コンピュータウィルスと脆弱性

コンピュータウィルスと脆弱性
情報社会と情報倫理
1/15/09
コンピュータウィルス対策入門

ウィルス対策スクール（IPA）
 コンピュータウィルスとは
 どのようなことが起きるのか
 対策は
 事後処置は
 届け出
ウィルスはプログラム



だから，実行しなければ大丈夫！？
WordやExcelのデータ
 実はプログラムが含まれる場合がある
画像ファイルだと思って，ダブルクリックする
 開いただけでアウト
画像データ
 お宝画像.jpg
.exe
 拡張子を偽装
空白が含まれるファイル名
「外部記憶メディアのセキュリティ対策を再確認しよう！」
― USB メモリ、便利のウラに落とし穴 ―
（ＩＰＡ）
感染経路（１）


プログラムの持ち込み
 USBメモリなど
メールの添付ファイル
 インターネット
感染経路（２）

最近では…
 「ウイルスの感染経路、過半数はWeb経由」
――トレンドマイクロ（IT Pro）

ビックカメラのプリント注文機にウイルス、メモ
リーカード経由で感染（IT Pro）
ワクチンソフト（１）


を最新の状態で使っていれば大丈夫？
いろいろなワクチンソフト
 すべてのウィルスに対応できるかどうかは？
ワクチンソフト（２）

新種が出現

対策が間に合わない場合がある

2008年のウイルスは150万種類、たった1年で過
去21年分の2倍（IT Pro）
起源


コンピュータウイルスの歴史。それは1972年から
始まった
http://www.watch.impress.co.jp/broadband/new
s/2001/12/07/virus.htm
正しくは1986年というべき（別の説もあり）
ソフトウェアの脆弱性
原因
ソフトウェアの脆弱性
設計ミス・プログラミングミスなど

脆弱性とは
 簡単に言えば，“欠陥”


“情報漏えい”などシステムの安全な運用を脅
かす原因になるもの
ソフトだけでなく，ハードの脆弱性もある
脆弱性の情報

いろいろなサイトで情報が公開される
 開発者のサイト
 セキュリティ関連企業
 公的機関
 IPA
 警察庁
など
 ニュースサイト（上記の情報の報道）
対策（１）



脆弱性情報で指示される修正プログラムを入手
し，適用する
修正ではなく，新しいものに置き換える場合もあ
る（バージョンアップ）
利用中の他のアプリケーションとの関係で，これ
らを実施できないことがある
対策（２）

例マイクロソフト Windows Update
対策（３）

修正プログラムなどが提供されていない場合も
ある
 “使用上の注意”で対応
 “信頼のおけないサイトにアクセスしない”
 “信頼のおけるサイト”でも危ない場合がある
 乗っ取られている場合がある
 エキサイトブログのトップページ改ざん、不
正なスクリプト挿入（INTERNET Watch）
対策（４）

使用しているすべてのソフトウェアに対して対策
をする
 インストールしたことを忘れていることがある
 おまけのソフト
 かなりの注意が必要
しかし

そもそも“脆弱性”という言葉すら知らない

その情報が提供されていることを知らない

ということがないように！
ゼロデイアタック


修正プログラムなどの提供前に，脆弱性をねらっ
た攻撃が行われること
 脆弱性をつくウィルス
直接，防ぎようがない
 間接的に防ぐことが可能な場合もある
脆弱性の放置（１）

自分のパソコンには，重要な情報はない

だから，脆弱性があってもかまわない
脆弱性の放置（２）

パソコンを乗っ取られる場合がある
 ボット（bot）
 ネットワーク経由で外部の者の指示通りに命
令を実行する
 spamの送信
 Webサーバなどへの攻撃
 ボットを集めたボットネット
 闇市場で貸し出されていたりするらしい
脆弱性の放置（３）

つまり，他人に危害を加える可能性がある

自分だけの問題ではない

加害者になっていることが分からない
 このような目的のウィルスの場合，
感染しても，はっきり分かる症状が出ない
脆弱性の放置（４）


「インターネット接続するコンピュータは，39秒ご
とに攻撃を受けている」，米調査
http://itpro.nikkeibp.co.jp/article/NEWS/200702
07/261293/
 全部が脆弱性をねらったものではない
脆弱なPCの生存時間は約4分
http://www.itmedia.co.jp/news/articles/0807/15
/news029.html
これらのコンピュータなどから，
アクセスされる必要がないのに，
アクセスされている
脆弱性の放置（５）

私の自宅での例
脆弱性の放置（６）


その実態
Googleユーザーの半数近くがWebブラウザの脆
弱性を放置
http://www.itmedia.co.jp/news/articles/0807/02
/news030.html
人の脆弱性（１）

例パスワード
 簡単なもの
 推測されやすいもの
 メモして他人に見られそうなところに貼る
人の脆弱性（２）


ソーシャルエンジニアリング
人間に隙をついて，情報を不正に得る
 上司を装い，社員のパスワードを聞き出す
 銀行員を装い，暗証番号を聞き出す
 振り込め詐欺

Download Report