コンピュータ・ウイルスの発生と蔓延(まんえん)が,ニュースとして大々的に報道されるようになっている。情報処理振興事業協会(IPA)が公開した,2000年12月のウイルス発見届け出状況のまとめによれば,届け出件数は2778件と過去最多の数字を示している。

 届け出のおよそ8割が,電子メールを媒介とするウイルスであるという。電子メールを悪用したウイルスは,そのほとんどが無差別に送り付けられるので,いつ何時,自分の元に送られてくるか分からない。そのため,ウイルス対策ソフト(アンチウイルス・ソフト,ワクチン・ソフト)の利用が有効である。

 しかしながら,ウイルス対策ソフト自身の安全性が語られることは非常に少ない。そこで今回のコラムでは,まずウイルス対策ソフトの種類を紹介し,次にソフトの安全性について解説する。さらに,最近筆者らが発見した,あるウイルス対策ソフトのセキュリティ・ホールについてもお話したい。

ウイルス対策ソフトの種類

 現在市場に出ている,ほとんどのウイルス対策ソフトは,「ウイルス感染の有無をどのように検査するのか」によって,以下の3種類に分けられる。なお,これらの分類は,筆者が考えたものであり,ソフトウエア・ベンダーによる分類とは異なる。また,機能としてここで紹介する検査方法を,複数持ち合わせているウイルス対策ソフトも存在する。

(1)ハード・ディスク・スキャン型
(2)MRA (Mail Retrieval Agent) プロキシ型
(3)MTA (Mail Transfer Agent) プロキシ型

 「ハード・ディスク・スキャン型」ソフトは,ハード・ディスクに保存されているファイルに対し,ウイルスに感染していないかどうかを検査する。例えば,既存のファイルや,ダウンロードしたファイルを対象に検査する。

 「MRAプロキシ型」は,MUA(Mail User Agent)*1 と,MRA (Mail Retrieval Agent)*2 との間でプロキシとして動作し,ユーザーがメール・ボックスから読み出す際に,メールの内容を検査する。自分のマシンにメールをダウンロードする前に,ウイルスを駆除できるので,正確に検知できさえすれば,非常に安全な方法である。

 「MTAプロキシ型」ウイルス対策ソフトは,MTA(Mail Transfer Agent)*3 同士間でプロキシとして動作し,ウイルスの有無を検査する。個々のユーザーに検査させるよりも,電子メール配送の上流側で検査したほうが,効果的である可能性がある。そのため,この分類のウイルス対策ソフトは,導入を検討する価値があるだろう。また,「MRAプロキシ型」と組み合わせることで,ウイルスに対して,セキュリティ・レイヤーを多重化できる。

*1 「Outlook」や「Winbiff」などの,ユーザーがメールを読み書きするソフトウエアのこと。
*2 POP3サーバーやIMAP4rev1サーバーなどの,ユーザーのメール・ボックスの内容をMUAから取得するための仲介ソフトウエアのこと。
*3 「qmail」や「sendmail」,「Lotus Notes」などの,メールを配送するソフトウエアのこと。一般には,「メール・サーバー・ソフト」と呼ばれることが多い。

ウイルス対策ソフトの安全性

 ウイルスによる被害を防ぐには,有効なウイルス対策ソフト。しかし,ウイルス対策ソフトを利用しているからといって,絶対に安心とはいえない。最大の理由は,新種のウイルスに対応できない場合があるからである。

 ウイルス対策ソフトが,新種のウイルスに対応するためには,ソフト自身が持つウイルス検知用のデータベースを更新しなくてはならない。この更新には時間がかかる。この時間差を悪用されて,新種ウイルスが送られてきたら,ひとたまりもない。

 これについて,個々のユーザーができる対策は,ウイルス対策ソフトのデータベースを,常に最新に保っておくことである。そして,あえてここで述べるまでもないだろうが,電子メールで送られてきたファイルをむやみに開かないことである。

 絶対に安心とはいえない,もうひとつの理由は,ウイルス対策ソフトもソフトウエアである以上,バグからは逃れられないからだ。

 バグによって,検出できないウイルスがあるようならば,非常に深刻な問題となる。また,バグがセキュリティ・ホールとして悪用できるものであれば,ウイルス対策ソフトが,攻撃の手段に利用されてしまう可能性がある。後者については,実例が発見されている(後述)。ソフトウエア・ベンダーの猛省を促したい。

 ウイルス対策ソフトの品質については,個々のユーザーは責任を負えない。ベンダーが責任を負うべきものである。特に,電子メールのように,日常一般的に利用しているアプリケーションに対するウイルス対策ソフトであるならば,ベンダーの責任は重い。少なくとも,想定外あるいは規格外の値が入力された場合の対策は,十分に練られていなければならないだろう。

ウイルス対策ソフトのセキュリティ・ホールの実例

筆者らが所属する「ラック SNS チーム」が,2001年1月11日,および1月16日に発見したセキュリティ・ホールは,まさに「ウイルス対策ソフトが攻撃に利用される」という可能性を示すものであった。

 MRAプロキシ型のウイルス対策ソフトである,トレンドマイクロ社製の「『ウイルスバスター 2001』Version 8.00,8.01」は,検査するメールに含まれるヘッダーが電子メールの規格外,あるいはソフトウエアの想定外である場合,ウイルス検出機能にバッファ・オーバーフローが生じ,正常に動作しなくなる。さらに,それを悪用すれば,ウイルス対策ソフトを動作させているコンピュータ上で,任意のコードを実行できてしまう。

規格外あるいは想定外の電子メールは,通常のMTA(メール・サーバー)ではブロックされない場合が多い。そのため, 個々のユーザー(ユーザーのメール・ボックス)まで届く可能性は高いと考えられる。この問題を突いた攻撃により,DoS(サービス妨害攻撃)やバックドアの埋め込みなどが可能になる。

 今回,筆者らが発見した問題を解消するには,プログラムのバージョンを8.02 にアップグレードする必要がある。まだのユーザーは,直ちにアップグレードすることを推奨したい。

 なお,この問題についての詳細情報は,「LAC SNS チーム セキュリティホールテスト」のWebページでも公開中である。


[ウイルスバスター2001 Ver.8.02 へのアップデート]

[LAC SNS チーム セキュリティホールテスト No.20]

[LAC SNS チーム セキュリティホールテスト No.22]


新井悠 (ARAI Yuu)
株式会社ラック コンピュータセキュリティ研究所
y.arai@lac.co.jp


 IT Proセキュリティ・サイトが提供する「今週のSecurity Check [一般編]」は,その週に起きたUNIX関連およびセキュリティ全般のニュースや動向をまとめた週刊コラムです。セキュリティ・ベンダーである「株式会社ラック」のスタッフの方を執筆陣に迎え,専門家の立場から解説していただきます。