電子メールに潜むセキュリティホールを攻撃する新種・未知ウイルスを防御 -eSafe XploitStopper-
■ウイルス定義ファイルだけで、十分ではないのでしょうか?
特集
特集
ここ数年のウイルスの傾向としてすでに一般公開されているクライアントアプリケーションやサーバアプリケーションのセキュリティホールを攻撃してデータ破壊、自己増殖、バックドア、拡散を繰り返す複合型ウイルスが増えてきています。この原因の1つとして、ユーザ側で各アプリケーション用に公開されたセキュリティホールの修正ソフトを適用せずに放置していたことが考えられます。近年のウイルス作成者はこの負の要因を利用して、新しいウイルスの拡散を狙っています。
ウイルス定義ファイルの更新は、日々のウイルス対策のためには不可欠であり、既知ウイルスからのプロテクションを提供します。しかし、新しいウイルスが発生した場合、パターンマッチング形式のアンチウイルスシステムでは、その新種ウイルスが識別され、パターンファイルが配布されるまでの間、新種ウイルスの脅威にさらされることとなります。同時にこの新種ウイルスによってシステムのセキュリティホールを利用した攻撃を無条件に受けることになります。
■アプリケーションのセキュリティホールを利用した未知ウイルス
一例として去年発生したクレズやバグベアーウイルスは、インターネット・エクスプローラのセキュリティホールを利用しています。このセキュリティホールの修正ソフトをインストールしていないユーザは、ウイルスメールが届いた際、アウトルックやアウトルック・エクスプレスで、メールを開封したりプレビューしたりするだけで感染してしまいます。最悪の場合ユーザは、悪意のあるコードに仕掛けられたバックドアで自分自身が感染していることも気づかないうちに内部データが漏洩してしまうケースもあります。
また韓国で被害の大きかったSQL Slammer ワームは、昨年の10月には公開されていたセキュリティ修正プログラムを適用していなかったのが被害を拡大させた要因の1つになったとも言われています。防御する方法があったにもかかわらず防御できなかったのは、大きな意味でヒューマン系セキュリティホールが存在したとも言い換えることができるでしょう。
■アラジン未知ウイルスへの挑戦
アラジンのeSafeでは、未知ウイルスをできるだけ高い確率で未然に検知し防御する為に、XploitStopperという独自技術などを利用して新種、未知ウイルスからの脅威を軽減しています。このXploitStopperにより、バグベアーウイルス、リルバをウイルス定義ファイル更新前に検知、防御しました。
複合型ウイルス/バンダルに対抗する技術
▼XploitStopper
電子メールに潜む脆弱性を利用する攻撃プログラムを検知します。今後のウイルスの傾向予測でもセキュリティホールが利用したウイルスが多く発生すると考えられます。eSafeで検知・防御できるセキュリティホールは、今後も更新されていく予定です。
株式会社アラジン ジャパン
http://www.aladdin.co.jp/
(詳しくはScan本誌をご覧ください)
http://shop.vagabond.co.jp/m-ssw01.shtml
《ScanNetSecurity》
