セキュリティの鉄則の一つとして,「不審なファイルは開かない」ということが挙げられます。筆者も記事の中で何度も書いています。ただ,記事中で「不審なファイル」の具体例をリストアップすることはあまりありません。リストアップすると,いくら一例だと断っても,「それ以外なら開いても大丈夫」と思われる危険性があるからです。どのようなファイルの種類であっても,どんなメールに添付されていたファイルであっても,悪質なファイル(ウイルス)であるリスクはゼロではありません。
5月下旬に確認されたMicrosoft Wordを狙うゼロデイ攻撃で,そのことを改めて思い知らされました(関連記事:Microsoft Wordにパッチ未公開の脆弱性)。この攻撃では,Wordの未知の脆弱性(セキュリティ・ホール)を突くWordの文書ファイル(DOCファイル)が使われました。同じ組織(企業)内から送られたと見せかけたメールに,そのDOCファイルが添付されていました。未知の脆弱性を突くものなので,ウイルス対策ソフトなどは当然未対応でした。
WordやExcelで動作するマクロ・ウイルスが全盛だった1999年ごろは,「DOC」や「XLS」ファイルは危険なファイル種類の一つとされ,これらのファイルをメール・サーバーなどでフィルタリングする企業/組織は少なくありませんでした。
しかし現在では,出回っているウイルスのほとんどが実行形式ファイルなので,DOCファイルやXLSファイルが危険視されることはまずないでしょう。筆者のもとにも,DOCファイルのニュース・リリースを添付したメールが,毎日何通も送られてきます。
「たとえDOCファイルであっても,安易には開かない」という用心深いユーザーであっても,メールの送信者名が同じ企業/組織の人物あるいは部門だったらどうでしょうか。
メールの送信者名を偽装することは極めて容易なので,用心深いユーザーなら,メールのヘッダー情報を参照するかもしれません(関連記事:「メールの送信者名は偽装できる」)。しかし,セキュリティ組織の米SANS Instituteが伝えるところによれば,Wordを狙った5月下旬の攻撃では,悪質なDOCファイルを添付したメールは,ターゲットとなった企業/組織のドメイン名と酷似したドメインから送られていたそうです。これでは,ヘッダー情報まで参照しても悪質なメールだと気付かないかもしれません。
また,メールの本文中に書かれていた署名も,その企業/組織で使われているものだったと伝えられています。
もちろん,このような手が込んだ攻撃は極めてまれなので,この攻撃から「何も信用できない」とするのは早計です。しかし,ファイル名(ファイル種類)だけから「DOCファイルだから大丈夫」と判断することや,メールの送信者名だけから「社内からのメールだから大丈夫」と判断すること,「ウイルス対策ソフトが無反応だから大丈夫」と判断することが万全ではないことは分かっていただけるでしょう。
ウイルス作者は,ウイルスのメカニズムよりも,「ユーザーをだまして,いかにウイルスを実行させるか」に力を注いでいます。「××だから大丈夫」という判断基準を設けた瞬間,ウイルス作者はその裏をかこうとします。このためユーザーとしては,ファイルの種類やウイルス対策ソフトの警告,ファイルが添付されていたメールの内容,ファイルの入手元の信頼性,そのときどきのウイルスの“トレンド”や,利用しているソフトウエアの“セキュリティ状況”---などから,総合的に判断することが重要となります。
不審なファイルかどうかを判断するための絶対的な基準は存在しません。ユーザーが総合的に判断して,わずかでも「信頼できない」と感じたファイルが「不審なファイル」なのです。
