最近のウイルス事情 · 2008. 2. 28. · 第1部コンピュータウイルスとは一体何か？ 6．ウイルスはもう時代遅れ？ウイルスは今やインターネットの脅威の主役ではなくなりました。

©©Copyright 200Copyright 200７７　　株式会社ケイエルジェイテック

　２００８年２月

株式会社ケイエルジェイテック

http://http://www.kljtech.comwww.kljtech.com//

最近のウイルス事情

22©©Copyright 200Copyright 200７７　　株式会社ケイエルジェイテック

アドリアン・ヘンドリック【経歴】アドリアン・ヘンドリック【経歴】

POPメール隔離機能に対応したK-PROX新バージョンをリリースしました。

クラスタリング・エンタープライズ向けのMILTER技術に対応したK-SHIELDをリリースしました。

K-SERIESアプライアンスがKaspersky LabのOEMパートナー製品として登録されました。KasperskyのUnixセキュリティ製品も引き続き販売していきます。

2007年6月

コンテンツフィルタi-FILTERをK-PROXのWebProxyに組み込みました。2007年1月

OEMベースでK-STORAGEアプライアンスの販売を開始しました

K-SHIELD及びk-PROXを全国で本格的に販売を開始しました。

2006年9月

OEMベースおよびオリジナルブランドでK-PROXアプライアンスの販売を開始しました2006年6月

OEMベースでK-SHIELDアプライアンスの販売を開始しました2006年3月

Unixのセキュリティ製品を中心としたビジネスを行うため、株式会社ケイエルジェイテックを設立し、代表取締役に就任。

Kaspersky Labの特別技術パートナーとして活動を始めました。

SSPP のコンセプトもこの時期に初めて提唱いたしました。

2006年1月

Kaspersky Labの日本支店にあたる株式会社カスペルスキーラブスジャパンを設立し、代表取締役に就任。国内のISPを中心に営業活動を行いました。Sakura Internet, Goo FreeMail, TikiTiki, NTT Verio, Future Spirits, Fukushima Kyouiku Center その他約30のISP及び企業の顧客を獲得しました。

2004

Kaspersky Lab OEM/Technology Representative in JAPANOEM 組み込み実績: SOK-Wall DevTeam, AntiMalware(AHKUN), Gideon AntiVirus (GIDEON), ProScan (PROMARK –disconinued), Turbo AntiVirus (Turbo Linux), E-post Mail Server Anti-

Virus Plugin (E-POST), Nifty Security24 the VPN Client Virus Filter, and etc (accomplished 18 projects OEM in 4years)

