コンピューターウイルスは、私たちが使用しているブラウザやワープロなどと同じソフトウェアの一種です。情報の漏えいや破壊、パソコンの乗っ取りというような、ユーザーの意に反した振る舞いがプログラムされている点は異なりますが、同じソフトウェアなので、どんなに悪質なものでも、実行しない限り実害は生じません。実行するか否かの最終判断が、運命の分かれ道なのです。
ブラウザやシステムには、うっかり実行してしまっても踏みとどまれるように、二重三重の保護策が講じられており、ネット上からダウンロードしたソフトウェアを実行しようとするといろいろなメッセージを表示して警告します。表示された警告が、これから何が始まることを意味しているのか、この機会にしっかり覚えておきましょう。必ずやウイルス感染防止の一助になるはずです。
<INDEX>
■2つの方法がある「ウイルス実行」
・ユーザー自身に実行させる/自動実行する
★コラム:ウイルスとマルウェア
■ウイルスを実行させる騙しのテクニック
■「ダウンロード開始」を選択する警告
■「実行」を選択する警告
・消えるセキュリティの警告
■ユーザーアカウント制御の警告
■ブラウザのブロック機能
ソフトウェアの実行方法には、ユーザー自身が実行する方法と、ユーザーの介入なしに自動的に実行する方法があります。ウイルスもまた、どちらかの方法を用いて自身を実行しようとします。
・ユーザー自身に実行させる
ユーザー自身に実行させる場合には、たとえば有用なソフトウェアに見せかけるなどの手段を使い、ユーザーを騙して実行させようとします。ブラウザなどが出す警告は、主にこのタイプのウイルス感染を軽減するためのもので、後ほど詳しくご紹介します。
・自動実行する
自動実行の場合には、USBメモリー経由で感染するウイルスのように、リムーバブルメディア用に用意されたシステムの自動実行機能(オートラン)を悪用するタイプがありますが、インターネット経由の場合にはもっぱら、システムやブラウザなどの他のソフトウェアの脆弱性(欠陥)を悪用した、想定外の実行方法が用いられます。少し前だと、大手サイトが次々に改ざんされて大騒ぎになった「ガンブラー」がこのタイプの攻撃でした。最近話題になっている防衛関連企業などに送られた標的型メールの場合も、ウイルスを埋め込んだドキュメントファイルを添付し、Adobe ReaderやWordなどの閲覧用のソフトウェアの脆弱性を突いて自動実行する手法が多く用いられているようです。
これらは、通常ならできないはずの方法を使って無理やり実行してしまう手法なので、脆弱性さえ解消しておけば、ウイルスが勝手に実行される危険はなくなります。脆弱性の解消方法については、下記のトピックスを参照してください。なお、こまめにアップデートしていても、時おり修正前の脆弱性が悪用されることがあるので油断は禁物です。無暗にリンクをクリックしたりファイルを開かないよう、常日頃から心掛けるようにしてください。
「ウイルス」という名称は、ユーザーの意に反してさまざまな悪事を働く不正なプログラムの総称として使われることが多いが、本来の意味は、自然界のウイルスと同じように宿主となる他のファイルに付着して感染を広げるタイプを指す。狭義のウイルスは、このような感染形態の違いによる分類名で、ほかには、宿主を必要とせずネットワークなどを使って自己増殖するタイプに「ワーム」、増殖機能を持たないタイプに「トロイの木馬」といった名前が付けられている。他の分類方法では、情報を盗み取る「スパイウェア」やパソコンを乗っ取って外部から制御する「ボット」などのように、その振る舞いに基づいた名前もいろいろあり、これら悪事を働く不正なプログラムを総称する「マルウェア(MALicious softWARE:悪意のあるソフトウェア)」という名前も作られた。ところが、すでにウイルスの名が総称として浸透してしまっており、なかなか巻き返しは図れなかった。
「セキュリティ通信」の日々の記事やこのトピックスでも、悪質なソフトウェアの総称にマルウェアという名称は使わず、ウイルスと呼んでいる。そして、本来の意味である狭義のウイルスを指す場合には「ファイル感染型のウイルス」などと表記しているのでご注意ください。
ユーザー自身にウイルスを実行させるといっても、悪意むき出しでは誰も応じてはくれません。攻撃者は様々な手口を使ってユーザーを欺き、実行するように仕向けるのです。
