セキュリティ対策

メールウイルス・セキュリティ対策

情報セキュリティニュース(ＩＰＡ情報処理振興事業協会)

感染防止について

Microsoft Security Essentials ：マイクロソフト社はウイルスや有害ソフトからの被害を防ぐソフトを公開している。無料で* Microsoft からダウンロードできます。信頼性が高く、ソフト更新が自動的に行われる。パソコンの快適な使用を妨げない。

ウイルス情報提供

http://www.antivirus.com/：トレンドマイクロのウイークリーウイルス報告、ウイルスマップ、その他ウイルスに関する資料（英語版）
セキュリティ・リスク・ショウルーム：ウイルスの怖さを実感できる仕掛けがある。ウイルスを仮想体験するコーナーを持つ。素人がセキュリティについての情報収集するには最適なサイト。

感染かどうかをチェックする

次のサイトはウイルスのチェックをオンラインで行ってくれる。ただし駆除はできない。無料である。

感染後の対応処置

　ウイルス対策ソフトウェア企業の多くは感染したシステムからウイルスを一掃するためのツールを用意している。

トレンドマイクロ
　「ウイルスバスター2001」8,500円。簡単なファイアウオール機能も付加。同社のアンチウイルスソフトでは検出きないケースがある。
ウイルス駆除ツール
シマンテック
「ノートン・インターネットセキュリティ」9,800円。簡単なファイアウオール機能も。また無料体験版のダウンロードも。
　ウイルス駆除ツールのリスト
日本ネットワークアソシエイツ　アンチウイルスソフト。詳細は
　http://www.nai.com/japan/virusinfo/virS.asp?v=W32/SirCam@MM&a=S
日本エフ・セキュア　アンチウイルスソフト。詳細は
http://www.f-secure.co.jp/200107241/
シー・エス・イー　アンチウイルスソフト
添付ファイルに拡張子「lnk」が付いている場合検出しない。このlnkファイルは実行ファイルではないため、ウイルス感染に結びつくことはないと同社はコメントしている。
http://www.cseltd.co.jp/security/release/010724sircam.htm
ソースネクスト
ウイルス駆除ツール「スティンガー」

　情報源： http://dailynews.yahoo.co.jp/fc/computer/internet_viruses/
日経新聞日曜版(2003.10.13)
情報提供者：C.I.L. 松原邦彦
（以上 2001.8.6)

スパイウエア対策について

スパイウエアの例

・スパイウエア: PC内のユーザー情報、キー入力情報を第三者に送信する。カード番号やパスワードを盗用する。Alexa等がある。
・アドウエア: ネット使用時に広告を表示する。サイトへのアクセス情報を収集するものもある。EzulaはWebページのリンクを改変する。
・パスワードクラッカー: 隠されたパスワードを解析してログインなどに盗用する。
・バックドア: 遠隔地からPCをコントロールするツールなどを組み込み、外部から侵入できるようにする。
・ダイヤラー: 勝手にQ2や国際電話にダイヤルする。高額な請求書が届く。画像の続きを見るために「ボタン」を押す操作などで送り込まれる。PartySluts, Scomなど。
・ブラウザーハイジャッカー: ブラウザー起動時に開くホームページを勝手に変更したり、突然見知らぬサイトにリンクする。クリック料金を稼ぐ目的が多い。CoolWebSearchはアドレスにhttpやwwwが入らないとき、特定のサイトに接続する。
・アフリエイトグラバー: 見知らぬバナーが表示され、そこから通販サイトにリンクする。アフリエイト料金を稼ぐ目的のもの。
・ジョークプログラム: デスクトップ画面を反転したり、上下を逆さまに表示したり、その他いたずらのプログラムを組み込む。

スパイウエア駆除ソフト
Spybot Search and Destroy

メールウイルス防護のためのマナー
（ＩＰＡのページより要約）

見知らぬ相手先から届いた添付ファイル付きのメールは要心する。安全を確認することが難しく、また、ほとんどのケースが自分に必要ないものであるので、無条件に削除することが望ましい。
添付ファイルの見た目に惑わされない。拡張子.txtや.jpg, bat等の、ウイルスに感染することのないファイルに見せかけた添付ファイルを送りつけるウイルスが発見されている。
知り合いから届いたどことなく変な添付ファイル付きのメールは疑ってかかる。添付ファイル付きのメールは、送信者の知らない間にウイルスが送信している可能性がある。先方に問い合わせるのが良い。
メールの本文でまかなえるようなものをテキスト形式等のファイルで添付しない。添付ファイル付きのメール送信は極力避ける。必要な場合は当該ファイルのウイルス検査を行った上、メールに添付ファイルを付けた旨とその内容を事前に先方に伝える。
メールの件名にはきちんと題目を入れる。ただ「Re:」と入れただけのメールはウイルスメールに多いから、あやしいメールとみなされ、削除の対象にされることになる。

