特に2008年は、前年比で500%増えるだろうとも言われています。
では、なぜウイルス・スパイウェアが増えているのか?
一言で理由を説明すると、
「マルウェアビジネスがますます一般的になってきている」
からです。
インターネットの裏の世界にちょっと詳しくなれば、マルウェア作成ツールなんかが簡単に手に入ります。
マルウェア作成ツールと、数百万件のメールアドレスをセットにしたいわゆる「スターターキット」が2万円で手に入る次代です。
メールサーバの脆弱性を発見して、それに対する攻撃コードなども数万円で手に入るとのことです。
また、マルウェア自体をアフィリエイト販売できたり、1つのPCに感染させるといくらかの収入を得ることのできるアルバイトのような仕事もあります。
マルウェアビジネスが年々成熟してきて、今までは高額だったツールも価格破壊が起きて、その結果非常に入手しやすくなってきています。
その分、そのツールを使って攻撃を行おうとする輩が出てきて、どんどんマルウェアを作ってばらまいているという状況なんですね。
マルウェアツールの販売、またはそれを利用し攻撃をすることで利益を得るといったビジネスの土壌が出来上がっていますので、今後この流れはしばらく続くだろうと言われています。
そういった状況を踏まえ、くれぐれも、対策は怠らないようにしましょうね。
ウイルス対策ソフトをいれていないPCは論外とします。
でも、インストールしていても、最近は亜種・新種のウイルスやスパイウェアが異常な数で発生してきています。
そのため、対策しているつもりでも、実は感染している、というケースが結構多いです。
ボットの特徴としては、昔の愉快犯的なウイルスと違って、裏でばれないように、こっそりと動作しているのが厄介です。
感染したまま数年間経過しているパソコンもざらにあります。
PCが固まったり、自分が直接的に何らかの被害に合わないといつまで経っても気づかないんですね。
そんなボット(ゾンビPC)ですが、どこの国がもっともゾンビPCが多いかしってます?
日本ではそれほど有名ではありませんが、セキュリティ対策ソフトメーカーであるG-DATAという会社があり、そこの調査によると以下のような順位だそうです。
1位 ブラジル 10.2%
2位 ドイツ 9.3%
3位 イタリア 8.9%
4位 トルコ 8.3%
5位 中国 6.6%
また、全体で見ると、ゾンビPCの大部分はヨーロッパに存在します。
(約4割以上)
原因としては、高速な回線のITインフラが整備されていることが一番だと思います。
ただ、以前話に聞いたところによると、ヨーロッパにボットが多いということを知っていたあるセキュリティの権威が、ヨーロッパのプロバイダの担当者に対して警告しました。
でも、ヨーロッパのプロバイダ担当は、うちに限って、そんなはずはないと突っぱねられたそうです。
ということで、一部のプロバイダのセキュリティ意識の低さも問題なのかもしれませんね。
「オンラインゲームのセキュリティ対策って何?」と思う方も多いかもしれませんが、ここ最近のオンラインゲームで問題になっているのが、ユーザー名やパスワードが盗まれるという行為です。
まず最初に、悪意のある攻撃者が「アカウントハックツール」と呼ばれるスパイウェアを、どこかのWebサイトに仕掛けたり、メールで送りつけたりして、オンラインゲームユーザを感染させます。
そうすると、、アカウントハックツールに感染したPCから、インターネット経由でゲームのアカウント情報(ID・パスワード)が攻撃者に送られることになります。
ID・パスワードが盗まれると、
・キャラクタが持っているアイテムを奪って、売りさばく
・アカウントを無効化される
というような被害が発生します。
オンラインゲームをやっていない方には、全然大した問題ではないように見えますが、何時間もかけて、頑張って集めたアイテムがなくなったり、キャラクタ自体が全く使えない状態にされてしまった時の絶望感は、大変なものだと思います。
アカウントハックツールは、ウイルス対策ソフトなどで防げる場合がほとんどなのですが、オンラインゲームをやっているユーザで、これまで被害にあった人の90%くらいは、セキュリティソフトを入れていなかったようです。
