス感染を引き起こすケースが数多く確認されています。
これは、スパムメール内に不正Webサイトへのリンクを忍ばせることによって行われます。メールメッセージに直接URLが記述されていることもあるでしょうし、メッセージ内の画像ファイルが不正なWebサイトへのハイパーリンクになっている場合もあります。また、不正なWebサイトに自動的に転送されるようなiframeタグがメッセージ内に隠されているかもしれません。
なお、iframeタグとは、HTMLで記述されたページ内に別のフレームを埋め込む仕組みです。具体的には、< iframe src="(不正WebサイトのURL)" height=0 width=0 >をページ内に含むことにより、ページ上には表示されない不正Webサイトへの転送が可能になります。
これらの手法にだまされないために、ここでもOutlook Expressを例に挙げ、HTML形式のメールメッセージをテキスト形式で表示する方法を紹介します。
1)Outlook Express を起動し[ツール]メニュー→[オプション]を選択します。
2)[読み取り]タブを選択し、[メッセージはすべてテキスト形式で読み取る]のオプションにチェックを入れる
この設定により、HTML形式で送られてきたメールも、テキスト形式で表示され、メッセージ内に含まれたハイパーリンクを不用意にクリックしてしまう危険性を低減できます。
その反面、スパムメール以外にもHTMLメールは数多く利用されていることから、ユーザーは、設定変更による影響度を考慮したうえで実施してください。
図3 HTML形式のメールをテキスト表示した例 |
メールを送信する際にも、テキスト形式で送信すれば、受け取った相手に心配をかけることもなくなります。
1)Outlook Express を起動し[ツール]メニュー→[オプション]を選択します。
2)[送信]タブを選択し、メール送信の形式で[テキスト形式]を選択します。
第3条 画像ファイルのダウンロード、開封確認メッセージの送信をブロックする
第2条でスパムメールによるウイルス感染の危険性について紹介しましたが、スパムメールの宛先は、どのように選択されているのでしょうか。何らかの形でスパム送信者にメールアドレスが流出してしまった場合は、もちろんスパムメールの宛先に指定されることになります。
メールアドレスのドメイン名(xxxxxxx@xxxxx.xxの@より後ろの部分)については、実存するものを探すことは容易です。例えば、「(会社名).co.jp」であったり、「(プロバイダ名).com」であったりするでしょう。
それにアカウント名(xxxxxxx@xxxxx.xxの@より前の部分)と@を加えればメールアドレスの出来上がりです。スパム送信者は、作成したアドレス宛にスパムメールを送信します。ただし、この時点では、宛先のメールアドレスが実際に使用されているかどうかは、スパム送信者にはわかりません。メールアドレスが使用されているかどうかを確認する方法としては、Webビーコン(Webバグ)とメールの開封確認があります。
Webビーコン(Webバグ)とは、HTMLを利用したメールやWebサイトの閲覧者を識別するためにメッセージ/ページに埋め込まれた小さい画像のことです。HTMLメール内に、インターネット上の外部画像等へのリンクを含めておき、リンクされた外部画像等のコンテンツがダウンロードされた場合に、そのメールが開封されたことがわかるわけです。スパム送信者は、この仕組みを悪用し、使用されているメールアドレスの判別を行います。
また、メールの開封確認は、相手がメールを読んだかどうかを確認するための機能で、Outlook Expressの設定を変更すれば利用できます。開封確認付きのメールを受け取った場合は、「開封確認のメッセージを送信しますか」というメッセージが表示される仕組みです。スパムメールを受け取ったユーザーが開封確認のメッセージを送信することで、そのメールアドレスが使用されていることをスパムメールの送信者に教えることになってしまいます。
ここでは、不用意に自分のメールアドレスの存在をスパム送信者に知らせないための設定を紹介します。
1)Outlook Express を起動し[ツール]メニュー→[オプション]を選択します。
2)[セキュリティ]タブを選択し、[HTML 電子メールにある画像および外部コンテンツをブロックする]のオプションにチェックが入っていることを確認する。
3)[確認メッセージ]タブを選択し、[開封確認メッセージを送信しない]のオプションを選択する
この設定により、無作為に送信されたスパムメールの送信者に、自身のメールアドレスの存在を不用意に知らせる危険性を低減できます。
ここまでは、メールによるウイルス感染を防ぐ方法について紹介しましたが、メールと並んで一般的なコミュニケーションツールとして使用されるようになってきたインスタントメッセンジャーについても考えてみたいと思います。
インスタントメッセンジャーを悪用して感染活動を行う不正プログラムとしては、「WORM_SOHANAD」ファミリーがあります。このワームは、インスタントメッセンジャーのオンライン状態のユーザーに、「Do you realize who is in this image: http://<不正Webサイト> . Just think for a moment and tell me soon ;))」(写真に写っているのが誰だかわかる?<不正Webサイトへのリンク>わかったらすぐ教えて。) といったメッセージを送信し、ユーザーのクリックを促します。
メッセージを受け取った相手は、知り合いからの気になる言葉に、ついついリンクをクリックしてしまうかもしれません。しかしリンク先のサイトにアクセスしてしまうと、OSやアプリケーションソフトに脆弱性(セキュリティ上の弱点)がある場合などは、不正プログラムがダウンロードされて感染する可能性があります。
インスタントメッセンジャーという1対1の、また、電話のようなリアルタイムのコミュニケーションを悪用した不正プログラムといえるでしょう。
以下、インスタントメッセンジャーを悪用した不正プログラムに感染しないための基礎の基礎を紹介します。
第4条 インスタントメッセンジャーのハイパーリンクを無効にする
ここでは、「Windows Liveメッセンジャー」を例に、メッセージ内のリンクを無効にする方法を説明します。
1)Windows Liveメッセンジャーを起動します。
2)[ツール]メニューの[オプション]を選択します。
3)左側のフィールドにある[セキュリティ]の項目を選択し、[会話ウィンドウとMessengerのアドレス帳にリンクを表示する]のチェックをはずします。
この設定によって、メッセージ本文に記述されたURLはクリックできないようになり、不正サイトに不用意にアクセスしてしまう危険を低減することが可能です。URLにアクセスするためには、URLをコピーしてブラウザのアドレス欄に貼り付けます。URLの安全性を評価するサービス等を利用し、安全性を確認したうえでアクセスする習慣を付けるとなおよいでしょう。
第5条 インスタントメッセンジャーで許可したコンタクトのみを接続する
インスタントメッセンジャーを使用していて、見知らぬ相手からメッセージを受け取ることはないでしょうか。このようなメッセージに返信してはいけません。不特定多数の宛先に、不正プログラムや不正URLを送りつけようとしているのかもしれません。そもそも、見知らぬ相手からメッセージを受け取らないようにする設定をご紹介します。
1)Windows Liveメッセンジャーを起動します。
2)[ツール]メニューの[オプション]を選択します。
3)左側のフィールドにある[プライバシー]の項目を選択し、[許可する知り合い]にリストされている[他のユーザー]を選択して、[禁止]をクリックします。
上記の設定により、知り合いリストに登録されているメンバー以外からのメッセージを受け取らなくなります。
今回は、電子メールおよびインスタントメッセンジャーを安全に使用するための基礎の基礎5カ条を紹介しました。
ウイルス感染の危険を回避するためのセキュリティ設定により、普段使用している便利な機能を無効化するものも含まれています。ユーザーの利便性を向上させるための機能は、不正プログラムの作成者にとっても便利な機能になりうることを理解したうえで、利便性と安全性のバランスをとったコミュニケーションを図っていただければと思います。
関連情報
2009/9/18 16:09
-ページの先頭へ-