2000

Security S.I. Group, Machinery Div. Mitsui Co.,Ltd. NY, USA1995-1998

Master degree of UCLA, Computer Science Department 1995


京都セキュリティーセミナー２００８京都セキュリティーセミナー２００８

最近のウイルス事情インターネットに蔓延する不正プログラムの脅威


目　次

第１部　コンピュータウイルスとはいったい何か

第２部　ウイルスの歴史と不正プログラムの実態

第３部　ウイルスの進化と今後のトレンド　

第４部　ウイルス防御対策


第1部　コンピュータウイルスとは一体何か？

Illustrated by N. Banno



１．ウイルスという言葉の浸透度

“ウイルス”という言葉を聞いて思い浮かべるものは何ですか？

ウイルスウイルスウイルス

＝A香港型

鳥インフルエンザSARSHIV･･･



１．ウイルスという言葉の浸透度

“ウイルス”という言葉を聞いて思い浮かべるものは何ですか？

ウイルスウイルスウイルス

＝コンピュータウイルス



２．ウイルスの定義（１）

“ウイルス（Virus）”とは本来どんなモノ（？）なのでしょうか？

蛋白質の殻とその内部に詰め込まれた核酸からなる微小な

構造体である。細胞を持たず、他の生物に感染しないと増

殖することができない。感染することで宿主の恒常性に影響

を及ぼし、病原体としてふるまうことがある。

出典: フリー百科事典『ウィキペディア（Wikipedia）』<http://ja.wikipedia.org/>より抜粋



３．ウイルスの定義（２）

“コンピュータウイルス（Computer Virus）”はどう定義されているのでしょうか？

広義ではコンピュータに被害をもたらす不正なプログラムの

一種である。医学・生物学上の原義のウイルスと混同する

恐れがない場合、単に「ウイルス」と呼ぶこともある。

出典: フリー百科事典『ウィキペディア（Wikipedia）』<http://ja.wikipedia.org/>より抜粋



４．ウイルスの定義（３）

実は日本政府が定めた“コンピュータウイルス”の定義があります。

第三者のプログラムやデータベースに対して意図的に何らかの被害を及ぼすように作られたプログラムであり、次の機能を一つ以上有するもの。

出典:　通産省（現経済産業省）の定めた「コンピュータウイルス対策基準」（平成12年12月28日（通商産業省告示第952号）（最終改定））の「用語定義」

　(1)自己伝染機能

自らの機能によって他のプログラムに自らをコピーし又はシステム機能を利用して自らを他のシステムにコピーすることにより、他のシステムに伝染する機能

　(2)潜伏機能発病するための特定時刻、一定時間、処理回数等の条件を記憶させて、発病するまで症状を出さない機能

　(3)発病機能

プログラム、データ等のファイルの破壊を行ったり、設計者の意図しない動作をする等の機能



５．コンピュータウイルスに対する一般認識

皆さんはコンピュータウイルスに対してどんなイメージを持っていますか？

コンピュータウイルスコンピュータウイルスコンピュータウイルス



５．コンピュータウイルスに対する一般認識

皆さんはコンピュータウイルスに対してどんなイメージを持っていますか？

コンピュータウイルスコンピュータウイルスコンピュータウイルス

＝


NetSky.q

Mytob.c

Zafi.b

Zafi.dMytob.beMytob.bkNetSky.aa

Mytob.btNetSky.b

Mytob.biMytob.au

NetSky.dMytob.uMytob.ar

LovGate.w

Mytob.q

Mytob.t

Mydoom.l

Mydoom.m

Bagle.ah

Other malicious programs


６．ウイルスはもう時代遅れ？

ウイルスは今やインターネットの脅威の主役ではなくなりました。

（Kaspersky Labs “Virus Top Twenty for July 2005”参照）

従来型のウイルスで現存するのは10種類程度

ワーム（Worm)

