このブログを検索

2010年3月3日水曜日

【総合学習レポート】マルウェアへの総合的な対策(Linux)【3ページ目】

4.マルウェアへの総合的な対策(Linux)

マルウェアは、Webページ・電子メール・USB メモリーなどのリムーバブルメディアを介して感染を広げます。このうち、Web ページを介して感染を広げるマルウェアは Web ブラウザーなどの脆弱性を悪用します。中にはページを閲覧しただけで感染するものもあり、今までの対策だけでは様々な脅威に対応しきれず、厳重な対策が必要です。近年のものだと、P2P ネットワーク(※1)を利用してファイルをやり取りする P2P クライアントソフトを介しての感染も多くなっています。

※1 P2P(Peer to Peer)ネットワーク…互いに対等な関係にあるコンピュータ同士を直接接続したネットワークのこと。インターネット電話やファイル共有に利用する。普通は後者を指します。



自らがセキュリティに積極的に関心をもち、常に新しい情報を仕入れること
ユーザを欺いてマルウェア感染させる手法は日々刻々と進化しており、マルウェアは驚異的な速度で増加しています。2010 年上半期には、1 億 2400 万件の新種のマルウェアが確認されました(ただし、Linux 用マルウェアは少数です)。

最近の傾向では、マルウェアがセキュリティソフトに検知されずに活動できる「生存期間」は短くなっています。これは、セキュリティソフトの検出精度の向上なども考えられますが、一方でマルウェア作者がセキュリティソフトを回避するために、新種のマルウェアの作成や既存のマルウェアの修正を頻繁にしているためでもあります。

このような状況では、セキュリティ情報を公開している Web サイトで常に最新の情報を仕入れ、現状を把握することが大切です。その上で、必要な対策を講じるようにします。何かを一から調べようとしても、膨大な情報があるために何から調べて良いのか解らなくなるはずです。その上、日々新しい情報が加わるため、マルウェアから自身を防御する知識を得るまでに時間がかかります。そのため、普段から情報を蓄積することが大切です。

次にセキュリティ関連のニュースサイトを紹介します:
セキュリティ - テクノロジー - ZDNet Japan
セキュリティ: ITpro
セキュリティ、個人情報の最新ニュース : Security NEXT
Scan NetSecurity
セキュリティ・マネジメント - Computerworld.jp
脅威からシステムを守るための情報サイト「セキュリティ」 - ITmedia エンタープライズ
gred News Clipping
ASCII - Tech



OS やソフトウェアを最新の状態に維持する
OS やソフトウェアをアップデートして常に最新の状態に維持しましょう。OS やソフトウェアには脆弱性があり、これを修正するのが更新プログラム(※2)です。Linux では、OS とその他のソフトウェアのアップデートはアップデート・マネージャで一括して行えます。しかし、リポジトリに登録されていないパッケージの手動インストールといったように、推奨されるインストール方法(※3)以外の手段でインストールしたソフトウェアについては、自動アップデートできないので手動で行う必要があります。

※2 更新プログラム…修正プログラム・セキュリティパッチ・セキュリティアップデートともいいます。

※3 推奨されるインストール方法…Ubuntu ソフトウェアセンターや Synaptic パッケージ・マネージャ、そして端末での apt を使ったインストール。

定期的に更新プログラムがないか自動的に確認して、更新があったときには自動的にインストールするように設定してことが推奨されます(図1、図2)。脆弱性を悪用した攻撃の多くは、脆弱性の存在が明らかになってから短時間で発生しています。したがって、更新プログラムは公開されたらすぐに適用するようにします。また、Firefox アドオンのアップデートも必ずしましょう。アドオンの脆弱性を悪用して、コンピュータの制御が奪われることがあります。

このように、どれほど些細に思えることでも、一つ一つ着実に実施していきましょう。更新が面倒だからといって後回しにしておくと、取り返しのつかないことになります。少し面倒でも、マルウェア感染後に費やす手間やコストのことを考えれば、面倒でも何でもありません。iPhone も iOS で稼働していて、脆弱性を突かれると有料電話に接続される可能性があります。

