OSやアプリケーションの修正パッチ(セキュリティ更新プログラム)を適用することは,インターネットやパソコンを安全に使うためのセオリーの一つである。パッチを適用することで,セキュリティ・ホールを悪用する攻撃---例えば,「文書ファイルを開いただけ」あるいは「Webページにアクセスしただけ」で被害に遭うような攻撃---を避けられる。
しかし万全ではない。パッチをきちんと適用しているユーザーでも,セキュリティ・ホールを突かれるおそれがある。修正パッチや修正バージョンが未公開のセキュリティ・ホールを悪用する攻撃,いわゆる「ゼロデイ攻撃」が相次いでいるためだ(「ゼロデイ攻撃」の用語解説)。
文書ファイルを開くだけで被害
2006年になって相次いでいるゼロデイの攻撃の一つが,オフィス・ソフトのセキュリティ・ホールを狙う攻撃である。5月以降,Microsoft Office製品を狙ったゼロデイ攻撃が毎月のように出現している。
5月にはMicrosoft Word,6月にはExcel,7月にはPowerPointの新しいセキュリティ・ホールを悪用する文書ファイルが出回った。これらの文書ファイルを開くだけで,そのパソコンには悪質なプログラム(ウイルスやスパイウエアなど)が勝手にインストールされてしまう。
◆Microsoft Wordにパッチ未公開の脆弱性 [2006/5/20]
◆Excelにパッチ未公開のセキュリティ・ホール [2006/6/16]
◆今度はPowerPointにパッチ未公開のセキュリティ・ホール [2006/7/14]
その後も,攻撃者は手を緩めない。9月にはWordとPowerPointの新しいセキュリティ・ホールを狙うゼロデイ攻撃が,それぞれ確認された。
◆またもMS Wordにパッチ未公開のセキュリティ・ホール [2006/9/5]
◆またもやPowerPointにセキュリティ・ホール [2006/9/28]
狙われているのはマイクロソフト製品だけではない。ジャストシステムのワープロ・ソフト「一太郎」もターゲットになっており,8月と9月,一太郎を狙ったゼロデイ攻撃が1回ずつ確認されている。ジャストシステムはこれらの修正パッチ(アップデート・モジュール)を公開済みだが,今後も狙われる可能性は高い。
◆「一太郎」を狙う不正プログラムに対処するパッチを公開 [2006/8/18]
◆またもや「一太郎」のセキュリティ・ホールを狙うゼロデイ攻撃 [2006/9/28]
オフィス・ソフトを狙うゼロデイ攻撃については,細工が施された文書ファイルを開かなければ被害に遭わない。しかしながら,文書ファイルで感染を広げるマクロ・ウイルスが流行していた2000年以前ならともかく,現在では,文書ファイルに対するガードは甘い。覚えのないプログラム(実行形式ファイル)は決して開かないようなユーザーでも,文書ファイルについては開いてしまうことが少なくないだろう。
しかも最近では,特定のユーザーや組織を狙って,メールの件名や文面などをもっともらしく“カスタマイズ”した「スピア攻撃」が盛んだ。メールの内容がもっともらしく,なおかつ添付されているのが文書ファイルの場合,そのファイルを開かずにいることは難しいだろう。
Webページにアクセスするだけで被害
Internet Explorer(IE)関連のゼロデイ攻撃も相次いでいる。9月には,IEユーザーをターゲットとしたゼロデイ攻撃が3件確認された。
◆IEにパッチ未公開のセキュリティ・ホール [2006/9/14]
◆IEにまたもやパッチ未公開のセキュリティ・ホール [2006/9/20]
◆IEのパッチ未公開セキュリティ・ホールを突くプログラム出現 [2006/9/28]
いずれも,細工が施されたWebページにアクセスするだけで被害に遭うゼロデイ攻撃である。なかでも特に危険なのは,9月20日に公表されたVMLの実装(Vgx.dll)に関するセキュリティ・ホールを突く攻撃。最初のExploit(エクスプロイト:セキュリティ・ホールを突くプログラム)が公表された後,このセキュリティ・ホールを悪用するWebサイトが続出した。
覚えのないメールに書かれたリンクや,誰でも書き込める掲示板サイトなどに張られたリンクを何気なくクリックしただけで攻撃サイトへ誘導されて,悪質なプログラムを勝手に実行されてしまう。例えば,ユーザーのキー入力を記録してパスワードなどを盗むスパイウエア(いわゆる「キーロガー」)を知らないうちにインストールする攻撃サイトが確認されている。
複数のセキュリティ・ベンダーによれば,攻撃サイトが続出した理由の一つは,広く使われている攻撃用ツールに,このVMLの実装に関するセキュリティ・ホールを突く機能が実装されたためだという。
その攻撃用ツールには,複数のセキュリティ・ホールを突く機能が用意されていて,一つでもふさいでいないセキュリティ・ホールがあれば,それを突いてスパイウエアなどを勝手にインストールする。そして,攻撃者が悪用しやすいセキュリティ・ホールが新たに見つかれば,このツールは“バージョンアップ”されて,それを悪用する機能が追加される。
今回のセキュリティ・ホールもツールの攻撃対象に組み込まれ,それぞれのサイトがツールをバージョンアップしている。このため,このセキュリティ・ホールを突くサイトが増えているように見えるという。
この状況は,2005年12月末に見つかったWMF(Windowsメタファイル)の処理に関するセキュリティ・ホールのときと非常によく似ている。
このときも,パッチが未公開の状態でセキュリティ・ホールを突いてスパイウエアなどをインストールするサイトが続出。マイクロソフトでは毎月第2火曜日(米国時間)の“月例パッチ公開日”を待たずに,修正パッチをリリースした。
このときと同様にVMLのセキュリティ・ホールについても,マイクロソフトでは9月27日に修正パッチを緊急リリースしている。
複数の対策を組み合わせて防ぐ
ゼロデイ攻撃が珍しくなくなっている現在,ユーザーとしてはどうすればよいだろうか。これについては,以前と少しも変わらない。「セキュリティのセオリーをきちんと守る」ことに尽きる。
具体的には,「修正パッチを適用する/修正版にアップグレードする」「セキュリティ・ソフト(ウイルス対策ソフトやパーソナル・ファイアウオールなど)を利用する」「覚えのないメールの添付ファイルは開かない/リンクはクリックしない」「信頼できないサイトへはアクセスしない」---などである。
万全でないのはパッチだけではない。上記のいずれの対策(セオリー)も万全ではない。セキュリティ・ソフトで守れない場合もあるし,もっともらしいメールに攻撃ファイルが添付されている場合もある。「これさえやれば大丈夫」という対策は存在しない。複数のセキュリティ対策を組み合わせて,被害に遭う危険性をゼロに近づけることが重要だ。
「攻撃の対象になりやすいマイクロソフト製品を使わない」ということも,対策の一つになりうるだろう。しかしこれについても,過信は禁物だ。前述のように一太郎を狙ったゼロデイ攻撃が確認されているし,IE以外のブラウザも攻撃対象になっている。例えば,先に紹介した攻撃用ツールには,IEだけではなくFirefoxのセキュリティ・ホールを突く機能も用意されているという。どのような製品を使っている場合でも,セキュリティのセオリーを守ることが不可欠だ。