2005年7月に検出されたウイルスのトップ２０

約80%以上



７．マルウェアの世界（１）

いまや“ウイルス”とは巨大化、多様化したソフトウェアの脅威の一部にすぎません。その脅威とは･･･

Malicious Programs（マルウェア、不正プログラム、不正ソフトウェア）

MalwareMalwareMalware

＝



８．マルウェアの世界（２）

不正プログラム（Malware）にはどんな種類があるのでしょうか？

Malware Network Worms：ネットワークワーム

Classic Viruses：古典的ウイルス

Trojan Programs：トロイの木馬

Other Malware：その他の不正プログラム

Non-Malware：非マルウェア

分類についてはViruslist.com <http://www.viruslist.com/>参照



９．マルウェアの世界（３）

ワーム（Network Worms）はウイルスとどう違うのでしょうか？

・レジストリ改変

・ネットワークを使って感染

・レジストリ改変

・メールシステムを使って感染

感染方法

・OSのセキュリティーホール

（ネットワークポート、サービス脆弱性）

・メール添付ファイル

・ダウンロードオブジェクト

・ファイルコピー

侵入方法

・速い（ネットワークで感染）・比較的遅い（感染ベース）増殖スピード

・OS／データおよびネットワーク・OS／データのレベル危険の度合い

・あり（ネットワーク）・あり（メール）自己増殖機能

・サービス（OSのセキュリティホール）

・データファイル（スパイウェア）

・OS（ブートセクタ、システムファイル）

・ファイルデータ（Word、Excel）

・メールデータベース（アドレス）

攻撃対象

・プログラムコード

・ネットワークプロトコル

・プログラムコード

・スクリプト

プログラムの形態

ワームウイルス項　目



１０．マルウェアの世界（４）

ワーム（Network Worms）にはどんな種類があるのでしょうか？

Network Worms

Email Worms：Eメールワーム

IM Worms：Instant Messageワーム

Internet Worms：インターネットワーム

IRC Worms：Internet Relay Chatワーム

P2P Worms：ピアツーピアワーム



１１．マルウェアの世界（５）

従来の古典的ウイルス（Classic Viruses）にはどんな種類があるのでしょうか？

Classic Viruses

File Viruses：ファイル感染型ウイルス

Boot Viruses：ブートセクタ感染型ウイルス

Macro Viruses：マクロウイルス

Script Viruses：スクリプトウイルス

Polymorphic Viruses：ポリモーフィックウイルス

Stealth Viruses：ステルスウイルス

形態

機能



１２．マルウェアの世界（６）

トロイの木馬（Trojan Horses/Trojan Programs）とはいったい何でしょうか？

不正プログラムだがクラシックウィルスではない：本来のプログラムのふりをして乗っ取る

他のプログラムに偽装されている：ウィルスと違って｢わざと目立つ｣ようにしてある

便利なツールを持つ：表向きはゲームや有用なプログラムを装っている

ニュースグループ、チャットプログラムのダウンロードサイ

ト、大手ISPを騙ったニセのサイトを拠点に拡散する：怪しげなサイトは要注意！



１３．マルウェアの世界（７）

トロイの木馬にはどんな種類があるのでしょうか？

Trojan Programs

Classic Trojans：古典的トロイの木馬

Backdoors：バックドア（遠隔操作プログラム）

PSW Trojans：パスワードトロージャン

Trojan Clickers：トロージャンクリッカー

Trojan Downloaders：トロージャンダウンローダ

Trojan Droppers：トロージャンドロッパー

Trojan Proxies：トロージャンプロキシ

Trojan Spies：トロージャンスパイ

SpywareSpyware：：スパイウェアスパイウェアAdwareAdware：：アドウェアアドウェア

BotBot networksnetworks：：ボットネットボットネット



１４．マルウェアの世界（８）

不正プログラムには、これまでのほかにさらに多様なものがあります。

その他のマルウェア

DoS Tools：Port Scannerを使ってセキュリティホールを見

つけ、そこからDoSアタック

Hack Tools：ハッキングツール（ルートキット）

Flooders：フラッド攻撃ツール（Ping of Death）

VirTools：ウイルス作成ツール

非マルウェア

Not-A-Viruses：マルウェア関連プログラム

Hoaxes, Jokes, CM：デマメール、冗談メール、広告RiskwareRiskware：：リスクウェアリスクウェア






１．コンピュータウイルス黎明期最初のウイルス（的なプログラム）は、実は悪意から作成されたものではありませんでした。これらの研究成果は後の人工知能やロボット開発に貢献しました。

　1940年代～1951年

コンピュータの父、ジョン・フォン・ノイマンの『自己増殖機能を有した数学的自動機械』に関する1940年代の研究が端緒であり、1951年までには彼によって実現方法も提唱されていた。

　1959年1959年、英国の数学者ペンローズが”Scientific American”誌に発表した『自己再生産機械』の論文で、活性化、増殖、変態および攻撃の機能を有するモデルを提唱。

　1962年米国のベル研究所の3人の研究者が”Darwin”と呼ばれるゲームを創作。プレーヤーの作成したプログラムを戦わせて勝敗を決するゲームであったが、重要なのは自己増殖し、相手のプログラムを消去するというのがゲームのポイントだったこと。

ウイルスの歴史についてはViruslist.com <http://www.viruslist.com/>参照



２．最初のウイルス登場

最初の本格的ウイルスは１９７０年代に登場しました。　1970年代初頭米国軍事コンピュータネットワークでインターネットの前身であるARPANETにおいて”Creeper”というウイルスが発生。感染したシステムにメッセージを表示。後に登場した”Reaper”というウイルスはCreeperを消去する働きをしたが、同じ作者による仕業も疑われている。

