情報セキュリティ読本 - IT 時代の危機管理入門 -

1

情報セキュリティ読本

情報セキュリティ読本　– プレゼンテーション資料 -

情報セキュリティ読本　　　 - IT 時代の危機管理入門 -

プレゼンテーション資料（第 3 章ウイルスなどの不正プログラムによる被害とその対策）

2情報セキュリティ読本　– プレゼンテーション資料 -

第 3章　1. ウイルス2. スパイウェア3. ボット4. ウイルスなどの不正プログラムの　　予防とその対策

ウイルスなどの不正プログラムによる被害とその対策


1. ウイルス1 ）ウイルスとは ?2 ）ウイルスに感染するとどうなるのか ?3 ）ウイルス感染の原因

第 3 章


1. ウイルスとは ?

コンピュータに対して、数々の悪さをする不正プログラムコンピュータに対して、数々の悪さをする不正プログラム　　　　　　　「コンピュータウイルス対策基準」によると、第三者のプログラムやデータベースに対して意図的に何らかの被害を及ぼすように作られたプログラムで、自己伝染機能、潜伏機能、発病機能の内１つ以上を有するもの。【経済産業省（通商産業省）告示】(1) 自己伝染機能　　自らの機能によって他のプログラムに自らをコピーし又はシステム機能を利用し　　　自らを他のシステムにコピーすることにより、他のシステムに伝染する機能 (2) 潜伏機能　　発病するための特定時刻、一定時間、処理回数等の条件を記憶させて、　　発病するまで症状を出さない機能 (3) 発病機能　　プログラム、データ等のファイルの破壊を行ったり、　　設計者の意図しない動作をする等の機能

第 3 章 > 1. ウイルス



1 ）情報漏えい2 ） DoS 攻撃　

3 ）ウイルスメールの大量送信4 ）インターネットの停止5 ）ワクチンソフトの停止6 ）再起動の繰り返し7 ）その他の症状

2. ウイルスに感染するとどうなるのか ?


1 ）情報漏えい第 3 章 > 1. ウイルス > 2. ウイルスに感染するとどうなるのか ?

• P2P ファイル交換ソフトによる情報漏えい– コンピュータ使用者のユーザ名、組織名、デスクトップ画面などを共有ネットワークに流す– W32/Antinny （ 2003 年 8 月）など

• 添付ファイルによる情報漏えい– コンピュータ内のファイルを添付ファイルとして送信してしまう（ W32/Klez など）

• キーロガーによる情報漏えい– キーロガーを仕込む（ W32/Fizzer など）


第 3 章 > 1. ウイルス > 2. ウイルスに感染するとどうなるのか ?

• 感染したコンピュータを踏み台にしてDoS 攻撃（⇔読本 p.18 参照）を行うウイルス

• W32/Netsky• W32/Mydoom• W32/MSBlaster

DoS 攻撃に加担することがないよう、ワクチンソフトで定期的に検査をしましょう。

2 ） DoS 攻撃


送信者を詐称 → 本当の感染者に連絡がとれない　　　　→ 知り合いからのメールと思いファイルを開く　　　　→ 有名な会社やサポートセンターを騙る大量にウイルスメールを送信 → 感染被害拡大　　

第 3 章 > 1. ウイルス > 2. ウイルスに感染するとどうなるのか ?3 ）ウイルスメールの大量送信

W32/Netsky （ネットスカイ）のウイルスメールの例差出人アドレスを詐称・メールの　添付ファイルを　開くと感染

・エラー通知を　装った本文


4 ）インターネットの停止第 3 章 > 1. ウイルス > 2. ウイルスに感染するとどうなるのか ?