▼図1 OS の自動アップデートの設定(システム > システム管理 > ソフトウェア・ソース > アップデートタブ)


▼図2 Firefox アドオンの自動アップデートの設定(編集(E > 設定(N > 詳細パネル > 更新タブ)


【知っておいて】ゼロデイ攻撃とは
ゼロデイ攻撃とは、脆弱性を修正する更新プログラムが配布される前に行われる、その脆弱性を悪用した攻撃のことです。

ゼロデイ攻撃には 2 つの種類があります:
①脆弱性の存在をソフトウェアメーカーもユーザーも知らないときに、その存在を唯一知っている攻撃者が攻撃する。

②脆弱性の存在が公表された後、ソフトウェアメーカーによって更新プログラムが配布されるまでの間に、攻撃者が攻撃する。

①の場合は対処法はありませんが、②の場合はセキュリティを重視して、代替のソフトを使ったり、思い切ってそのソフトウェアを一時的にアンインストールしたりするのもありです。



サポートの終了した OS やソフトウェアは使わない
セキュリティ分野でのサポートとは、更新プログラムの配布のことを指します。サポートが終了したバージョンの OS やソフトウェアに対しては、脆弱性が発見されても更新プログラムは配布されず、脆弱性は未修正のままということになります。新しいバージョンにアップグレードしましょう。ただし、アップグレード後に不具合が起こることもあります。心配なら、設定とデータをバックアップした後に、新しいバージョンの OS をクリーンインストール(※4)して、設定とファイルをリストアしましょう。

※4 クリーンインストール…古い OS がインストールされている HDD などをフォーマットした後に、新しい OS をインストールすること。



セキュリティソフトをインストールして、定義ファイルを最新の状態に更新する
セキュリティソフトをインストールすることは最も重要な対策のひとつです。定義ファイル(パターンファイル)とは、確認されているマルウェアの特徴を記したもので、このファイルが最新のものでないとセキュリティソフトは潜在しているウイルスを検出できません。

▼セキュリティソフトの更新(avast! Antivirus)


【知っておいて】マルウェア作者は自身の作成したマルウェアが対策ソフトに検出されないか事前に確認する
マルウェア作者はマルウェアを配布する前に、最新の定義ファイルを使って自身が作ったファイルを検査し、マルウェアとして検出されないかを確認してから配布するため、セキュリティソフトをインストールして最新の状態にしているからといって安心はできません。

現状は、定義ファイルに情報のないマルウェアを検出することができず、またセキュリティベンダは急増するマルウェアのシグネチャ(≒定義ファイル)の作成に追いつけていけません。

そこで、ヒューリスティック法という技術が考えられました。これは既存の定義ファイルに依存せず、マルウェアの「不審な動き」を検知してセキュリティを保護する手法です。

これには 2 つの種類があります。1 つ目は「静的ヒューリスティック法」というもので、「マルウェアが実行するであろうコード」(例:システム領域を書き換えるコード)をリストアップし、それをマルウェアのコードから検出することでセキュリティを保護するというものです。

しかし、マルウェアのコードが暗号化されている場合、この手法は有効ではありません。そこで 2 つ目の「動的ヒューリスティック法ビヘイビア法)」です。これは実際に不審なプログラムをメモリ上にある検査用の安全な領域(サンドボックス)で実行し、マルウェアかどうかを判別します。


 不審なプログラムや開発元が不明なプログラムは実行しない
インターネットからダウンロードしたソフトウェアには、マルウェアを含んだものが多数あります。Ubuntu の公式リポジトリに登録されているソフトウェアのみを、Ubuntu ソフトウェアセンターや Synaptic パッケージ・マネージャ、および apt などを使ってインストールしましょう。

Gnome デスクトップ環境用のテーマ・アイコンなどを配布する Gnome-Look にも、スクリーンセーバーに偽装した悪質なスクリプトがアップロードされていたことがあります。ダウンロードして利用するのは壁紙やアイコンなどのスクリプトを含まないものに限定したほうがよいでしょう。