　1974年“Rabbit”と呼ばれるウイルスが登場。ただひたすら高速度で増殖し、他のコンピュータに感染を広げることから名付けられた。自らクラッシュするまでシステム中で増殖し続けた。

　1975年Univac 1108向けに作成された”Pervading Animal”というゲームは最初のトロイの木馬ではないかと見られている。自動的にバージョンアップする機能を有していたが、その都度生成されるファイルのコピーがシステムを圧迫し、不本意にも実質的な不正プログラムとなってしまった。



３．全世界へ感染拡大1980年代にはウイルスは全世界に感染を広げていきました。

　1980年代初頭1981年：“Elk Cloner”というApple IIのブートセクタに感染するウイルスが登場。ウイルスの歴史上初の大規模感染はAppleコンピュータのシステムで発生。1983年：コンピュータウイルス学（virology）の専門家により初めてこの種のプログラムに”Virus”という言葉を適用。後に”Computer Virus”の定義も定められる。

　1986年～1989年1986年：19歳のパキスタン人少年とその兄弟が”Brain”というウイルスを作成。IBM互換機PCに世界的規模で感染した最初のウイルスであったが、破壊活動は行わず大規模感染は意図せぬ結果であった。Brainは最初のステルスウイルス。1987年：最初の自己暗号化ウイルス”Cascade”、データ破壊活動を行う最初のウイルス”Lehigh”、EXEファイルに感染する最初のウイルス”Jerusalem”等が登場。1988年：Jerusalemが全世界的に流行。感染したコンピュータのあらゆるファイルを破壊した。1989年：ロシアでの初の大規模感染を機に、Eugene Kasperskyがロシアでの先駆者としてウイルスの研究を開始。1ヵ月後には実用レベルのウイルス対策ソフトを開発。



４．組織化と感染路の多様化1990年代はウイルスに関連する組織化が進み、感染路も多様化しました。

　1990年代前半1990年：初のポリモーフィックウイルス（Chameleon）の登場。ブルガリアに初のウイルス情報交換を目的としたBBS誕生。EICAR（欧州ウイルス対策研究機関）設立。1992年：Eugene Kasperskyが後の標準となるポリモーフィックウイルス対策技術を開発。Michelangeloがアウトブレーク、500万台が感染。1994年：CDがウイルス媒介の主要メディアになる。

　1996年～1998年1996年：初のWindows 95に感染するウイルス登場。初のMS-Excelマクロウイルス（Laroux）登場。ウイルスは32ビットOSの領域に突入。1997年：初のLinuxウイルス（Linux/Bliss）登場。初のメール（MS-Mail）送信機能を持つWordマクロウイルス（ShareFun）登場。IRCを通じて感染するウイルスが初めて登場。ウイルスの感染形態が根本的に新時代に突入。1998年：パスワード窃盗およびバックドア機能を持つトロイの木馬が登場。有名なバックドアBackOriffice登場。Eugene KasperskyがVBSウイルスの登場を予言。（この予言は2000年にLoveLetterウイルスとして現実となった。）



４．組織化と感染路の多様化

1990年代はウイルスに関連する組織化が進み、感染路も多様化しました。

　1999年MS-Outlookを使って感染拡大する最初のウイルスHappy99（W32/Ska）登場、感染経路の広域化が一気に進む。MS-WordのマクロウイルスMelissaが全世界的に流行、数千万ドルの被害をもたら

す。添付ファイルを開かずともメッセージを読んだだけで感染する初のウイルスBubbelBoy登場。常に最新のウイルスモジュールを遠隔のサーバからダウンロードして若返る初のウイルスBabylonia登場。



５．多様化・凶悪化・組織化するマルウェア

2000年代前半は多様化、凶悪化かつ組織化していくマルウェアの将来を暗示し

ているのでしょうか？

　2000年1998年にEugene Kasperskyが予言したVBSのスクリプトウイルス（テキストベースのソースコード）がLoveLetterとして現実のものとなる。Babyloniaの改良版で危険度の増したHybris登場。