たとえば国内での被害が多いワンクリック詐欺サイトの多くは、動画再生と称して、請求画面をデスクトップに貼り付けてしまう、いわゆる「ワンクリックウェア」を実行させようとします。Webサイトを閲覧中に突然図1のようなウイルススキャンが始まり、驚かされることもあります。スキャンが終わると大量のウイルスが見つかり、駆除するよう促されますが、ウイルススキャンも駆除も真っ赤なウソ。焦ったユーザーに、本物のウイルスを実行させようとしているのです。ちなみにこの例では、システムに居座って購入を迫る偽セキュリティソフトをインストールさせようとしていました。
図1:Webサイトの閲覧中に突然始まる偽のウイルススキャン
駆除と称して偽セキュリティソフトをインストールさせようとします。誤ってインストールしてしまうと、偽セキュリティソフトはデスクトップに居座り、役に立たないライセンスの押し売りを始めます。
8月から9月にかけては、国内のユーザーの元に海外からFacebookの「友達リクエスト」がたくさん届きました。Facebookは国際的なサービスなので、こういうこともあるんだなと思いきや、これはユーザーをおびき出すための策略。その気になってメールの承認ボタンを押すと、ブラウザが図2のようなFacebookの偽サイトを開き、今度はFlashPlayerが古いので最新版をダウンロード/インストールするよう指示されます。もちろんユーザーに実行させようとしているのは、FlashPlayerを最新版に更新するインストーラーなどではなく、ウイルスのインストーラー。この例では、ユーザーのパソコンを乗っ取るボットや銀行のアカウント情報を盗み取るスパイウェア、偽セキュリティソフトなどのいろいろなウイルスを勝手にダウンロードしてインストールしてしまう、ダウンローダー型のウイルスを実行させようとしていました。
ちなみに同じ攻撃者による10月の攻撃では、偽サイトの見かけは一緒ですが脆弱性攻撃も併用しており、JRE(Java実行環境)などが古いままだと、ユーザー自身が実行しなくても、サイトを開くだけで勝手に実行してしまうようになっていました。
図2-A:Facebookの「友達リクエスト」を装ったウイルスメール
「いろいろな氏名 wants to be friends on Facebook.」の件名で届く英文メールです。本文には、友達リクエストを承認するボタン(Confirm Friend Request)と全てのリクエストを閲覧するボタン(See All Requests)がありますが、どちらをクリックしても次のようなFacebookの偽サイトへと誘導されます。
図2-B:Facebookの偽サイト
誘導先の偽サイトでは、Flash Playerが古いので最新版をインストールするよう指示され、指示に従ってクリックすると「updateflash.exe」がダウンロードされます。いかにもそれらしいファイル名ですが、実行するとFlash Playerを更新する代わりに、いろいろなウイルスをインストールしてしまいます。
最近あった国内の事例をご紹介しましたが、これらはほんの一例にすぎません。ウイルスに感染させようと目論む者たちは、ほかにもいろいろな手を使ってユーザーを騙そうとしますが、いずれの場合もクリックしただけで実行型のファイルをいきなり実行してしまうようなことはありません。
ブラウザは、ダウンロードを始める前に、図3のようなダイアログボックスを表示し、ユーザーにダウンロードするかどうかを問い合わせて来ます。これが、ウイルスの侵入を防ぐ最初の警告で、キャンセルすればダウンロードは行われません。Webサイトの閲覧中に突然このダイアログボックスが表示されたり、意に反して表示されたりした場合には、キャンセルボタンを押してダウンロードを回避しましょう。
図3-A:ダウンロードの確認(IE8:Windows XP)
Windows XP上のInternet Explorer 8でダウンロードする際には、このような「セキュリティの警告」ダイアログボックスを表示し、ユーザーに確認を求めます。
図3-B:ダウンロードの確認(IE9:Windows 7)
Windows 7上のInternet Explorer 9でダウンロードする際には、ブラウザの下部にこのような表示が現れ、ユーザーに確認を求めます。
図3-C:ダウンロードの確認(Firefox)
Firefoxでダウンロードする際には、このような「ファイルを開く」ダイアログボックスを表示し、ユーザーに確認を求めます。
Webサイトからダウンロードしたソフトウェアを実行する際には、セキュリティの警告が表示され、本当に実行してもよいかどうかを問い合わせてきます。これは、Windows XP SP2からシステムに備わった機能です。