もともとセキュリティに対する意識が低いという人も当然いますが、中にはスペックの低いPCでゲームをしている場合に、PCが重いなどを理由にセキュリティソフトをわざと無効化させている人も多いみたいです。
これらのアカウントハックツールに対する対策としては、以下の通りです。
・セキュリティ対策ソフトをインストール。決して無効化しない。
・掲示板やSNSなどのリンクをむやみにクリックするのを控える。
・メールに添付された不審なプログラムは決して実行しない
また、上記のようなツールへの対策だけでなく、第三者に簡単に推測されるID・パスワード(例えば生年月日など)を使わない等にも心がけた方が良いですね。
あとは、私怨でアカウントを盗むケースもあるみたいですので、オンラインゲーム上でも嫌われないようにしましょうね(^_^)
]]>iPhoneには、マックで利用されている「Mac OS X」というOSが採用されています。
ということは、PCで動作するようなウイルスが、iPhone上で動作するという可能性も十分あり得るわけですよね。
まだ感染被害はほとんどないみたいですが、実際に、iPhoneウイルスが発見されたというニュースもあります。
ただiPhoneの危険性が高いかというと、まだまだ大丈夫だと言えます。
以前から、スマートフォン(Windows mobile、シンビアンOS)で感染するウイルスは発見されています。
将来的には増えるのではという予測もありますが、ここ数年で報告されているマルウェアの数というのは、ほんの微々たる数です。
ウイルス作者も、当然iPhoneをターゲットとしては考えているとは思いますが、仮にiPhone向けのウイルスを作成したとしても、PCのように大規模に感染をさせるのは難しいと思います。
理由として考えられるのは、iPhoneやスマートフォンは、常にインターネットに接続されているわけではないですし、PC上で動作するプログラムよりも、iPhoneやスマートフォンのプログラムは、かなりの制限があります。
ですので、当面はそれほど気にする必要はないですが、各セキュリティベンダーからも、恐らく対策ソフトは出てくると思うので、念には念を入れたいと思っている方は、購入してみても良いかもしれませんね。
]]>
この疑問に対する評価として一般的なのは、ウイルス、マルウェアをどのくらい発見できるかの「検出率」です。
この「検出率」はどうやって調査しているのでしょう?
簡単に言いますと、調査会社が収集したウイルスやスパイウェアのサンプルをDVDやハードディスクに格納し、それをスキャンした結果何種類発見できたかを調べていくというものです。
昔から一般的に行われてきた方法ですが、最近はこの検出率を比べる方法はもう古いという意見が出てきています。
「従来の方法では、セキュリティ製品を評価できない」、専門家が指摘
なぜかというと、通常、ウイルスサンプルを検出できるかどうかは、ウイルスの検体を入手し、それを発見するためのシグネチャを作成しているかどうかにかかっています。
つまり、新しい、まだシグネチャを作っていない未知のウイルスに対しては、それらを発見できるかどうかはわからないわけです。
ここ最近、ウイルスの亜種と呼ばれる、オリジナルに改変を加えたものが多数出回り、従来のシグネチャ方式(パターンマッチングといいます)では検出できないものが、次々と発見されています。
これに対抗するべく、最近のセキュリティ製品は以下のような機能を持つものが増えています。
・悪質・不正と思われるWebサイトへの接続をブロック
・ウイルスによるファイルの改ざんを検知
・不正な通信のブロック
・不正なふるまいを検出
従来の検出率を調査する方法では、上記のような最近のセキュリティ対策ソフトが持つ機能をちゃんと評価できないのです。
ですので、ウイルス対策ソフトの検出率というのは、あくまでも参考程度にとどめておき、それを100%信じることはしないようにしましょうね。
学校の公式サイトとは別で、生徒自身が非公式で立ち上げたホームページのことですね。
