情報セキュリティ読本 - IT時代の危機管理入門 - プレゼンテーション資料 (第3章 ウイルスなどの不正プログラムによる被害とその対策)
第3章 ウイルスなどの不正プログラムによる被害とその対策 ウイルス スパイウェア ボット ウイルスなどの不正プログラムの 予防とその対策
第3章 1. ウイルス 1)ウイルスとは? 2)ウイルスに感染するとどうなるのか? 3)ウイルス感染の原因
コンピュータに対して、数々の悪さをする不正プログラム 第3章 > 1. ウイルス 1. ウイルスとは? コンピュータに対して、数々の悪さをする不正プログラム 「コンピュータウイルス対策基準」によると、 第三者のプログラムやデータベースに対して意図的に何らかの被害を及ぼすように作られたプログラムで、自己伝染機能、潜伏機能、発病機能の内1つ 以上を有するもの。【経済産業省(通商産業省)告示】 (1)自己伝染機能 自らの機能によって他のプログラムに自らをコピーし又はシステム機能を利用し 自らを他のシステムにコピーすることにより、 他のシステムに伝染する機能 (2)潜伏機能 発病するための特定時刻、一定時間、処理回数等の条件を記憶させて、 発病するまで症状を出さない機能 (3)発病機能 プログラム、データ等のファイルの破壊を行ったり、 設計者の意図しない動作をする等の機能
2. ウイルスに感染するとどうなるのか? 1) 情報漏えい 2) DoS攻撃 3) ウイルスメールの大量送信 4) インターネットの停止 第3章 > 1. ウイルス 2. ウイルスに感染するとどうなるのか? 1) 情報漏えい 2) DoS攻撃 3) ウイルスメールの大量送信 4) インターネットの停止 5) ワクチンソフトの停止 6) 再起動の繰り返し 7) その他の症状
1) 情報漏えい P2Pファイル交換ソフトによる情報漏えい 添付ファイルによる情報漏えい キーロガーによる情報漏えい 第3章 > 1. ウイルス> 2. ウイルスに感染するとどうなるのか? 1) 情報漏えい P2Pファイル交換ソフトによる情報漏えい コンピュータ使用者のユーザ名、組織名、デスクトップ画面などを共有ネットワークに流す W32/Antinny(2003年8月)など 添付ファイルによる情報漏えい コンピュータ内のファイルを添付ファイルとして送信してしまう(W32/Klezなど) キーロガーによる情報漏えい キーロガーを仕込む(W32/Fizzerなど)
2) DoS攻撃 感染したコンピュータを踏み台にしてDoS攻撃(⇔読本p.18 参照)を行うウイルス W32/Netsky 第3章 > 1. ウイルス> 2. ウイルスに感染するとどうなるのか? 2) DoS攻撃 感染したコンピュータを踏み台にしてDoS攻撃(⇔読本p.18 参照)を行うウイルス W32/Netsky W32/Mydoom W32/MSBlaster DoS攻撃に加担することがないよう、ワクチンソフトで定期的に検査をしましょう。
3) ウイルスメールの大量送信 送信者を詐称 → 本当の感染者に連絡がとれない → 知り合いからのメールと思いファイルを開く 第3章 > 1. ウイルス> 2. ウイルスに感染するとどうなるのか? 3) ウイルスメールの大量送信 送信者を詐称 → 本当の感染者に連絡がとれない → 知り合いからのメールと思いファイルを開く → 有名な会社やサポートセンターを騙る 大量にウイルスメールを送信 → 感染被害拡大 W32/Netsky (ネットスカイ)のウイルスメールの例 差出人 アドレスを 詐称 ・メールの 添付ファイルを 開くと感染 ・エラー通知を 装った本文
4) インターネットの停止 例: W32/SQLSlammer(2003年1月) 脆弱性を悪用し、インターネットにつないだだけで感染 第3章 > 1. ウイルス> 2. ウイルスに感染するとどうなるのか? 4) インターネットの停止 例: W32/SQLSlammer(2003年1月) 脆弱性を悪用し、インターネットにつないだだけで感染 大量のパケットをインターネット上に発信し、通信量が急増
ワクチンソフトの更新は(毎日)定期的に行う! 第3章 > 1. ウイルス> 2. ウイルスに感染するとどうなるのか? 5) ワクチンソフトの停止 検知・駆除されないためのウイルスの手口 ・ ワクチンソフトを停止する ・ PC内のファイアウォールの機能を停止する ・ ワクチンソフトベンダーのサイトにアクセスさせない 例: W32/Klez W32/Netsky W32/Bagle ワクチンソフトがそのウイルスに対応している場合 ワクチンソフトを停止される前にウイルスを駆除してくれる → ワクチンソフトを更新しておらず、そのウイルスを 検出・駆除できない場合に被害に遭う ワクチンソフトの更新は(毎日)定期的に行う! → 自動更新機能の利用も