Internet ExplorerやFirefoxなどのブラウザは、ネットからダウンロードしたファイルをNTFSでフォーマットされたディスクに保存する際に、ファイルにダウンロードしたものであることを示すマーク(ZoneID:ゾーンアイディー)を付けます。このマークの付いた、拡張子「EXE」などの実行ファイルを実行しようとすると、システムは図4のような警告を出し、本当に実行するのかどうかをユーザーに問い合わせます。
図4は、アドビシステムズの正規サイトからダウンロードした本物のインストーラーを実行しようとした際の表示です。アドビシステムズをはじめとする大手ベンダーでは、提供するファイルに電子署名を付けており、署名されたファイルの場合には、名前や種類のほかに発行元も表示され、確認できるようになっています。
図4:実行時の確認
インターネットからダウンロードしたソフトウェアを実行すると、このような「セキュリティの警告」ダイアログボックスを表示し、ユーザーに確認を求めます。
・消えるセキュリティの警告
ダウンロードしたソフトウェアの実行時には、必ずセキュリティの警告が出るとは限らないので注意が必要です。ダウンロードに使ったソフトウェアがマークを付けない仕様であったり、保存先がNTFS以外のファイルシステムであったりする場合には、この警告は出ません。ZIPファイルなどに格納されているファイルの場合には、中身を取り出す際に使用した解凍ソフトや取り出し方によっても、マークが継承されないことがあります。また、USBメモリーなどのNTFS以外のドライブにコピーしてしまうとマークが消えてしまいますし、ファイルのプロパティから手動で削除することもできます。
図5:ダウンロードしたファイルのプロパティ
マークの付いたファイルのプロパティを表示すると、「全般」タブの下部に、にこのような項目が表示されます。「ブロックの解除」を行うとファイルに付加されたマークが削除され、実行時に「セキュリティの警告」は表示されなくなります。
マークの付いたファイルは、プロパティにこのような項目が表示されます。ここで「ブロックの解除」を行うと、マークが削除され実行しても警告は表示されなくなります。
Windows 7やWindows Vistaの場合には、実行時にさらに「ユーザーアカウント制御」というダイアログボックスが表示されることがあります。
システムの変更などのシステム領域にアクセスするソフトウェアは、実行する際に管理者権限を必要とします。管理者権限というのは、システムのあらゆる操作が行える特権のことです。Windowsにログオンしたユーザーのアカウントの種類が「管理者」の場合にこの特権を持ち、ユーザーが実行したソフトウェアもそれを継承します。一般的なソフトウェアは、利用時に管理者権限を必要としませんが、システムの設定変更が必要なインストール時だけは、管理者でのログオンを要求したりします。ウイルスの場合も、システムの内部への潜伏やセキュリティソフトの妨害といった特殊工作を行うために、管理者権限を必要とするものがあります。同じウイルスでも、実行したユーザーが持つ権限次第で、被害の度合いが大きく変わることがあるのです。
Windows 7やWindows Vistaには、UAC(User Account Control:ユーザーアカウント制御)という仕組みが組み込まれています。この機能は、管理者権限の有無に関わらず、ソフトウェアを常に管理者権限を持たない「標準ユーザー」として実行し、システム領域への不用意なアクセスをブロック。管理者権限が必要な場合には、図6-A/Bのようなダイアログボックスを表示し、ユーザーに確認を求めます。
図6-Aは、実行したユーザーが管理者権限を持っている場合の表示で、「はい」を押すと権限を昇格して実行します。図6-Bは、管理者権限を持たないユーザーが実行した場合の表示で、管理者のパスワードを入力して「はい」を押すと、管理者として実行します。
UACが備わっていないWindows XPの場合には、このようなダイアログボックスは表示されず、ログインユーザーの権限で実行を続けます。管理者権限を持たないユーザーが実行したソフトウェアは、管理者権限が必要な処理は行えず、エラーになってしまうのです。ソフトウェアのインストールなどの特別な場合だけ管理者としてログオンし、普段は管理者権限を持たないアカウントでWindowsを利用していれば、Webサイトの閲覧時などにウイルスに感染してしまっても、被害を最小限に抑えられる可能性があるのです。
図6-A:ユーザーアカウント制御(管理者の場合)