匿名で書き込みができるので、個人名を使って生徒の悪口を言ったりすることがかなり問題になっています。
この学校裏サイト、現在3万サイト以上あると言われていますが、Yahoo!やGoogleなどの検索サイトで、
「学校裏サイト 探し方」「裏サイト 見つけ方」
と探してもなかなか見つからないことが多いです。
生徒も自分で裏サイトと名乗ってサイトを作っているわけではないし、そもそもそんなに簡単に見つかるようだったら、裏サイトでもなんでもないですよね。
でも、子供が攻撃されるのをみすみす見逃したくないのが親の心情でもありますので、学校裏サイトの見つけ方に関していくつか触れてみたいと思います。
まず、有効なのは、学校名でGoogle、Yahoo!検索をしてみることや、在籍する生徒の実名を検索ボックスに入れてみてください。
その他、検索キーワードの組み合わせとしては、地名や関連しそうな固有名詞を入れてみることです。
また、サイトを作っているのは基本的に学生なので、お金をかけるようなサービスを使うことは少ないと思われますので、無料レンタル掲示板や、無料ホームページサービスをしらみつぶしに当たってみるという方法もあります。
「○○学校 無料掲示板」「○○学校 掲示板サービス名」
のような感じで検索ができますよね。
ただ、全てのサイトが検索エンジンに登録されているわけではありませんので、注意が必要です。
また、以下のサイトでは学校裏サイトを都道府県別、学校別に検索することができます。
まだ数百サイト程度ですが、今後数を増やしていくとのことですので、気になる方はチェックしてみてください。
まず、SEOって知ってますか? 「Search Engine Optimization」(検索エンジン最適化)といって、簡単に言うと、GoogleやYahoo!などの検索エンジンで、ホームページを上位に表示させる手法ですね。
企業や、ネットショップのオーナーなどは、このSEOを使って自分のホームページを検索結果の上位に表示させることで収益を得たり、露出を図ったりしているんですね。
もともとは、Web製作会社、またはSEOに特化した業者などがこの方法のエキスパートだったのですが、最近は悪意のあるハッカーもこのSEOについて研究をしてきているようです。
例えば「クリスマス」「ショッピング」などのキーワードで検索した結果にウイルス・スパイウェアを強制的にダウンロードするサイトを表示させという悪質な行為が横行しているようです。
去年あたりから、主に海外の検索サイトで検索結果からマルウェアのサイトに誘導されるケースが増えてきているようですが、最近は日本でもSEOポイズニングの被害報告がちらほらあるようです。
「SEOポイズニング」の影響、日本語サイトやほかの検索エンジンにも
GoogleやYahoo!を利用している人は、ほとんどの人が検索結果も信用できるWebサイトだと思って気軽にアクセスしてしまうと思いますが、中にはSEOポイゾニングで危険なサイトがあるかもしれませんので十分注意が必要です。
Googleなどの検索エンジン側でも対策はしているようですが、全ての検索結果に対して対策を行うのは不可能に近いと思いますので、自分の身は自分で守るという考え方が必要ですね。
]]>では、個人のPCでWinnyによる情報漏えいをブロックしたい場合にはどうすれば良いのか?について考えてみましょう。
そもそも、根本的にWinnyによるウイルス感染や、情報漏えいが怖ければ、「Winnyを使わない」という選択肢しかありえませんので、Winnyを好んで使っている人の話はここでは省略します。
危険なのは、家族や友人間でPCを共有しているようなケースで、子供や友人が自分の知らないところでウィニーを使っていた場合などです。
この場合もなかなか対策は悩ましいところなんですが、以下のような対策が考えられると思います。
1. ウイルス対策ソフトの導入
ウイルス対策ソフトを導入し、最新のパターンを利用しているだけでもかなり違います。
Winny経由で間違ってウイルスをダウンロードしてしまっても、最悪実行する際にソフトが発見してくれます。
