企業ITセキュリティ管理者のためのスパイウェア知識(2)多種にわたる侵入経路から感染を防ぐには?
2005年に入ってからスパイウェアによる事件や被害の報告が増えてきたためか、“スパイウェア”という言葉とその概要を知らない企業のITセキュリティ管理者は今や殆どいない。そこで、今回は企業のITセキュリティ管理者を対象にした、スパイウェアの最新の技術情報、およ
特集
特集
●侵入経路について
話を元に戻すと、これらのスパイウェアの侵入経路として、先のものに加えて以下のものがある。
○無料ソフトウェアにバンドルされて配布
無料ソフトウェアにバンドルされているWhenUなどのアドウェアは、インストール後、ユーザーの知らない間に他のソフトウェアを次々とダウンロードするものがある。また、アンインストールが提供されていても、削除されたように見せかけて、次回のコンピュータの起動時(サービスや、スタートアップに登録されたり)、ブラウザの開始時(BHOとして登録)、ログイン時(ログインが改変されてしまっているため)に再びインストールが自動的に実行するような手法が使われる。
さらにauroraやISTbarのように自分自身をランダムな名前でさまざまな位置にコピーするものもある。
A Better Internetのようなアドウェアでは、シェルとして自分自身を登録し、除去しても、自分自身をダウンロードすることで自動回復するので除去が困難だ。
○ドライブバイ・インストールによりユーザーの知らない間にソフトウェアをインストール
多くの場合、Active-Xを利用する。Active-Xを使用しないか、またはブロックリスト(IEからActive-Xを実行できないようにKill Bitを設定する方法)にて対応が可能である。Sexxxpassport Plug-in のようなスパイウェアでは、ユーザーの知らない間にブラウザ(IE)の信頼されたゾーン リストに自分自身のドメインを追加することで、セキュリティ設定を通り抜ける方法を利用するものもある。
また、単純な手法として、開始ページを置き換えることで、ブラウザの起動時にスパイウェアをダウンロードするためのWebサイトに接続し、ダウンロードを開始する方法などもある。
ブラウザの選択や、開始ページ、検索エンジンの設定、セキュリティ設定の確認などが必要だ。
Hostsファイルを改竄し、ネットワークへの接続をできなくするものもある。これらの多くはセキュリティ・プログラムを対象にしたもので、定義ファイルのアップデートを妨害する。
トロージャン・ドロッパという種類のものは次々と不要なソフトウェアをダウンロードする迷惑なもので、感染したPCのシステム・リソースを消費するだけでなく、ネットワーク・リソースまで消費してしまう。
○BOTやWORMによる感染
感染したコンピュータからネットワークを経由して、他のコンピュータに感染、または感染したコンピュータ内のアドレス帳の情報から自分自身のSMTP機能を使ってメールを送信する方法で感染を広げる。
○企業内部からの侵入
恐らくもっとも管理が困難な侵入経路である。内部犯行、外部からの侵入者により侵入される可能性も考慮する必要がある。
参考資料:
http://www.shareEDGE.com
http://www.shareEDGE,com/spywareguide/
http://japan.internet.com/column/webtech/20050623/6.html
【執筆:株式会社ネクステッジテクノロジー 代表取締役 坂本 堪亮】
──
この記事には続きがあります。
全文はScan Security Management本誌をご覧ください。
https://www.netsecurity.ne.jp/14_3697.html
《ScanNetSecurity》