関連記事:
Gnome-Look のスクリーンセーバーにマルウェアが見つかる - スラッシュドット・ジャパン



未審査の Firefox アドオンはインストールしない
Firefox のアドオン配布サイトには、開発組織である Mozilla によるセキュリティの審査(レビュー)を受けていないアドオンが存在します。そのようなアドオンには、ログイン情報を盗んだりする悪質なものもあります。アドオンのみを導入するようにしましょう。

▼未レビューのアドオンのインストールボタン


▼レビュー済みのアドオンのインストールボタン


関連記事:
アドオンのセキュリティ脆弱性に関するお知らせ - Mozilla Japan ブログ



パーソナルファイアーウォールを有効にする
ファイアーウォールとは、外部からの不正アクセスを検出・遮断したり、内部からの機密データの送信を防いだりする機能をもつソフトウェアまたはハードウェアのことです。ファイアーウォールは主に企業などの組織向けの製品であるため高価です。

これを個人向けに低価格・機能限定版にしたものがパーソナルファイアーウォールです。

▼ファイアーウォールの設定(GUI 版 ufw)




リムーバブルメディア(CD、USB メモリー)からの感染を防ぐように設定する
近年、大容量・軽量・小型・低価格・汎用性(ほとんどの場合において広く使えること)などの理由から、USB メモリーの需要は伸びています。それゆえに、USB メモリーを悪用して感染を拡大するマルウェアも年々増加しています。

対策① 自動再生を無効にする
Windows や Linux には自動再生という機能があります。これは CD や USB メモリーが挿入されたときに、自動的にメディアプレーヤーを開いて CD を再生したり、CD 内のインストーラを起動したりする機能です。便利な機能ではありますが、USB メモリー内にマルウェアが潜んでいたりすると、勝手にマルウェアが実行されてしまう恐れがあります。これを避けるためには、すべてのメディアに対して自動再生を無効に設定します。

▼自動再生を無効にする(システム > 設定 > ファイル管理 > メディアタブ


対策② 使用する USB メモリーを使い分ける
例えば、「仕事用の USB メモリーとプライベート用のものを用意する。仕事用のものは会社のコンピューター、プライベート用のものは自宅のコンピュータでのみ使う。プライベート用の USB メモリーを会社のコンピューターで使わない、またその逆もしない。」といったことです。

対策③ USB メモリーを使う前にセキュリティソフトで検査する(USB メモリーを複数のコンピュータで利用する場合)
前述のように自動再生を無効にしたら、セキュリティソフトで USB メモリー全体をマルウェアチェックしましょう。もしもマルウェアが検出された場合は、マルウェアを削除するように操作します。学校などのコンピュータで、権限の問題により自動再生を無効にできない場合は、Shift キーを押しながら USB メモリーを差し込みます。

※デジタルオーディオプレーヤーも USB メモリーの一種です。これも上記と同様の取り扱いをするようにします。



root でログインしない
マルウェアは、OS の最重要な部分を不正に変更する(破損させる)ことで OS を使用できなくします。この重要な変更には、ユーザーがシステムの最重要な部分を変更する特権をもつユーザー(root)としてログインしていなければなりません。平時は調べ物などでコンピューターを利用するだけなら、システムの変更は必要ないので、root としてログインする必要はありません。平時は制限ユーザーとしてログインするようにしましょう。また、システムの変更やソフトウェアのインストール時であっても、root でなく管理者ユーザー(Admin グループ所属)としてログインした上で、コマンド susudo を使いましょう。そもそも Linux では通常 root としてログインできないようになっています。root の有効化は非常に危険ですので、絶対に行なってはなりません。



不必要なら wine を使わない
wine とは Linux 上で Windows 用のソフトウェアを動作させるためのソフトウェアです。wine で Windows 用のソフトを使っていると、マルウェア感染の可能性が高まります。Windows 用ソフトと比べても遜色のない Linux 用ソフトはたくさんあります。できる限り Linux 用のソフトウェアで代用し、必要ないなら wine を使わないようにしましょう。