6) 再起動の繰り返し コンピュータが急に再起動を繰り返して使えなくなる 例: W32/MSBlaster(2003年、夏) 第3章 > 1. ウイルス> 2. ウイルスに感染するとどうなるのか? 6) 再起動の繰り返し コンピュータが急に再起動を繰り返して使えなくなる 例: W32/MSBlaster(2003年、夏) OSの脆弱性を悪用 →ネットワークに接続しただけで感染
7) その他の症状 ファイル、フォルダが削除される アプリケーションソフトが使えなくなる コンピュータが起動できなくなる 第3章 > 1. ウイルス> 2. ウイルスに感染するとどうなるのか? 7) その他の症状 ファイル、フォルダが削除される 例: W32/Klez(クレズ) アプリケーションソフトが使えなくなる 例: W32/Navidad(ナビダッド) コンピュータが起動できなくなる 例: Stamford(スタンフォード) Webページが改ざんされる 例: W32/Nimda(ニムダ) 遠隔地からのアクセスを可能にしてしまう 例: W32/Mydoom (マイドゥーム) 画面に画像が表示される 例: W32/Hybris (ハイブリス)
3. ウイルス感染の原因 1)ファイルのオープンによる感染 2)メールの開封やプレビューによる感染 3)ネットワークへの接続による感染 第3章 > 1. ウイルス 3. ウイルス感染の原因 1)ファイルのオープンによる感染 2)メールの開封やプレビューによる感染 3)ネットワークへの接続による感染 4)Webページの閲覧による感染
1) ファイルのオープンによる感染 メールの添付ファイルを開くと感染 → 現在このタイプが最も多い 次のようなファイルの入手経路も利用される 第3章 > 1. ウイルス > 3. ウイルス感染の原因 1) ファイルのオープンによる感染 メールの添付ファイルを開くと感染 → 現在このタイプが最も多い 次のようなファイルの入手経路も利用される ダウンロード、P2Pファイル交換 IMやIRC経由 CDやUSBメモリなどの外部ファイル ユーザーの錯誤を誘う巧妙な手口 ユーザの気を引くようなファイル名 二重拡張子、アイコンの偽装
添付ファイルをユーザに開いてもらう(そして感染させる)ことが目的 ファイル名を工夫することによってユーザの気を引く 第3章 > 1. ウイルス > 3. ウイルス感染の原因 > 1. ファイルのオープンによる感染 ユーザの気を引くようなファイル名 添付ファイルをユーザに開いてもらう(そして感染させる)ことが目的 ファイル名を工夫することによってユーザの気を引く 例: 「(お宝)秘蔵写真集」 (W32/Antinny)
偽装したアイコンに該当するプログラムを立ち上げる 第3章 > 1. ウイルス > 3. ウイルス感染の原因 > 1. ファイルのオープンによる感染 二重拡張子やアイコンの偽装 アイコンを偽装する 偽装したアイコンに該当するプログラムを立ち上げる ダブルクリック 偽装したアイコンに該当する プログラム(メモ帳)を立ち上げる テキストファイルに 見せかけたウイルスファイル テキストファイルを開くプログラムを立ち上げて騙しつつ、見えないところでウイルスも動作を開始している。 怪しいファイルの見わけ方? ⇔ 読本 p.46
W32/Klez、W32/Bugbear、W32/Nimda、W32/Badtransなど 第3章 > 1. ウイルス > 3. ウイルス感染の原因 2) メールの開封やプレビューによる感染 メールソフトやOSの脆弱性を悪用 W32/Klez、W32/Bugbear、W32/Nimda、W32/Badtransなど
3) ネットワークへの接続による感染 OSの脆弱性を悪用 第3章 > 1. ウイルス > 3. ウイルス感染の原因 3) ネットワークへの接続による感染 OSの脆弱性を悪用 ネットワークに繋がっている脆弱性のあるコンピュータに対し、ウイルスファイルを送り込む → W32/MSBlaster、W32/Welchia、 W32/Sasser など 脆弱なパスワード設定のパソコンに対し、 ネットワーク経由でパスワードを攻略して感染 → W32/Deloder など
4) Webページの閲覧による感染 脆弱性を解消していないと、Webページを見るだけでウイルスに感染することがある 例: W32/Nimda 第3章 > 2. ウイルス感染の原因 4) Webページの閲覧による感染 脆弱性を解消していないと、Webページを見るだけでウイルスに感染することがある 例: W32/Nimda Webサーバに感染 このサーバが管理するページを改ざん このページを見たユーザが感染 攻撃者がWebページにウイルスを仕掛けておくこともある(例: Wscript/Fortnight)
第3章 2. スパイウェア 1)スパイウェアとは? 2)スパイウェアによる被害 3)どのような方法で感染するのか?
