 |
||||||||||
|
||||||||||
| 前のページ 1 2 3 次のページ | ||||||||||
|
||||||||||
| 1.Webサーバへの不正侵入 | ||||||||||
|
最初のステップとして、まず悪意あるユーザがWebサーバに不正侵入したのち、Webサイトを改竄する。そしてアクセスしてきた一般ユーザに対して、マルウェアを送りつける。
※注1:
マルウェアとは、「malicious software(悪意のあるソフトウェア)の短縮された言葉。主にコンピュータやサーバ、ネットワークにウイルスやスパイウェアなどの被害を起こすように設計されたソフトウェア全般を指す。
|
||||||||||
| 2.改竄されたWebサーバへ一般ユーザがアクセスする | ||||||||||
|
次に一般ユーザが改竄されたWebサーバのサイトへアクセスした際に、不正コードなどのマルウェアが、ユーザのコンピュータにダウンロードされる。 |
||||||||||
| 3.一般ユーザのコンピュータが、他の不正サイトへ「勝手に」アクセス | ||||||||||
|
ダウンロードされたマルウェアが他の不正サイトへ勝手にアクセスを開始する。アクセスしたWebサイトより、別のマルウェアをダウンロードされる。 これらのダウンロードされたマルウェアには、下記のように多様である。
表2:ダウンロードされたマルウェアが起こすアクションの例 |
||||||||||
| 4.感染したマルウェアが「ダウンローダ」となり、他のウイルスを自動的にダウンロードする | ||||||||||
|
さらに他の不正サイトへアクセスし、新たなマルウェアをダウンロードするものは「ダウンローダ」といわれ、「繰り返し攻撃を受ける」被害の原因となっている。これらダウンローダを駆除しない限り、マルウェアによる攻撃が延々に繰り返されることになる。 この「Webからの脅威」の典型的な例ともいえる事象が、2007年6月中旬にイタリアのWebサイトにて発生した。この手口はまさにWebサイトを改竄し、Windows版Internet Explorerの脆弱性を利用するウイルスを、一般ユーザのコンピュータにダウンロードさせるものである。この事象についての詳細については、ぜひ以下のURLを参照していただきたい。
2007年6月中旬にイタリアのWebサイトにて発生した事例
http://jp.trendmicro.com/jp/threat/security_news/virusnews/article/20070619064518.html またこれらの脅威に用いられるウイルスは亜種(最初の発見されたウイルスやワームを元に、被害や動きが変化したもの)が登場するペースが非常に速いため、通常のパターンファイルによるウイルス対策ソリューションでは、対応が間に合わないケースも発生してきている。 |
||||||||||
| 最近の脅威への対応 | ||||||||||
|
これら最近の脅威に対応するためには、当然のことながらクライアントOS(Windows XP、Windows 2000など)において、パッチの即時適用、セキュリティ対策ソフトの導入などが欠かせない。今回は自分のサーバが「加害者」にならないため、サーバOSに対しての対策にはどういったものがあるかを、既存の製品と最新の技術を用いた製品を織り交ぜて説明していく。 |
||||||||||
| 到達する前に防ぐ | ||||||||||
|
これらの脅威からサーバOSを守る対応する手段として最も有効なのが、そもそも「脅威をサーバOSまで到達させない」ことである。脅威がサーバOSに到達した際のセキュリティ対策、つまりサーバOS上でのセキュリティ対策製品の利用ももちろん必要であるが、サーバOS上での対策は「最終手段」と考えたほうがよい(サーバOS上でのセキュリティ対策製品については、後ほど説明する)。 そのためサーバOSに対するセキュリティにおいては「サーバOSに到達する前に、どれだけ脅威を減らすことができるか」ということが非常に重要であり、それらを意識した多くの製品やサービスが各社よりリリースされている。 例えばスパムメール対策においては、スパムメールの送信元サーバのIPアドレスが数多く登録されているブラックリストを活用した「レピュテーションサービス」というものを用いることにより、スパムメールがサーバに到達する前にブロックすることができる。 このサービスは外部のメールサーバから届いたからメールのSMTPセッションが開始される際、送信元メールサーバがブラックリストに登録されていないかをチェックする。もし登録されていた場合は、SMTPセッションが確立する前にメールを破棄し、スパムメールによるメールサーバOSの過負荷を避けることが可能である。 このようなレピュテーションサービスは、トレンドマイクロからは「E-mail Reputation Services」としてユーザ環境にサーバを設置することなく導入できるサービスとして提供している。このほか、メールセキュリティソリューションとして「InterScan Messaging Security Suite」と「Spam Prevention Solution」との組み合わせや、アプライアンス製品「InterScan Gateway Security Appliance」を通しても利用可能だ。 「Webからの脅威」への対策については、トレンドマイクロでは2007年6月28日から「Webセキュリティサービス」の販売を開始した。このサービスに含まれる「Webレピュテーション機能」は、スパムメール対策におけるレピュテーションサービス同様、ブラックリストに登録されているURLへのアクセスを遮断する。通常のURLフィルタリングのようにユーザがWebブラウザを用いてWebサイトにアクセスする際に、不正なサイトへアクセスを防止するだけではなく、ユーザの知らないうちに侵入してきたスパイウェアやダウンローダが不正サイトへアクセスする際にHTTP接続を悪用されることを防ぐ効果もある。 そのため繰り返しの被害を与えるダウンローダ対策にはきわめて効果的である。また前述したようにこれらのマルウェアは発生直後に多数の亜種を生み出すことが最近の特徴であるため、不正サイトへの接続をブロックすることにより、パターンファイルでは対応しきれないほどの速さで生み出される亜種への感染を予防することも可能だ。 ダウンローダなどの活動を断ち切ることにより、クライアントOSがマルウェアに感染を防止することが可能である。これがひいては、サーバOSからの情報漏洩の防止や、クライアントOS上のマルウェアによるサーバへの不正アクセスの防止にもつながるため、「脅威がサーバOSに到達する前に防ぐ」という観点の対策となる。この「Webレピュテーション機能」は、後述する「ウイルスバスター コーポレートエディション」とオプションである「Webセキュリティサービス」の組み合わせにより利用可能だ。 |
||||||||||
|
前のページ 1 2 3 次のページ |
||||||||||
|
|
||||||||||
|
|
||||||||||
|
||||||||||
|
|
||||||||||
|
||||||||||
|
|
||||||||||
|
||||||||||
-
-
連載
