真下 竜実 NRIセキュアテクノロジーズ情報セキュリティ事業部長
田中 貴志 NRIセキュアテクノロジーズ情報セキュリティ事業部セキュリティエンジニア
日々進化するウイルスに対しては,ウイルス対策ソフトをパソコンにインストールして定期的にスキャンするだけでは対応しきれません。セキュリティ・ゲートウエイ,メール・サーバー,クライアント・パソコンといった多段階での対策が必須と考えるべきです。
ウイルスの感染経路として最も多いのはメールであることは間違いない事実でしょう。こうした背景もあり,以前から一般的に実施されてきたクライアント・パソコンでのウイルス対策だけでなく,メール・サーバーやインターネットとの境界でのウイルス・チェックも一般的になりつつあります。ウイルス防御についても,インターネットに近い場所で対策を実施することが,より効果的であると考えられます。
拡張子規制で添付ファイルを削除
最近のウイルスは亜種が発生する頻度が非常に高く,ウイルス対策ソフトのパターン・ファイルを最新にしていても防げないケースがあります。パターン・ファイルの更新が間に合わない場合にウイルス流入を防ぐ方法としては,添付ファイルの拡張子によるフィルタリングが効果的です(表1)。
ウイルスを含むファイルは,ダブルクリックしただけで感染してしまうケースがほとんどです。MS-DOSで動くアプリケーションへのショートカットである「.pif」といった拡張子は,一般的なユーザーならメールでやり取りすることはありません。こうした拡張子は削除,または一定期間保留といったルールをメール・ゲートウエイに設定して通過を制限します。
一方で,アプリケーションに付けられる「.exe」や圧縮ファイルである「.zip」といった拡張子が添付ファイル名に付くウイルスも数多くあります。既に業務としてこれらの拡張子を持つファイルをやり取りしているユーザーも多いでしょう。こうした場合には,メール送信者に対して拡張子「.exe」を「.ex」に変更して送信してもらうといった回避策を告知したり,添付ファイルを削除したことを受信者に通知する仕組みを設定する必要があります。
異なる検知方式を使って多段階で防御
しかし,メール・ゲートウエイでの対策だけでは,社内への流入の危険は完全には阻止できないと考えるべきです。メール・サーバーでの対策として,メール・ゲートウエイなどで利用しているウイルス対策ソフトとは別のベンダーの製品を導入するとよいでしょう(図1)。ベンダーによって,新種ウイルスに対応するパターン・ファイルが提供されるまでの時間や検知精度に差があるからです。
また,新種や亜種といったパターン・マッチングや,拡張子規制をすり抜けてくるウイルスへの対応として,ジェネリック検知方式やヒューリスティック検知方式と呼ばれる仕組みを備えるクライアント・パソコン用のウイルス対策ソフトもあります。これらの仕組みは,あるプログラムの「ウイルスらしい振る舞い」を確認してウイルスかどうかを判定します。そのため,パターン・ファイルの更新に頼ることなく,ある程度新種のウイルスを防げます。
Webアクセスもチェック対象に
最近はWebアクセス経由でもウイルスに感染する危険性が高まっています。ユーザーが(1)掲示板の書き込み,(2)検索サイトの結果表示,(3)広告宣伝メール――などにあるリンクをあまり注意せずクリックし,怪しいサイトにアクセスしてしまう危険もあります。セキュリティ・ホールをふさいでいないブラウザでこうしたサイトにアクセスすると,ウイルスに感染してしまいかねません。そのため,WebアクセスについてもHTTPプロキシでウイルス・チェックを実施すべきです。
集中管理とユーザー教育も大事
クライアント・パソコンのウイルス対策ソフトについてパターン・ファイルの更新をユーザー任せにしている場合は,再考したほうがよいでしょう。ウイルス対策製品の集中管理ツールを導入し,パターン・ファイルの強制更新や,定期スキャンの実施に関するポリシーを集中管理すべきです。
しかし,多段階防御の最後のとりでは,ユーザー自身の情報セキュリティへの意識だと言えます。最近のウイルス作者はいかにウイルス・ファイルをダブルクリックさせるかに知恵を絞っているようです。送信者名を受信者と同じドメインにしたり,エラーで返ってきたメールを装うなどの手口が見られます。こうした手法を事前に理解していれば,ウイルス・メールがクライアントに届いてもユーザーが実行しなければ感染しません。システム管理者やセキュリティ管理者は,ウイルス情報の提供をユーザーに対して継続的に行っていくことも重要です。
