ここ数週間で一般のテレビなどで「ガンブラー」という言葉がかなり広められました。もちろん、すでに「ガンブラー」はウイルスの名称ではないということは、懸命な読者の方はご存知のことと思いますが、あえてここでは「ガンブラーに始まった一連の攻撃手法の名称としてガンブラー」を使わせて頂きます。
さて、私もあちらこちらで「ガンブラー対策を考えました、これでいいですか?」という質問を受けるようになりました。しかしながら、そのほとんどが不十分なものです。代表的な対策例を挙げてみます。
- Microsoft製品のパッチをあてる
- ADOBE READER、ACROBAT、FLASH PLAYERの最新版を適用する
- ウイルスワクチンの更新とフルスキャンを行う
- JRE(Java Runtime Environment)を最新版に保つ
- 業務に関係のないサイトのアクセスはしない
これだけ見ると基本は押さえているようにみえるのですが、実際にはこんな実態があることが多いのです。
- Microsoft製品のパッチは、すぐにはあてられない
- Windows XP SP2で運用している
- IEは6しか使えない
- Firefoxの利用などは把握できていない
- Adobe製品の最新版の適用は「通達」で行い「確認書」で確認する
- ADOBE READERのJavaScriptの無効化は「通達」で行い「確認書」で確認する
- JREの最新版を適用することは業務アプリケーションとの兼ね合いがあるのですぐには無理
- この対策に特別な予算は使えない
つまり「言い訳」がとても多く、これでは「いつやられても不思議ではありませんね」とアドバイスしています。ガンブラーがこれだけ猛威を振るっていて、しかも収束の目処がたっていないのは対策が進んでいないからに他なりません。
正確には、対策したことになっているが対策になっていない、ということなのです。先日も「ガブられた」(ガンブラーにやられた)会社に行きましたが、やはりIE6+Windows XP SP2の環境で、上記のような「業務遂行を優先したセキュリティ対策の妥協」が行われていました。
加えて、FirefoxなどIE以外のWebブラウザーの利用の実態が把握されていませんでした。
このように対策が徹底できないことが分かっているのであれば、それは「対策できていない」ということであり「いつでもやられる」という前提を受け入れる必要があります。そうであれば対策としては「Webサイトの閲覧やメールの送受信は業務PCでは行わない」が正しいのです。
「そんなことしたら仕事にならない!」といわれると思いますが、それこそがガブられる根源なのです。