「新種のインフルエンザが流行中」というニュースを聞くと,一応は気にするのが日本人である。今年は既にシーズンが過ぎたが,ニュースを聞いたとたん,急に念入りに手を洗ってみたり,マスクをしてみたりと対策を取った人は少なくないだろう。

 コンピュータの世界で言えば,この未知なる「新種」病原菌がゼロデイのぜい弱性である。ぜい弱性の詳細や症状は分からないまま。特効薬となるパッチ・プログラムもない。こうしたゼロデイのぜい弱性を悪用する攻撃(ゼロデイ攻撃)が次々に登場している。ユーザーはいつ攻撃を受けてもおかしくない状況にある。

 では,ユーザーはどのように新種の病原菌と付き合っていけばよいのだろうか。今回は特に報告が目立つMicrosoft WindowsやMicrosoft Officeに関するゼロデイ攻撃との付き合い方を紹介しよう。

たった1日で攻撃コードがぞろぞろ

 4月初旬には,Microsoft Windowsに大きなゼロデイのぜい弱性が報告された。Microsoft Windowsのアニメーション・カーソル(.ani)ファイルにおけるぜい弱性である。アニメーション・カーソルは,マウス・ポインタの位置に一連のフレームを次々に表示させることで,単一のイメージに代えて短いアニメーションのループを作り出す機能である。このぜい弱性を悪用されると,Webページを閲覧しただけで攻撃が成立し,システムを乗っ取られる。

 ぜい弱性の情報が「Full-Disclosure」というぜい弱性情報のメーリング・リストに投稿されてから,攻撃コードやウイルスが作成されるまでの期間は極めて短かった。マイクロソフトがパッチをリリースするまでの5日間,インシデント・レスポンス関連のメーリングリストに多くの情報が投稿される一方で,攻撃ツールやウイルスが次々と開発され,放流された(図1)。米ウェブセンス(Websense)によると,その後この攻撃コードが混入された Webサイトが100以上確認されたという。

図1●アニメーション・カーソル・ファイルのぜい弱情報が公表されてからパッチがリリースされるまで
図1●アニメーション・カーソル・ファイルのぜい弱情報が公表されてからパッチがリリースされるまで  [画像のクリックで拡大表示]

 常に,ゼロデイのぜい弱性がこのようなペースで悪用され被害が発生するとは限らないが,少なくとも可能性はある。ソフトウエア(ベンダー)によっては,パッチのリリースが大幅に遅れたり,ひどい場合にはリリースされなかったりするケースがあることも念頭に置いておくべきだろう。

受動的攻撃の防御で効果大

 こうしたゼロデイ攻撃は増加傾向にあり,確実に今後も増え続ける(表1)。では,ゼロデイ攻撃と上手に付き合っていくためにはどうしたらよいのだろうか。そのヒントは,ゼロデイのぜい弱性を突いた攻撃のほとんどが「受動的攻撃」になっていることにある。

表1●Microsoft WindowsおよびOffice製品に関係するぜい弱性の件数
表1●Microsoft WindowsおよびOffice製品に関係するぜい弱性の件数
カッコ内はゼロデイ件数。 参考資料:http://www.lac.co.jp/business/sns/intelligence/report
/20070213_cslreport. pdf

 攻撃手法は,能動的攻撃と受動的攻撃に大別できる。前者は攻撃者や攻撃プログラムが能動的に仕掛ける攻撃で,ワームやボットによる攻撃が代表的である。後者はメールの添付ファイルを開くなどユーザーの操作があって初めて成り立つ攻撃。代表例はスパイウエアやフィッシング詐欺で,攻撃者は罠を仕掛けてユーザーのアクションを待つだけだ(図2)。

図2●各種攻撃のパターン
図2●各種攻撃のパターン  [画像のクリックで拡大表示]

 2006年のMicrosoft Windows,Office関連のゼロデイのぜい弱性について,米NIST(国立標準技術研究所)が公開しているソフトウエアのぜい弱性データベース「CVE」で調べてみると,どれも受動的攻撃に悪用されている。不審なファイルを開かないなど受動的攻撃に対して注意を払うことで,ゼロデイ攻撃の危険度を大幅に低下させることができる。

疑わしいファイルを開かないために

 受動的攻撃の被害を受ける最大の原因は「つい,クリック」である。対策として,Officeはもちろん,一太郎やAdobe Readerなど狙われやすいアプリケーションで不用意にファイルを閲覧しないことが重要である。

 それを徹底するには,xdoc2txtのようなテキスト抽出プログラムを利用すると便利だ。図3のようなバッチ・ファイルをデスクトップ上に作成し,そこに不審なファイルをドラッグ&ドロップすればよい。悪意あるコードが含まれていれば,テキストが空に見えたり読解不能な状態で出力されるから,ファイルの安全性を確認できる。

図3●xdoc2txtを使ってファイルの内容をチェックすることで受動的攻撃への対策が可能
図3●xdoc2txtを使ってファイルの内容をチェックすることで受動的攻撃への対策が可能
http://www31.ocn.ne.jp/%7Eh_ishida/xdoc2txt.htmlでダウンロードできる。

 それでもファイルをクリックしてしまうというユーザーは,Windowsの設定で拡張子とファイルの種類の関連付けを前述のバッチ・ファイルに変更しておくといい。これだけで,.doc,. xls,.ppt,.pdf,.jtd/jttなどの主要な文書ファイルの内容は確認できる。

 また,前述のOfficeファイルや実行ファイルは,メールに添付されていたり,Webサイトにアップロードされていることが想定される。この場合,実行ファイルが無意識のうちに実行されてしまう可能性は十分に考えられる。ウイルス対策ソフトが有効になっているか,Webブラウザがファイルを自動的に閲覧する設定になっていないかなどの確認は不可欠である。

 それでも防ぎきれない攻撃があることは否めない。3月に報告された「Microsoft Windows .doc File Malformed Pointers DoS」はその典型例。悪意のあるDOCファイルを含んだ圧縮ファイルを解凍し,DOCファイルが含まれるフォルダへ移動しただけで explorer.exeが停止してしまう。ただ,前述のような対策によって,ゼロデイ攻撃の危険度を下げられることは確か。リアル社会のインフルエンザ同様,サイバー社会での攻撃の流行具合を事前にキャッチし,可能な範囲で既知の対策を打つだけでも緩和はできる。

岩井 博樹(いわい・ひろき)
ラック コンピュータセキュリティ研究所 所長
ラックのコンピュータセキュリティ研究所に勤務。IDS/IPS導入設計,コンサルティングなどに従事した後,同社のJapan Security Operation Center(JSOC)にて監視業務に携わる。現在は,セキュリティ技術の研究開発,フォレンジック業務を手掛ける。