2006年末,企業システムを変貌させる新しいツールが登場した。その核はインテルの「vPro」,マイクロソフト「Windows Vista」といった,クライアントの次世代プラットフォーム。企業ネットのセキュリティ・モデルが根底から変わろうとしている。最終回となる今回は,スパイウエア対策機能について述べる。

ボットの侵入に「気付き」を与える

 NAP以外でマイクロソフトが強化したのが,(2)~(4)のユーザー・アカウント制御,スパイウエア対策,フィッシング対策。ウイルス感染や詐欺を防ぐための機能である。

 ユーザー・アカウント制御は,ボットやスパイウエアが侵入しようとしたとき,ユーザーに“気付き”を与え,感染を防ぐ仕組みだ。ユーザーの権限を管理するOSでしか実現できないセキュリティ強化法である。

 一般にボットやスパイウエアは,ユーザーに気付かれないようにプログラムをインストールしようとする。例えば,映像ファイルのように見せかけた実行ファイル。ユーザーがダブルクリックしても一見何も起こらないが,背後では不正プログラムがインストールされる。ユーザー・アカウント制御は,こっそりとプログラムをインストールできないように,インストール時に必ず問い合わせ画面を表示し,ユーザーに気付きを与える。

 Windows XPの場合,管理者権限を持つユーザーは,ログオンした瞬間から管理者権限でパソコンを操作できる。どんなプログラムでも何の障害もなくインストールできる。このため,ボットの侵入を許すと不正プログラムをインストールされ,犯罪者に自在に操作される危険性が高いわけだ。

 これに対してVistaでは,管理者権限を持つユーザーであっても,ログオン時にはまず,1ランク低い「標準ユーザー」としての権限しか持たせない(図3-3)。標準ユーザーにはインストール作業の権限はない。インストールの処理が発生した場合は,一度画面をブラックアウトさせ,その作業を続行してよいかを問う画面を表示する。ここで「続行」と押すとはじめて管理者権限が付与され,インストールなどの作業ができるようになる。ただし,管理者権限が与えられるのは,現在行おうとしている動作に関してだけ。それ以外に管理者権限を必要とする動作,例えばOSの設定変更などを改めて実行する場合は,同じ手順を繰り返すことになる。

図3-3●ユーザー・アカウント制御でウイルスの侵入を防ぐ
図3-3●ユーザー・アカウント制御でウイルスの侵入を防ぐ
ウイルスが勝手にプログラムをインストールしないように,インストール前に必ず実行の許可が必要になる。  [画像のクリックで拡大表示]

 先の例のように画像ファイルだと思って不審なプログラムのアイコンをダブルクリックしても,いきなりインストールされてしまうことはない。ユーザーがキャンセルを選べば,不審なプログラムをインストールされずに済む。

スパイウエア対策でも他社製品に差別化

 Windows Defenderによるスパイウエア対策とIE7に搭載したフィッシング対策は,サードベンダーの製品でも実現できる。Vistaによって得られる最大のメリットは,前述したNAPと同様に無償で利用できる点。さらに,他社製品より優れている面もある。

 Defenderがスパイウエア対策ソフトとして備える機能はオーソドックスなもの。ウイルス対策ソフトと同様に定義ファイルを持ち,これに合致するファイルを検出,削除する。強みは,全Windows Vistaユーザーから怪しいプログラムに関する情報を収集する機能を持つ点。こうして情報を集めれば,スパイウエアの検体を取りこぼす確率が低くなる。 Windowsユーザーの数の多さを考えれば,この効果は大きい。

 一方,フィッシング対策機能は,URLのマッチングによる厳密なフィルタリングと,Webページの“フィッシング・ページらしさ”を評価する二つの機能から成る(図3-4)。

図3-4●Internet Explorer 7はフィッシング対策機能を標準で備える
図3-4●Internet Explorer 7はフィッシング対策機能を標準で備える
マイクロソフトのデータベースにアクセスして判定するとともに,独自のエンジンでフィッシング・ページらしさを検査する。  [画像のクリックで拡大表示]

 URLマッチングは,Webページを読み出す前にIE7からマイクロソフトのフィッシング情報データベースに問い合わせて,アクセスしようとしているサイトがフィッシング・サイトかどうかをチェックする機能。合致する情報がない場合は,Webページを取得。ソースからフィッシング・サイトによく見られる特性がないかを分析し,警告を出す。

感染後の情報漏えいをブロック

 スパイウエアやフィッシングへの対策に比べると目立たないが,マイクロソフトはVistaの情報漏えい対策も充実させた。Windows XP SP2から搭載されているWindows Firewallの強化と,新たに加わったBitLockerがそれだ。

 Windows Firewallで強化したのは,プログラムごとに通信の可・不可を指定できる機能。ボットやスパイウエアはユーザーの操作履歴や機密情報を社外に送り出す。これらの通信を検知して遮断する。例えば,IEとOutlookおよびWindowsのファイル共有など,業務に必要なプログラムだけに通信を許可するといった設定を施すことで実現できる。さらにグループ・ポリシーを使えば,全端末に同一の設定を強制することが容易になる。

 BitLockerは,USBメモリーを挿入しないと,OSが起動しないようにする機能。ハード・ディスクを暗号化し,その鍵データをUSBメモリーに格納する。ハード・ディスクをはずして別のパソコンでデータを読もうとしても,USBメモリーがない限り復号できない。

 USBメモリーはどんな製品でも利用可能。鍵自体は非常に小さいので,「わざわざ新品を購入しなくても手持ちのUSBメモリーを使える」(マイクロソフトWindows本部ビジネスWindows製品部永妻恭彦シニアプロダクトマネージャ)と言う。

 使い方は至って簡単。機能面でも1万円程度の製品と差はない。むしろ,OSの機能としてサポートされる分,安心感がある。