1) スパイウェアとは? 情報を収集することが大きな特徴 外部へ送信する機能を持つものもある ⇒ 情報漏えい 第3章 > 2. スパイウェア 1) スパイウェアとは? 利用者や管理者の意図に反してインストールされ、利用者の個人情報やアクセス履歴などの情報を収集するプログラム等 情報処理推進機構(IPA)と日本ネットワークセキュリティ協会(JNSA)スパイウェア対策啓発WGによる共同の定義 情報を収集することが大きな特徴 外部へ送信する機能を持つものもある ⇒ 情報漏えい
2) スパイウェアによる被害 キーロガーでキー入力情報を不正取得 第3章 > 2. スパイウェア 2) スパイウェアによる被害 キーロガーでキー入力情報を不正取得 オンラインバンキングやネットショップで利用したID、パスワード、クレジットカード番号など 銀行口座の不正操作 クレジットカードの不正使用 実際の事件も起きている キーロガーとは?(用語集より) キーボードから入力された情報を記録するプログラム。
ネット銀行の不正引き出しスパイウエアが原因 (2005年7月) 第3章 > 2. スパイウェア 例) スパイウェアによる被害 ネット銀行の不正引き出しスパイウエアが原因 (2005年7月) オンラインショップの経営者へ商品の返品交換を要求する苦情メールが届いた。メールに添付されていた商品の写真を開いたが、写真は存在しなかった。→ 添付ファイルをクリックした際、本人が気づかないうちに、キーロガーと呼ばれるスパイウエアがインストールされた。このキーロガーは、ネット銀行などへのアクセスを監視し、口座番号や暗証番号を犯人に送信。犯人は、盗んだ情報を悪用して不正に引き出した。 ITmedia Enterprise の記事参照:http://www.itmedia.co.jp/enterprise/articles/0507/22/news089.html ECサイト運営者 写真ではなく、スパイウェアが添付されていた 悪意を持つ人 お宅で買った商品が壊れていたので交換して ください。写真を添付したのでご確認ください!
3) どのような方法で感染するのか Webサイトからダウンロードしたプログラム ウイルスが埋め込まれた添付ファイル 不正なWebページ閲覧 第3章 > 2. スパイウェア 3) どのような方法で感染するのか Webサイトからダウンロードしたプログラム ウイルスが埋め込まれた添付ファイル 不正なWebページ閲覧 スパムメールや掲示板のリンクをクリック コンピュータの脆弱性を突く不正アクセス バックドア経由(⇔用語集p.124(裏口(バックドア)参照) ファイル交換ソフト
第3章 3. ボット 1)ボットとは? 2)ボットネットワークの脅威 3)どのような方法で感染するのか? 4)感染後の動作
1) ボットとは? 感染したコンピュータは外部からの指令を待ち、与えられた指示に従って不正な行為を実行する 第3章 > 3. ボット 1) ボットとは? ウイルスの一種で、ユーザのコンピュータに侵入(感染)し、ネットワークを通じてこのコンピュータを外部から操る目的を持つ不正プログラム。 感染したコンピュータは外部からの指令を待ち、与えられた指示に従って不正な行為を実行する
第3章 > 3. ボット 2) ボットネットワークの脅威
3) どのような方法で感染するのか ウイルスやスパイウェアと同様の経路で感染 Webサイトからダウンロードしたプログラム 第3章 > 3. ボット 3) どのような方法で感染するのか ウイルスやスパイウェアと同様の経路で感染 Webサイトからダウンロードしたプログラム ウイルスが埋め込まれた添付ファイル 不正なWebページ閲覧 スパムメールや掲示板のリンクをクリック コンピュータの脆弱性を突く不正アクセス バックドア経由 ファイル交換ソフトなど
4) 感染後の動作 ネットワークを通じ、外部からの指令に従い不正行為を実行 スパム送信 DoS攻撃、DDoS攻撃 ネットワークへの感染拡大 第3章 > 3. ボット 4) 感染後の動作 ネットワークを通じ、外部からの指令に従い不正行為を実行 スパム送信 DoS攻撃、DDoS攻撃 ネットワークへの感染拡大 ネットワークスキャン(脆弱性を持つコンピュータの検出) 収集した情報を外部に漏えい(スパイ活動)