　2001年CodeRed、Nimdaといったシステムの脆弱性を突いた攻撃を仕掛けるウイルス（ワーム）が登場。NimdaはMS-Outlookのプレビューウィンドウを見ただけで感染。メールが感染手段の90%を占める（Kaspersky Labs調べ）一方、ICQ、MS-IMが不正プログラムの新たな感染手段として登場。感染被害については90%がワームによってもたらされるようになった。RAMに感染し、パケットを通じて感染するファイルレスワーム（File-less worms）が

登場。






　2002年この年からパスワード、機密情報、インターネットアクセス情報等の個人情報を盗む不正プログラムが急増。ウイルス作者が従来の愉快犯から、カネ目当てのプロフェッショナルに移行したとみられる。一方で旧来型のウイルスは激減。記録的な大規模感染を引き起こしたワームKlez登場。当年の感染被害の60%はKlezおよびその亜種によって引き起こされた。

　2003年1月25日、韓国のインターネットを大混乱に陥れたSQL Slammerが発生。全世界で

数十万台のコンピュータに感染しネットワーク帯域を著しく圧迫した。8月、WindowsのDCOM RPCの脆弱性を狙ってインターネットから直接感染するワームBlaster(Lovesan)が大規模感染を引き起こす。同月、Sobigの亜種”f”が大規模感染を引き起こす。メールのおよそ20通に1通がSobig.fであった。Sobigは感染したPCのネットワークが次の大規模感染引き起こすという典型的事例となった。






　2004年現在でもその亜種がワームのトップ20（Viruslist.com調べ）に君臨するMydoom、NetSky、Bagleなどが大量発生。NetSky、Bagleは自分自身を圧縮ファイルとして添付する特徴を持ち、特にBagleの亜種Bagle.fはパスワードでロックされた圧縮ファイルを用いる点が注目される。感染したゾンビPCを連携させ、ボットネットを形成して組織的に迷惑メールを発信したり、ターゲットにDDos攻撃を加えたりする手法が一般化する。

パスワードや金融関係の個人情報を盗むトロイの木馬や、スパイウェアをダウンロードするトロイの木馬など、明らかに金銭目当ての犯罪に加担する不正プログラムが蔓延し始めた。


世界的なウイルス流行の脅威大量のワームによるDDoS攻撃Botによる大量のスパムメール配信複合的な脅威 (ウイルス+スパム+DoS)重大なインフラ攻撃

IRC-ワーム, フラッシュワーム, バックドア,スパイウェア, スパムメール

インターネットワーム, Linux / VBS-ウイルス,DoS 攻撃

書庫ファイルウイルス、ステルスウイルス

DOS ウイルス

トロイの木馬、ブートウィルス

マクロウイルス

ローカルPC

Future1980 20001995 20031990

ローカルネットワーク

国や地域　　

世界的な脅威!!