UACが有効の場合には、「管理者」でログオンしていても「標準ユーザー」としてソフトウェアを実行します。実行時に管理者特権が必要な場合には、このような「ユーザーアカウント制御」ダイアログボックスを表示し、「管理者」でログオンしているユーザーの許可を求めます。
図6-B:ユーザーアカウント制御(標準ユーザーの場合)
「標準ユーザー」でログオンしている際に、管理者特権が必要なソフトウェアを実行すると、このような「ユーザーアカウント制御」ダイアログボックスを表示し、「管理者」アカウントでの許可を求めます。
かつて猛威をふるったガンブラーは、改ざんサイトから攻撃サイトに誘導し、脆弱性を突いてウイルスを自動実行しようとしました。アップデートを怠っていなければ、感染の心配はありませんでしたが、このウイルスにはもうひとつ、自身をドライバーとしてシステムにインストールする特徴がありました。ドライバーのインストールは、管理者権限の必要な処理なので、脆弱性攻撃が成立しても、Windows VistaならUACが機能してインストールに待ったをかけました。ここで不審に思い「はい」を押さなかったユーザーと、Windows XPを管理者権限を持たないアカウントで利用していたユーザーは、ウイルスがインストールに失敗し、感染を免れることができたのです。
Internet ExplorerやFirefoxなどの主要なブラウザには、フィッシングやウイルス攻撃を仕掛ける危険なサイトをブロックする機能が搭載されています。Internet Explorerの場合には、「セーフティ」メニューの「SmartScreenフィルター機能」で、この機能の有効/無効を設定できます(図7-A)。Firefoxの場合には、「オプション」メニューで「オプション」を開くと「セキュリティ」タブで、攻撃サイト(ウイルス)と偽装サイト(フィッシング)をブロックするかどうかを個別に設定できます(図7-B)。
図7-A:Internet ExplorerのSmartScreenフィルター設定
危険なサイトをブロックするInternet Explorerの「SmartScreenフィルター」は、「セーフティ」メニュー(ボタンの場合は「ツール」ボタンを押して「セーフティ」)で機能の有効/無効を設定します。
図7-B:Firefoxのオプション設定
Firefoxのブロック機能の設定は、「オプション」メニューから「オプション」ダイアログボックスを開いて、「セキュリティ」タブで攻撃サイトと偽装サイトを個別に行います。
これらブロック機能は、ユーザーがアクセスしようとしているサイトが危険なサイトかどうかを事前にチェックし、危険なサイトの場合には図8-A/Bのようなページを開いて知らせます。ブラウザによって検出度に多少ばらつきがありますが、報告された危険なサイトのリストを基に判定しているので、開設して間もないサイトや攻撃が限定的で報告が上がってこないサイトなどは、チェックから漏れてしまい、ブロックされないことが多々あります。警告が出ないからといって安全とは限りませんが、警告のおかげでフィッシングやウイルス感染を回避できる有用な機能なので、ぜひ活用しましょう。
Internet Explorer 9では、これまでのブロック機能に加えて、ダウンロードしたソフトウェアを評価するアプリケーション評価機能も追加されました。この機能は、図8-Cのように評価がまだ固まっていない状態であることも通知してくれ、評価が不明なソフトウェアに対し削除や実行しない選択をとることができます。
図8-A:危険なサイトの警告ページ(Internet Explorer)
Internet Explorerで危険なサイトと報告されているサイトにアクセスしようとすると、アドレスバーが赤くなり、このようなページを開いてアクセスをブロックします。
図8-B:危険なサイトの警告ページ(Firefox)
Firefoxで攻撃サイトや偽装サイトとして報告されているサイトにアクセスしようとすると、このようなページを開いてアクセスをブロックします。
図8-C:Internet Explorer 9のアプリケーション評価
Internet Explorer 9のSmartScreenフィルターには、新たにアプリケーション評価機能が実装されました。たとえば、ダウンロード数の少ない未署名のソフトウェは、評価が固まっていなくても、ダウンロードするとブラウザの下部にこのような警告を表示し、ユーザーに注意を促します。
・Internet Explorer 9 の SmartScreen アプリケーション評価
http://blogs.msdn.com/b/ie_jp/archive/2011/08/12/10195050.aspx