4. ウイルスなどの不正プログラムの予防とその対策 第3章 4. ウイルスなどの不正プログラムの予防とその対策 1)ウイルスなどの不正プログラムへの対策 2)感染した場合の対処方法 3)もっとも安全な初期化、再インストール
1) ウイルスなどの不正プログラムへの対策(1) 第3章 > 4. ウイルスなどの不正プログラムの予防とその対策 1) ウイルスなどの不正プログラムへの対策(1) Windows などの修正プログラムを最新版に更新する ワクチンソフトをインストールし、常に最新版にして活用する パーソナルファイアウォールを活用する メールの添付ファイルやダウンロードしたファイルは、開く前や実行する前にウイルス検査を行う
1) ウイルスなどの不正プログラムへの対策(2) 第3章 > 4. ウイルスなどの不正プログラムの予防とその対策 1) ウイルスなどの不正プログラムへの対策(2) 見知らぬ相手は当然ながら、知り合いからの添付ファイル付きメールも厳重にチェック注意する 添付ファイルの見た目に惑わされず、添付ファイルの拡張子とアイコンの表示が正しいか確認する アプリケーションソフトのセキュリティ機能を活用する
1) ウイルスなどの不正プログラムへの対策(3) 第3章 > 4. ウイルスなどの不正プログラムの予防とその対策 1) ウイルスなどの不正プログラムへの対策(3) 見知らぬウイルス感染の兆候を見逃さない 万が一のために、データは必ずバックアップする ウイルス対策ソフトとは別に、スパイウェア対策ソフトを使用する プログラムのダウンロード時や、プログラムのインストール時に表示される、利用許諾内容をよく読み、必要のないものはダウンロード、インストールを行わない
1) ウイルスなどの不正プログラムへの対策(4) 第3章 > 4. ウイルスなどの不正プログラムの予防とその対策 1) ウイルスなどの不正プログラムへの対策(4) ファイル交換ソフトでダウンロードしたファイルには、ウイルスやスパイウェアが含まれているケースがある。出所が不明なファイルは開かないようにする 自分で管理できないコンピュータでは、重要な個人情報の入力は行わない
2) 感染した場合の対処方法 コンピュータの使用を停止し、システム管理者の指示を仰ぐ 最新のワクチンソフトで検査を行い、ウイルス名を特定する 第3章 > 4. ウイルスなどの不正プログラムの予防とその対策 2) 感染した場合の対処方法 コンピュータの使用を停止し、システム管理者の指示を仰ぐ 最新のワクチンソフトで検査を行い、ウイルス名を特定する ウイルスに合った適切な駆除を行う データが破壊されたときは、バックアップから復旧する 最新のワクチンでもう一度検査を行う 再発防止の予防策を講じる
ウイルス感染を除去しても、完全な修復は不可能に近い(システムの重要なファイルが改ざんされることがある) 第3章 > 4. ウイルスなどの不正プログラムの予防とその対策 3) もっとも確実な初期化、再インストール ウイルス感染を除去しても、完全な修復は不可能に近い(システムの重要なファイルが改ざんされることがある) 感染後のもっとも安全で確実な復旧方法は、システムを初期化し、アプリケーションとデータの再インストールすること
本資料の利用条件 著作権は独立行政法人 情報処理推進機構に帰属します。 著作物として著作権法により保護されております。 本資料は、企業内での社員教育、学校での授業、各種セミナーや研修などでご使用下さい。 セキュリティ専門家を社外から招き、本資料を使用して企業内のセキュリティ教育を行う際にお使いいただいても結構です。 営利目的の使用はご遠慮下さい。 授業や研修等で使用する際に、本資料を一部割愛したり、必要に応じて追加する等のカスタマイズは行っていただいて結構です。 本資料を掲載する場合は、外部からアクセスできないイントラネット内のサーバとしてください。 外部よりアクセスできるWEBサイトへの掲載はご遠慮下さい。 上の使用条件の範囲内でのご使用であれば、本資料に限り当機構からの使用許諾を取得する必要はありません。 なお、参考までに、 isec-info@ipa.go.jp まで以下をお知らせ下さい。 ・使用する方もしくは組織の名称 ・使用目的 ・教育への参加人数 ご質問、ご要望等は、 isec-info@ipa.go.jp までお知らせ下さい。