モバイルウイルス


６．ITセキュリティの脅威の進化

Kaspersky Labs <http://www.kaspersky.com/>資料参照



７．個人情報流出のリスクについて

2004年に起きた個人情報漏洩の最大推定賠償額ランキング

（日経ビジネス2005年2月28日号より引用）

ダイレクトメールに使う氏名・住所などの顧客データが外部に流出。3月に発覚後、元社員

による犯行と判明約31億円6000円51万3840人ジャパネットたかた

ツアー旅行参加者の氏名、住所などのデータが社外に流出。6月に発覚後、社員による内部犯行と判明

約37億円6000円62万人阪急交通社

サービス利用者の氏名・住所などのデータが社外に流出。3月に発覚後、流出経路は現在も捜査中

約41億円1万2000円33万9177人アッカ・ネットワークス

クレジットカード番号などを含む会員データが社外に流出。4月に発覚後、流出経路は現在も捜査中

約156億円15万6000円9万9789人日本信販

契約物件や賃貸住宅の所有者などのデータを保存したパソコンが6月に同社の事務所から盗まれた。現在も捜査中

約162億円4万5000円35万9259人大和ハウス工業

自動車のナンバーや車検時期などを含む会員データが社外に流出。4月に発覚後、システム開発委託先の社員の犯行と判明

約332億円3万6000円92万3239人コスモ石油

クレジットカード番号などを含む会員データが社外に流出。7月に発覚後、流出経路は現在も捜査中

約746億円15万6000円47万7959人ディーシーカード

サービス利用者の氏名・住所などのデータが不正アクセスで社外に流出。2月に起きた恐喝未遂事件で発覚

792億円1万2000円660万人ソフトバンクBB

貸付残高などの顧客データが社外に流出。1月に発覚後、流出経路は現在も捜査中

1080億円9万円120万人三洋信販

概要最大推定賠償額1人当たり推定賠償額被害人数会社・団体名


スニッファ

・ネットワークを流れるデータを盗聴

・本来は監視用のツールバックドア

・トロイの木馬に仕込まれる

・PCを遠隔から自在に操作

・本来は遠隔管理ツールスパイウェア／アドウェア

・Web閲覧の履歴を送信

・ブラウザの設定を勝手に変更

・PCの画面をキャプチャして流出

・本来はバナー広告を支援する技術

ウイルス（ワーム）

・情報漏洩を実行するワーム

・バックドアを仕込むワーム

・送信アドレスは通常詐称されている

情報を盗み出すために使われる不正プログラムには以下のものがあります。

キーストロークロガー

・スパイウェアの一種

・キーボードの入力データを送信

・パスワードを暗号化する前に流出

・本来は子供の不正使用を防止するツール


８．情報漏洩に用いられるマルウェア


コンピュータの情報を外部に漏洩させるワームの事例（IPAセキュリティセンタ<http://www.ipa.go.jp>参照）

Klez の亜種（2003年）

・感染したPC内にある.jpgあるいは.htmファイルをランダムに選択して添付

・ウイルスのファイルとともに外部に送信

Badtrans の亜種（2001年）・キーストロークロガー（トロイの木馬）をインストール

・キー操作のログは特定のファイル（cp_25389.nls）に格納してウイルス作者に送信

Mydoom の亜種（2004年8月16日）

・バックドアをインストールして感染PCを外部から操作可能にする

・2004年8月20日21時11分11秒に活動停止したが、バックドアは残留

Sircam （2001年）・MS-Word, MS-Excel等のデータファイルに感染、添付ファイルにて送信

・ウィルスとともに機密情報も漏洩するリスクあり、この種のウイルスの草分け


９．情報漏洩に用いられたワーム



第３部　ウイルスの進化と今後のトレンド



１．マルウェアによる最近のインシデント

PSW Trojanと考えられる

（報道では「スパイウェア」）

顧客を装ってニセの苦情メールを送りつけパスワードなどの個人情報を搾取。ネット銀行サービスから計約940万円を不正に引き出す。

2005年7月13日

Bozori.a / Zotob.d米国で大規模なワーム感染発生。CNN、ABC Newsなど大手メディアが被害を受けた。

2005年8月16日

報道では「トロイの木馬」

（和製のマルウェア）

大手電機メーカ社員のPCにウイルスが感染。原子力発電所に関する機密情報流出が発覚。

2005年6月23日

報道では「スパイウェア」

（この場合は特別仕様と推定）

米国クレジットカード情報を管理する企業のデータベースから4000万件の顧客情報流出。

2005年6月17日

PSW Trojan

（パスワードを盗むトロイの木馬）

国内最大級の価格比較サイトがウイルスに感染。サイト停止に追い込まれた。

2005年5月11日

関わったマルウェアインシデントの内容日　付

最近発生した、不正プログラムが絡んだセキュリティインシデント（事件）です。



２．新種ワームBozori.aについて

2005年8月16日、米国の報道機関を中心に大混乱を引き起こした

新種のワームです。

Net-Worm.Win32.Bozori.a (Kaspersky Labs)WORM_ZOTOB.D (Trend Micro)W32/Sdbot.worm!51326 (McAfee)

