Pocket

パソコンのセキュリティ対策を行う際に、定番として言われることは次の二つでしょう。

●パソコンの状態を最新に保ちましょう
(セキュリティパッチは必ず充てましょう)

●ウイルス対策ソフトを導入し、最新の状態に保ちましょう

少々唐突ですが、なぜ2つ必要なのか(なぜ1つでは済まないのか)を考えてみましょう。ここで考えようとしているのは、行うべき対策が1つで済むのであれば、それに越したことは無いはずなのに、なぜこの2点が1セットで言われることが多いのか、ということです。

私の答えは、セキュリティパッチを全て充てていたとしてもウイルスに感染する可能性があるからであり、また、ウイルス対策ソフトにも防ぐことが出来ることと出来ないことがあるからです。ただ、これだと、まるで禅問答のようですので、さらに分かりやすく考えてみます。

セキュリティパッチは、パソコンのOSやソフトウェアのセキュリティホール(脆弱性、セキュリティの問題点)を修正するものです。問題点が全くないソフトウェアは、ほぼ皆無です。攻撃者は、攻撃の一手段として、その問題点(セキュリティホール)を悪用することがあります。セキュリティホールは、ソフトウェア自身に内包されるものですので、原則としてそのソフトウェア自身を修正するしか対策のすべはありません。そのため、問題点を修正するためのセキュリティパッチは必ず適用しておきましょう、という注意事項がうまれるのです。

一方、ウイルス対策ソフトは、この問題点(セキュリティホール)自体を塞いでくれることはありませんが、ソフトウェアの問題点を悪用するファイルやプログラム(=ウイルス)を検知して駆除します。したがって、万が一、何らかの理由で、あるセキュリティホールを突く機能を持つウイルスがウイルス対策ソフトの検知をすり抜けてしまったとしても、そのセキュリティホールが塞がれていれば、ウイルスには感染しませんし攻撃も成立しません。

ですが、全てのウイルスが、このようなソフトウェアの問題点(セキュリティホール)を悪用するのかというと、そうではありません。セキュリティホールを悪用しないウイルスもたくさんあります。こういった類のものも、もちろんウイルス対策ソフトの検知対象です。逆説的になりますが、セキュリティホールを悪用しないウイルスにとっては、OSやソフトウェアの問題点は関係ありませんので、セキュリティパッチが最新であればウイルスには感染しない、つまりウイルス対策は必要ない、ということには絶対になりません。

冒頭で述べた二つの対策が、抱き合わせで必要であることがお分かりいただけたかと思います。

ウイルス対策ソフトがしていることって 実はあんまり知られてない?

ウイルス対策ソフトがしていることって
実はあんまり知られてない?

■ゼロデイという脅威

次に、セキュリティパッチが最新であるにもかかわらず、攻撃が成功してしまう例を考えます。

セキュリティホールの中には、OSやソフトウェアのメーカーがまだ修正していないものや、世の中で知られていない(発表されていない)ものが存在しえます。実際には、年間に数十という量で、こういったセキュリティホールが発見・公表されます。

この状態のことを「ゼロデイ(0-day)」と呼びます。

これを攻撃者側が発見したり何らかの方法で入手したりして、実際に攻撃に使用する場合があります。セキュリティパッチが公開されていない状態で攻撃ができることになりますので、攻撃が成功する可能性は格段に増します。多くの場合、ほぼ確実に攻撃は成功するでしょう。
ですが、こういった未公開あるいはメーカーが未対策のセキュリティホールに対する攻撃であっても、ウイルス対策ソフトが持つ機能によっては、それを検知できる可能性があります。

■多くの検知手法

ウイルス対策ソフトには、ウイルスを検知するための数々の手法が搭載されています。一昔前までは、ウイルス対策といえば、いわゆる「パターンマッチ」の手法が主でした。これは、ウイルスを検知するための定義データをメーカーが作成し、それをパソコン側に取り込むことで、ファイルをウイルスかどうか照合する手法です。ただし、この手法は、対策としては常に攻撃者(ウイルス作成者)の後塵を配することになります。

そこで、ウイルスと類似するファイルもウイルスとして検知する手法(一般的には「ヒューリスティック検知」と呼ばれます)や、ファイルを開いたときあるいはプログラムが起動したときに、その動きを精査して悪性のものかを判定する手法(一般的には「振る舞い(ビヘイビア)検知」と呼ばれます)などが開発され実装されてきました。なお、ヒューリスティックや振る舞い検知は、比較的新しい手法と解説されることがありますが、メーカーによっては、実は約10年も前から実装されている機能です。

このほかにも、通信内容を精査するファイアウォール機能やネットワーク攻撃防御機能、悪性ウェブサイトへのアクセスを遮断する機能、迷惑メール対策、仮想実行(サンドボックス)機能など、様々な保護機能がウイルス対策ソフトには搭載されています。もちろん、実装されている機能やその名称は製品によって異なりますが、原則として、全ての機能を有効にして使用するべきでしょう。

■さいごに

セキュリティパッチの適用とウイルス対策ソフトの導入は、それぞれを確実に実施することで効果が発揮されると言えます。どちらか一方をやっておけばよい、というものでは決してありません。また、それぞれが最新の状態であることも非常に重要です。Windows Updateなど、OSに備えられている機能のほかにも、JavaやMicrosoft Office、Adobe Acrobat、Adobe Flashなどにもアップデート機能がありますので、それぞれを有効にしてください。これらのソフトウェアが抱えるセキュリティホールは、統計的にも、攻撃者が好んで悪用する傾向があります。

また、ウイルス対策ソフトは、定義データベース・ワクチン定義ファイルを最新に保つほかに、ソフトウェアのバージョンが最新であるかの確認も重要です。多くのウイルス対策ソフトでは、ライセンスが有効な期間内であれば、最新バージョンを無償で利用できます。逆に言えば、ライセンスが有効期間内であることが最新であることを示すとは限りません。最新バージョンでは、旧バージョンには実装されていなかった保護機能が搭載されていることもありますので、是非確認してみてください。

これを機会に、是非ソフトウェアの現在の状態を再確認して頂ければと思います。

例)Adobe Flash Playerの更新設定。

例)Adobe Flash Playerの更新設定。

例)Adobe Flash Playerの更新設定。「アップデートのインストールを許可する(推奨)」が、文字通りおススメです。Windowsの場合は、設定→コントロールパネル→Flash Playerの中の「更新」タブで確認ができます。

例)Javaの更新設定。

例)Javaの更新設定。

例)Javaの更新設定。「更新を自動的にチェック」に✔が入っていることを確認しましょう。また、その右横にある「拡張(D)」ボタンを押せば、更新頻度を設定できます。できるだけ頻繁に更新確認を行える設定にしましょう。筆者は「毎日」に設定しています。Windowsの場合は、設定→コントロールパネル→Javaの中の「更新」タブで確認ができます。

著者プロフィール

前田 典彦
株式会社カスペルスキー
情報セキュリティラボ
チーフセキュリティエヴァンゲリスト

ISP関連会社・国内大手SIerにてネットワークやUNIXサーバの構築運用業務を経て、2007年1月より株式会社カスペルスキーに入社。現在、同社で実施しているマルウェアを中心としたインターネット上の様々な脅威解析調査の結果をもとに、情報セキュリティ普及啓発活動に従事している。同社のCSIRT組織であるKLIRRT(Kaspersky Lab Incident Research and Response Team, クラート)代表。その他に日本ネットワークセキュリティ協会(JNSA) 幹事、 日本スマートフォンセキュリティ協会(JSSEC)幹事など。早稲田大学政治経済学部卒。

(2015/11/25)