• 例 : W32/SQLSlammer （ 2003 年 1月）• 脆弱性を悪用し、インターネットにつないだだけで感染• 大量のパケットをインターネット上に発信し、通信量が急増


・ワクチンソフトを停止する・ PC 内のファイアウォールの機能を停止する・ワクチンソフトベンダーのサイトにアクセスさせない　　　例：例： W32/KlezW32/Klez 　　 W32/NetskyW32/Netsky 　　 W32/BagleW32/Bagle

検知・駆除されないためのウイルスの手口

ワクチンソフトがそのウイルスに対応している場合ワクチンソフトを停止される前にウイルスを駆除してくれる→ 　ワクチンソフトを更新しておらず、そのウイルスを　　検出・駆除できない場合に被害に遭うワクチンソフトの更新は（毎日）定期的に行う！　　　　　　　　　　　　　　　　→　自動更新機能の利用も

5 ）ワクチンソフトの停止第 3 章 > 1. ウイルス > 2. ウイルスに感染するとどうなるのか ?


6 ）再起動の繰り返し第 3 章 > 1. ウイルス > 2. ウイルスに感染するとどうなるのか ?

• コンピュータが急に再起動を繰り返して使えなくなる• 例 : W32/MSBlaster （ 2003 年、夏）• OS の脆弱性を悪用→ネットワークに接続しただけで感染


7 ）その他の症状第 3 章 > 1. ウイルス > 2. ウイルスに感染するとどうなるのか ?

• ファイル、フォルダが削除される　– 例 : W32/Klez( クレズ )

• アプリケーションソフトが使えなくなる　– 例 : W32/Navidad （ナビダッド）

• コンピュータが起動できなくなる　– 例 : Stamford （スタンフォード）

• Web ページが改ざんされる　– 例 : W32/Nimda( ニムダ )

• 遠隔地からのアクセスを可能にしてしまう　– 例 : W32/Mydoom ( マイドゥーム ) 　

• 画面に画像が表示される　– 例 : W32/Hybris ( ハイブリス )


3. ウイルス感染の原因1 ）ファイルのオープンによる感染2 ）メールの開封やプレビューによる感染3 ）ネットワークへの接続による感染4 ） Web ページの閲覧による感染



1 ）ファイルのオープンによる感染第 3 章 > 1. ウイルス > 3. ウイルス感染の原因

• メールの添付ファイルを開くと感染　　→　現在このタイプが最も多い• 次のようなファイルの入手経路も利用される

– ダウンロード、 P2P ファイル交換– IM や IRC 経由– CD や USB メモリなどの外部ファイル

• ユーザーの錯誤を誘う巧妙な手口– ユーザの気を引くようなファイル名– 二重拡張子、アイコンの偽装


ユーザの気を引くようなファイル名第 3 章 > 1. ウイルス > 3. ウイルス感染の原因 > 1. ファイルのオープンによる感染

• 添付ファイルをユーザに開いてもらう（そして感染させる）ことが目的• ファイル名を工夫することによってユーザの気を引く• 例 : 「 ( お宝 ) 秘蔵写真集」　（ W32/Antinny ）


アイコンを偽装する偽装したアイコンに該当するプログラムを立ち上げる

テキストファイルを開くプログラムを立ち上げて騙しつつ、見えないところでウイルスも動作を開始している。

テキストファイルに見せかけたウイルスファイル

ダブルクリック偽装したアイコンに該当するプログラム（メモ帳）を立ち上げる

二重拡張子やアイコンの偽装第 3 章 > 1. ウイルス > 3. ウイルス感染の原因 > 1. ファイルのオープンによる感染

　　怪しいファイルの見わけ方？　　　⇔　読本 p.46


2 ）メールの開封やプレビューによる感染第 3 章 > 1. ウイルス > 3. ウイルス感染の原因

• メールソフトや OS の脆弱性を悪用• W32/Klez 、 W32/Bugbear 、 W32/

Nimda 、 W32/Badtrans など


3 ）ネットワークへの接続による感染第 3 章 > 1. ウイルス > 3. ウイルス感染の原因

• OS の脆弱性を悪用• ネットワークに繋がっている脆弱性のあるコンピュータに対し、ウイルスファイルを送り込む　　→　 W32/MSBlaster 、 W32/Welchia 、　　 W32/Sasser など• 脆弱なパスワード設定のパソコンに対し、ネットワーク経由でパスワードを攻略して感染→ W32/Deloder など