ただし、日々ウイルスは亜種・変種が生まれていますので、どんなに性能の良いウイルス対策ソフトでも、パターンファイルが追いつかない場合があるので、100%安心してはいけませんね。
2. 個人用パソコンに重要ファイルを置かない
よく問題になるのは、会社から持ち帰ってきた重要ファイルを家のパソコンにコピーして作業を行っているケースです。
Winny経由でウイルスに感染すると、これらのファイルがばら撒かれてしまい、情報漏えいした結果、最悪会社をクビといったケースも考えられますので、気をつけるようにしましょう。
3. パソコンにWinnyがインストールされているかどうか確認する
自分の知らないところで、PCにWinnyをインストールされていないかどうかを、以下のツールを使うことで確認ができますので、心配な方はチェックしてみましょう。
最近はWinnyの利用者数も減ってきて、Shareのユーザ数が増えてきているようですが、まだまだWinny経由のウイルスははびこっていますので、気をつけるようにしてくださいね。
]]>2008年になっても、P2PソフトのWinnyによる情報漏洩の事件は絶えないですね。
企業にとって、機密情報が社員がインストールしてしまったウィニーによって流出してしまうことは非常に大きな痛手なので、Winny対策を考え、導入している企業は多くなってきています。
大企業に取っては企業イメージ、ブランドイメージが大幅にダウンしますし、中小企業では信用を失って倒産してしまう可能性だってあります。
今まで何回かWinnyについては取り上げていますが、今回は企業において、Winny対策をどうやるか?について徹底的に考えて見たいと思います。
対策(1)「ネットワークの入り口でブロックする」
Winnyが開発された当初は通信が暗号化されているため、Winny通信をブロックすることは難しいと言われてきましたが、今ではセキュリティ対策製品側の技術も進化して、Winny通信を見つけて、止めることは難しいことではなくなっています。
いくつかのファイアウォール製品では、Winny特有の通信パターンを特定し、Winnyの通信かどうかを見極めた上でブロックすることができます。
こういった製品を企業のゲートウェイ(ネットワークの入り口)に置くことで、対策を行うことができますね。
また、URLフィルタの機能を利用して、Winnyの配布サイトへのWebアクセス自体を防ぐという方法も有効です。
対策(2)「クライアント側で対策する」
クライアント(PC)側での対策には、アンチウイルス、スパイウェア対策のソフトを利用する方法が効果的です。
アンチウイルスソフトによって、Winny経由で侵入してきたウイルスによる感染を防ぐ、というのが主な目的ですが、ソフトの中にはWinnyのファイル自体をウイルスとして発見してくれるソフトもあります。
Winny自体はウイルスではないので、それを削除するのはどうかという意見もありますが、結局Winnyを企業で使うっていうのがおかしな話だと思います(^^;
企業では不要なソフトであるのは明白ですので、Winnyを問答無用で駆除するというのも効果的な方法でしょう。
対策(3)「セキュリティポリシーによる規制」
セキュリティ製品で対策したとしても、社員がパソコンを外に持ち出してWinnyを利用したり、中にはアンチウイルスソフトを無効化する輩もいるかもしれませんよね。
こういうのを防ぐのは正直相当難しいんですが、ここは企業でのセキュリティポリシーを明文化して、社員を教育する他はないと思います。
例えば、ノートPCの持ち出しや、重要ファイルを社外に持ち出すことを禁止したり、会社のパソコン上で、WinnyなどのP2Pソフトをインストールすることを禁止するポリシーを徹底します。
そして、これらを破った社員は懲戒処分を与えるということを、社内でアナウンスするだけでも、社員の意識はかなり変わります。
企業のウィニー対策は、最終的には人に対する教育をどうするか、という部分が一番重要かもしれませんね。
]]>