名　称

•メールを用いずにインターネットから直接感染（Net-Worm)•WindowsのPlug and Play機能の脆弱性（MS05-039）を突いた攻撃

•感染PCはIRCチャネルを使ってハッカーから遠隔操作される（バックドア）

•感染PCをリブートする（これは作者の意図とは反した活動らしい）

活動概要



３． Bozori.aの感染メカニズム

感染PCのudp/69ポートにｔｆｔｐサーバを開設TCPポート４４５のオープンを確認

69

４４５

ターゲットPCに8594ポートを開き、感染源からワーム本体をアップロードさせる。

ワームの本体wintbp.exeをtftpでコピー

69

４４５

オープンしていた場合Windows Plug and Playの脆弱性(MS05-039)を突いた攻撃を開始。

69

感染源コンピュータ

８５９４

８５９４

Viruslist.com <http://www.viruslist.com/>参照



４．日本国内の状況

14 57 253 8971,127 668 7552,3912,0353,64511,109

24,26120,35217,425

52,151

0

10,000

20,000

30,000

40,000

50,000

60,000

件数

1990 1992 1994 1996 1998 2000 2002 2004

年

ウイルス届出件数の年別推移

IPA/ISEC <http://www.ipa.go.jp/security/>参照



５．これからのマルウェアのトレンド

ウイルス作成の目的、動機の変容

・個人情報や金銭の窃盗を主な目的とする

・プロフェッショナルなウイルス作者の台頭（ウイルスは「儲かる商売」）だと気付いた？）

・ボットネットのレンタルや売買の裏ビジネス化

・ボットネットからの攻撃で乗っ取られたゾンビプロキシサーバ上でスパマーを売買

・アンダーグラウンドでの組織化と組織間の抗争

・量的な拡大に背を向け特定のターゲットを狙い撃ち

技術的な進化

・ソフトウェアの脆弱性を突いた感染や攻撃手法の洗練（ますます防ぎにくくなる）

・ウイルス作成ツールの普及による膨大な亜種の発生（1時間に100個以上）

・マルウェア同士の連携（ボットネットの形成）

・異種ウイルスとの混成（Trojan Droppers）

・異種ウイルスとの連携（Trojan Downloaders）





１．不正プログラム対策（１）ウイルス対策製品（Anti-Virus）の導入

・ウイルス、ワーム、トロイの木馬、不正スクリプト（ｈｔｔｐ/ｆｔｐベース）の対策に有効

・クライアントPCに個々にインストールするタイプとゲートウェイタイプがある

・シグニチャ（パターンファイル）のこまめなアップデート（更新）が必要

・通常の製品はスパイウェアには対応していない

スパイウェア対策製品（Anti-Spyware）の導入

・スパイウェアおよびアドウェア（Adware）の対策に有効

・シグニチャのこまめなアップデートが必要

・ゲートウェイタイプの製品は現状ほとんど発表されていない

セキュリティホールを狙った攻撃への対応

・ファイアウォールによる不要ポートの閉塞

・侵入検知・防御システム（IDS/IPS）の採用

・最新セキュリティパッチの適用



２．不正プログラム対策（２）

既知のウィルスの検出　⇒　シグニチャ（パターン）マッチング

・既に検出されたウイルスの特定のプログラムコードをシグニチャ（指紋）として登録

・メールのデータ中にシグニチャが発見されればウイルスと断定

・シグニチャが特定されてからアップデート完了までの時間は危険な状態にさらされる

・未知のウィルスは検出できない

未知のウイルスの検出　⇒　ヒューリスティック（Heuristic：学習型）

・ウイルスやワームの持つプログラムコードの統計的特性を学習

・シグニチャのベースで「シロ」のウィルスも、上記の特性に照らしてチェック

・未知であってもヒューリスティック方式で「クロ」となればウイルスと断定

ウイルス（ワーム）に対する検出方式の概要です。

Behavior Analysis　⇒　行動分析（異常な動きをするプログラムを検出）



３．スパム（迷惑、デマメール）対策

スパム対策製品（Anti-SPAM）の導入

・スパムメールがウイルスを含んでいるケースがあるのでスパム対策がウイルス対策に有効

・スパムと断定すると「件名に定型句を挿入」、「管理者に転送」、「削除」等の処置

・クライアントタイプとゲートウェイタイプあり（専用ゲートウェイは10万円～400万円程度）