4 ） Web ページの閲覧による感染第 3 章 > 2. ウイルス感染の原因

• 脆弱性を解消していないと、 Web ページを見るだけでウイルスに感染することがある

• 例 : W32/Nimda– Web サーバに感染– このサーバが管理するページを改ざん– このページを見たユーザが感染

• 攻撃者が Web ページにウイルスを仕掛けておくこともある（例 : Wscript/Fortnight ）


2. スパイウェア1 ）スパイウェアとは ?2 ）スパイウェアによる被害3 ）どのような方法で感染するのか ?

第 3 章


1 ）スパイウェアとは ?第 3 章 > 2. スパイウェア

利用者や管理者の意図に反してインストールされ、利用者の個人情報やアクセス履歴などの情報を収集するプログラム等情報処理推進機構（ IPA ）と日本ネットワークセキュリティ協会（ JNSA ）スパイウェア対策啓発 WG による共同の定義

• 情報を収集することが大きな特徴• 外部へ送信する機能を持つものもある⇒　情報漏えい


2 ）スパイウェアによる被害第 3 章 > 2. スパイウェア

• キーロガーでキー入力情報を不正取得– オンラインバンキングやネットショップで利用した ID 、パスワード、クレジットカード番号など– 銀行口座の不正操作– クレジットカードの不正使用– 実際の事件も起きている

　　キーロガーとは？（用語集より）　　キーボードから入力された情報を記録するプログラム。


お宅で買った商品が壊れていたので交換してください。写真を添付したのでご確認ください！

EC サイト運営者

悪意を持つ人写真ではなく、スパイウェアが添付されていた

ネット銀行の不正引き出しスパイウエアが原因 (2005 年 7 月 )オンラインショップの経営者へ商品の返品交換を要求する苦情メールが届いた。メールに添付されていた商品の写真を開いたが、写真は存在しなかった。→　添付ファイルをクリックした際、本人が気づかないうちに、キーロガーと呼ばれるスパイウエアがインストールされた。このキーロガーは、ネット銀行などへのアクセスを監視し、口座番号や暗証番号を犯人に送信。犯人は、盗んだ情報を悪用して不正に引き出した。　　 ITmedia Enterprise の記事参照： http://www.itmedia.co.jp/enterprise/articles/0507/22/news089.html

第 3 章 > 2. スパイウェア例）スパイウェアによる被害


3 ）どのような方法で感染するのか第 3 章 > 2. スパイウェア

• Web サイトからダウンロードしたプログラム• ウイルスが埋め込まれた添付ファイル• 不正な Web ページ閲覧• スパムメールや掲示板のリンクをクリック• コンピュータの脆弱性を突く不正アクセス• バックドア経由（⇔用語集 p.124(裏口（バックドア）参照） • ファイル交換ソフト


3. ボット1 ）ボットとは ?2 ）ボットネットワークの脅威3 ）どのような方法で感染するのか ?4 ）感染後の動作

第 3 章


1 ）ボットとは ?第 3 章 > 3. ボット

ウイルスの一種で、ユーザのコンピュータに侵入（感染）し、ネットワークを通じてこのコンピュータを外部から操る目的を持つ不正プログラム。

• 感染したコンピュータは外部からの指令を待ち、与えられた指示に従って不正な行為を実行する


2 ）ボットネットワークの脅威第 3 章 > 3. ボット


3 ）どのような方法で感染するのか第 3 章 > 3. ボット

• ウイルスやスパイウェアと同様の経路で感染– Web サイトからダウンロードしたプログラム– ウイルスが埋め込まれた添付ファイル– 不正な Web ページ閲覧– スパムメールや掲示板のリンクをクリック– コンピュータの脆弱性を突く不正アクセス– バックドア経由– ファイル交換ソフトなど