ターゲットのパソコンに、インターネット経由で攻撃を仕掛けるよりも、そのターゲットの居場所がわかっている場合には、人がパソコンを直接覗いたり、いじったりする方がよっぽど早いです。
こういった、人が人間的、物理的に重要な情報を盗みだすことを、ソーシャルエンジニアリングといいます。
ソーシャルエンジニアリングは、以前記事でも取り上げましたので、忘れてしまった方、新しい購読者の方はぜひ参照しておいてください。
構内侵入してきた攻撃者や覗き見をする人への対策として、一つおすすめしたいのが、席を立つときにはデスクトップにロックをかけることです。
以下のようにショートカットを作成して、簡単にロックできるようにしておいても良いでしょう。
コンピュータをロックするデスクトップ ショートカットを作成する
ただ、それでも席を立つときには忘れてしまうことも多いかと思いますので数分間操作がなかった場合には、自動的にパスワード付きのスクリーンセーバーがかかるようにしておくのが良いと思います。
■Password付きスクリーンセーバーの設定(Windows XPの場合)
1. デスクトップを右クリックして、「プロパティ」を選択します
2. 「スクリーンセーバー」のタブを選択
3. スクリーンセーバーをプルダウンから選択し、「パスワードによる保護」にチェックを入れ、「待ち時間」を指定します。
4. 適用をクリックします。
この方法は、最近のプライバシーマークを取得している会社では必ず行っている方法なので、まだ実施されていない方は今日からでも行ってください。
管理をずさんにして、情報が漏洩したりすると、新聞に載ってしまうことにもなりかねませんから、皆さんもぜひ気をつけてくださいね。
ただ、今までのPDFスパムの目的は、あくまでもスパム対策ソフトを回避するために、フィルタに発見されにくいPDFを使っているというだけでした。
しかしながら、つい先日、単純な迷惑メールではなく、明らかに攻撃を目的としたPDFアタックが広まっていることが確認されました。
内容としては、Adobe Acrobat Reader の脆弱性を利用することにより、PDFを開くだけで、悪意のある実行ファイルを実行してしまうというものです。
ウイルスに多少知識のある人は、「.exe」や「.doc」「.xls」といったファイルは警戒して開かないと思いますが、PDFファイルだと案外開いてしまうのではないでしょうか?
このPDFの脆弱性は、特定の相手を狙う「ターゲット攻撃」として利用されているようですので、くれぐれもPDFファイルの添付された見知らぬメールには気をつけるようにしましょう。
救いとしては、まだ日本語のメールは確認されていないので、見知らぬ英語のPDF添付メールが来たら、とりあえず開かないでゴミ箱に捨てるようにしていれば良いと思います。
といっても、間違って実行してしまう可能性を取り除くためにも、Adobe Readerを使っている人は、Adobeのサイトから最新のプログラムをダウンロードして、そもそも脆弱性を修正しておくようにしましょうね。
その人気を利用してか、偽Skypeを装うスパイウェア(トロイの木馬)が登場しています。
誤って、この偽スカイプをインストールしてしまうと、よく見慣れたSkypeのログイン画面が表示されます。
その画面でログインIDとパスワードを打ち込んでも、Skypeにはログインできずに、かわりに攻撃者のサーバへと情報が送信されてしまいます。
今回の偽Skype、幸い日本語版はでていないようですが、上記の記事の画面に日本語が表示されていたら、大抵の日本人は疑いを持たずにログインしてしまうかもしれませんよね。
こういった偽のソフトを間違ってインストールしてしまわないためには、まずはそのソフトの公式サイトを調べましょう。
Googleや、Yahoo!で一度きりではなく、何度か検索して、複数のサイトを見れば、公式サイトがどれなのかはわかると思います。
多少面倒くさいですが、今の時代それくらい慎重にならないと、知らない間にスパイウェアやウイルスがインストールされていてもおかしくはありません。
フリーソフトのインストールにはくれぐれも注意しましょうね。