・統計的なデータに基づいてフィルタをかけるベイジアン（Bayesian）方式が有名

・ヒューリスティック方式も採用されている

・最終的にスパムかどうかは受け手の判断によって異なる（誤検出は営業妨害になる？）

・スパムの手法が目まぐるしく変わり、技術的な解決策は確立されていないとされている



４．ウイルス対策製品の選択基準

1. ウイルス検知率：公的な機関での評価結果

2. ヒューリスティックスキャンの水準：未知のウイルスに対する防御性能

3. 誤検知率の低さ：ヒューリスティックスキャンの信頼度

4. 圧縮ファイルのスキャン機能および対応形式の種類

5. シグニチャ（パターンファイル）の更新頻度： 1回/1～3時間以内

6. シグニチャ更新時のファイル容量：小さいほど迅速

7. プログラム本体を変更せずに検索エンジンだけを更新できること

Kaspersky Labs <http://www.kaspersky.com/>資料参照



５．ITコーディネータとしての取り組み方

ITコーディネータとしてシステム開発に関わる場合、ウイルス対策はどのように

推進したらよいでしょうか？

1. 顧客あるいはベンダが採用しようとするシステムのプラットフォームを確認

2. 各システムのプラットフォームに内在する脆弱性を調査

3. 各々のシステムに最適な特性を備えたウイルス対策製品を選択

4. 顧客のポリシーに合致したセキュリティレベル／パフォーマンスを決定

5. 上記のレベルを実現するようウイルス対策製品のチューニングを実施

6. 期待通りの効果が得られているか検証



６．ウイルス対策参考サイト

　国内サイト

独立行政法人　情報処理推進機構セキュリティセンター（IPA/ISEC)<http://www.ipa.go.jp/security/>

　セキュリティ関連サイト

INSECURE <http://www.seclists.org>The SANSTM Institute <http://www.sans.org/>SecurityFocusTM <http://www.securityfocus.com/>Viruslist.com <http://www.viruslist.com/en/index.html>

　負荷テストサイト

AV-Test.org <http://www.av-test.org>VIRUSTOTAL <http://www.virustotal.com>AV-Comparative <http://www.av-comparatives.org>Virus Bulletin <http://www.virusbtn.com>


株式会社ケイエルジェイテック株式会社ケイエルジェイテック

Kaspersky Labs OEM Partner

Network Box Japan Official Distributor for Japan

加盟団体

ネットワークセキュリティーソフトウェア及びハードウェア製品の開発、販売、保守サービスの提供、セキュリティネットワークコンサルテーション

事業内容

http://www.kljtech.com/ホームページURL

代表取締役社長：アドリアン・ヘンドリック取締役：種本正秋取締役：今西和也

役員

三井住友銀行三菱東京ＵＦＪ銀行みずほ銀行

主要取引銀行

2006年1月10日設立

03-5297-4005FAX

03-5297-4004 （代表)TEL

〒101-0025 東京都千代田区神田佐久間町1-14 第二東ビル4階

(1-14 Daini-Azuma Bldg. 4F, Kanda-sakumacho, Chiyoda-ku, Tokyo)

住所

株式会社ケイエルジェイテックKLJTECH Co., Ltd.

会社名


お問い合わせお問い合わせ

株式会社ケイエルジェイテック　（メーカー）

〒101-0025 東京都千代田区神田佐久間町1-14 第二東ビル4階

TEL: 03-5297-4004 / FAX: 03-5297-4005E-mail: [email protected]: http://www.kljtech.com/

Documents

最近のウイルス事情 · 2008. 2. 28. · 第1部 コンピュータウイルスとは一体何か？ 6．ウイルスはもう時代遅れ？ ウイルスは今やインターネットの脅威の主役ではなくなりました。

最近のウイルス事情 · 2008. 2. 28. · 第1部コンピュータウイルスとは一体何か？ 6．ウイルスはもう時代遅れ？ウイルスは今やインターネットの脅威の主役ではなくなりました。