4 ）感染後の動作第 3 章 > 3. ボット

• ネットワークを通じ、外部からの指令に従い不正行為を実行

– スパム送信– DoS 攻撃、 DDoS 攻撃– ネットワークへの感染拡大– ネットワークスキャン（脆弱性を持つコ

ンピュータの検出）– 収集した情報を外部に漏えい（スパイ活

動）


4. ウイルスなどの不正プログラムの予防とその対策1 ）ウイルスなどの不正プログラムへの対策2 ）感染した場合の対処方法3 ）もっとも安全な初期化、再インストール

第 3 章


1 ）ウイルスなどの不正プログラムへの対策（ 1 ）第 3 章 > 4. ウイルスなどの不正プログラムの予防とその対策

• Windows などの修正プログラムを最新版に更新する• ワクチンソフトをインストールし、常に最新版にして活用する• パーソナルファイアウォールを活用する• メールの添付ファイルやダウンロードしたファイルは、開く前や実行する前にウイルス検査を行う



• 見知らぬ相手は当然ながら、知り合いからの添付ファイル付きメールも厳重にチェック注意する• 添付ファイルの見た目に惑わされず、添付ファイルの拡張子とアイコンの表示が正しいか確認する• アプリケーションソフトのセキュリティ機能を活用する



• 見知らぬウイルス感染の兆候を見逃さない• 万が一のために、データは必ずバックアップする• ウイルス対策ソフトとは別に、スパイウェア対策ソフトを使用する• プログラムのダウンロード時や、プログラムのインストール時に表示される、利用許諾内容をよく読み、必要のないものはダウンロード、インストールを行わない



• ファイル交換ソフトでダウンロードしたファイルには、ウイルスやスパイウェアが含まれているケースがある。出所が不明なファイルは開かないようにする• 自分で管理できないコンピュータでは、重要な個人情報の入力は行わない


2 ）感染した場合の対処方法• コンピュータの使用を停止し、システム管理者の指示を仰ぐ• 最新のワクチンソフトで検査を行い、ウイルス名を特定する• ウイルスに合った適切な駆除を行う• データが破壊されたときは、バックアップから復旧する• 最新のワクチンでもう一度検査を行う• 再発防止の予防策を講じる

第 3 章 > 4. ウイルスなどの不正プログラムの予防とその対策


3 ）もっとも確実な初期化、再インストール第 3 章 > 4. ウイルスなどの不正プログラムの予防とその対策

• ウイルス感染を除去しても、完全な修復は不可能に近い（システムの重要なファイルが改ざんされることがある）• 感染後のもっとも安全で確実な復旧方法は、システムを初期化し、アプリケーションとデータの再インストールすること


本資料の利用条件1. 著作権は独立行政法人情報処理推進機構に帰属します。

著作物として著作権法により保護されております。

2. 本資料は、企業内での社員教育、学校での授業、各種セミナーや研修などでご使用下さい。セキュリティ専門家を社外から招き、本資料を使用して企業内のセキュリティ教育を行う際にお使いいただいても結構です。

3. 営利目的の使用はご遠慮下さい。

4. 授業や研修等で使用する際に、本資料を一部割愛したり、必要に応じて追加する等のカスタマイズは行っていただいて結構です。

5. 本資料を掲載する場合は、外部からアクセスできないイントラネット内のサーバとしてください。

外部よりアクセスできる WEB サイトへの掲載はご遠慮下さい。　

6. 上の使用条件の範囲内でのご使用であれば、本資料に限り当機構からの使用許諾を取得する必要はありません。なお、参考までに、 [email protected] まで以下をお知らせ下さい。　・使用する方もしくは組織の名称　・使用目的　・教育への参加人数

7. ご質問、ご要望等は、 [email protected] までお知らせ下さい。

Documents

情報セキュリティ読本 - IT 時代の危機管理入門 -