Webサイトを閲覧するだけで感染してしまうというMpackですが、なぜこれほど広まったのか、もう少し詳細について解説しますね。
まず、Mpackは、普通のWebサイトに「iFrame」というコードを挿入します。
iFrameとは、あるWebページの中で別のウインドウ(Webページ)を開くために使われる技術です。
ユーザは、Yahooのサイトにアクセスしているのにも関わらず、iFrameで他のサイトが同時に表示されてしまうわけです。
そして、その表示されたWebサイトにはMpackが仕掛けられていて、ユーザが感染してしまうという仕組みです。
今回はこのiFrameを仕掛けられたサイトが数万規模で存在しました。
iFrameを仕掛けるためには、Webサイトを乗っ取って書き換えないといけないのですが、単独もしくは少数のグループで、これほどの数のWebサイトを一つ一つ書き換えるのは不可能でしょう。
したがって、恐らくWebサイトの脆弱性を利用してiFrameを仕掛ける攻撃ツールが存在し、ハッカーはそれを使って、自動的に世界中のWebサーバにiFrameを仕掛けていったと考えられます。
しかしながら、iFrameで参照する先にインストールされたMpackの存在は明らかになっていますが、どうやってWebサイトを改ざんしたか(iFrameを仕掛けたか)についてはよくわかっていないところが怖いところです。
いつも見ているホームページも実は改ざんされていることは十分にありえます。
Mpackによって感染しないためには、ブラウザやOSなどをいつも最新の状態に保つように気をつけるようにしましょう。
その名は、「Mpack」。
Mpackによる攻撃が仕掛けられているWebサイトは、数万件とも数十万件とも考えられています。
では、Mpackとは一体何なのか?
簡単に言うと、ウイルス・スパイウェア等のマルウェアを、リモートから強制的にインストールするソフトです。
前提として、ブラウザ等に脆弱性のあるユーザが対象です。
1. ユーザが(脆弱性のあるブラウザで)Webアクセス
2. アクセスした先のサーバにはMpackがインストール済み
3. Mpackがユーザのブラウザの脆弱性を利用してリモートでマルウェアをインストール
といった流れです。
しかも、インストールするマルウェアは、キーロガーやトロイの木馬など目立たない活動をするものなので、ユーザは感染しているかどうかも気付かず、情報を盗まれている可能性があります。
ちなみに、このMpackというツールですが、ちゃんとした取扱説明書(ロシア語ですが)もついて販売されている有償のソフトウェアです。
もちろん闇ツールのため、まともなサイトでは配布はされていませんが、「Dream Coders Team」と自称する開発者達によって、日々バージョンアップが重ねられています。
最近ではシリア大使館のWebサイトにも仕掛けられていました。大使館のWebサイトを見るだけで感染してしまうということですね。
このMpackの攻撃を回避するには、やはり脆弱性をなくすため、ブラウザのパッチを適用することが一番です。
次回はなぜMpackがこれほどまでに広まったのかについて解説します。
その対策をかいくぐろうと、スパマーは縦書きスパムや画像スパムといった技術を使ってきていますが、対策ソフトも徐々に、それらのスパムを検出できるようになってきています。
まさにスパマーと、迷惑メールフィルタ技術のいたちごっこですね。
最近また新しいスパムが出てきたのですが、それは「PDFスパム」です。
その名の通りPDF文書に情報を書いて、メールに添付して送りつけてくるスパムですね。
現状ではPDFの内容を読めないスパムフィルタもありますので、結構な数がフィルタをくぐり抜けているようです。
実際に画像スパムであったように、株価の情報をPDFに書いたりして、株価操作に一役買っているみたいですね。
まだ日本語のPDFスパムは確認されていないようですが、出てくるのも時間の問題でしょうね。
知らない人からのPDFファイルは決して開かないように注意してくださいね。