情報源：http://www.ipa.go.jp/security/antivirus/attach5.html
情報提供者：C.I.L.松原邦彦
（以上 2001.8.6)

ウイルス退治の記
（特別のツールなしで退治する方法）

2002.09.02
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　K.M

　去る8月26日、怪しいメールが3通入っていた。直ちに削除したが、すでに感染ファイルを落とされたらしくて、その後コンピュータが奇妙な動きをした。

　早速 Antivirus(symanntec) の最新ウイルス定義ファイルを取り寄せた。しかしインストールの段階で、ハングアップ。肝心のAntivirusuが動作不能に陥っってしまった。

　そこで動作不能に陥ったAntivirusをいったんアンインストールして、新たにインストールしなおすことにした。ところがインストールの途中でいきなりダイアログボックスが消えてしまい、何のメッセージも出ない。調べてみると、Antivirusは一部が入っているもののインストールが完了していない。中途でインストールが障害されている。

　思案の末、Symantecのホームページ(www.symantec.com)からオンラインでウイルスチェックを行ってみた。汚染されたファイル一覧が出たのでそれを整理してみると

汚染後にインストールされた .exe ファイル群。
（この中にはSymantecのアンチウイルスプログラムも入っていた。）
\windows\tempフォルダー内に新たに生成された .exe ファイル群。
（英字3文字数字４文字からなる。多分ランダムに生成した名前）
\windows\systemフォルダーにおかれた Winktlo.exe。
（Winkは固定であとの3文字はランダムに生成されるとの情報がある）

ウイルス名は W32.Klez.H@mmとある。

そこで次の操作でウイルス駆除を行った。

上記（１）はWindows上で通常手順でアンインストール。その後、各フォルダーに該当ファイルがないことを確認。
上記（２）は手操作でファイル削除。
（もしワクチンソフトが生きていたなら、この操作は自動で駆除してくれると思う。）

３.のWinktlo.exeは削除できなかった。その理由は、常に動作状態になっていて、削除や修正変更、移動、状態変更はシステムによって一切、拒否されるからである。ワクチンソフトが生きていたとしても同じであろうことは用意に想像がつく。ここがこのウイルスを作成した者の勝負どころだと考えているらしい。

　だがどんなものにも破り手はあるはずだ。「悪の手」の考えることには必ず特有の道筋がある。スタートアップメニュー（常駐プログラム）にこれを組み込んでおくということだろう。調べてみると案の定スタートアップメニューにまさにWinktlo.exeが組み込まれている。リストからこれを取り外してWindowsを再起動する。

　ところがWinktloは依然と動作している。スタートアップメニューの常駐プログラムを覗くと、先ほど取り外したはずのものが再び組み込まれている。敵はここまでは誰でも探索するだろうと予想して、Winktloが生きている間はregistory等の書き換え部分を常に見張り、自分自身でスタートアップメニューに設定をしてしまうように考えたのだろう。

　この手を破るには、スタートアップ時に組み込まれる常駐プログラムリストを傷害して、Winktloを停止させ、その間にこのファイルを削除してしまえばよい。
　最初に試みた方法は、DOSモードで立ち上げ、このファイルを削除してしまおうと言うものだった。しかしWindows動作下で属性を変えてもウイルスが常に常駐して見張っているらしく、このファイルの属性を隠しファイル、システムファイルに自動修正するようにして、DOSコマンドに入っても削除命令がはねられてしまうようにしてある。

　そこで手順は少々面倒だが次のような方法をとる。以下にはWindows98/Meの操作を基にして記述しています。

１．まずスタートアップメニューに組み込まれている常駐プログラムリストを確認します。

スタートボタンクリックして、「ファイル名を指定して実行」を選択。ここで
　　　　　msconfig
と入力して「OK」キーを押す。現れたダイアログボックスで「スタートアップ」タグを選ぶ。すると常駐プログラムのリストが現れる。この中に
□　Wink??? C:\windows\system\Wink???.exe
　　　　（??? はケースによって変わると考えてください。3文字の英字）
があることを確認します。□にチェックが入っていると動作しています。
このチェックをはずしておきます。
　次に「全般」タグを選んで
　　　　○標準の起動
　　　　●診断用の起動　　　　　　これを選びます。
　　　　○起動オプションを選択する。

２．上のように書き換えても、システム終了前にウイルスによって元に戻されます。

そこでいったんシステムを終了して、次にセーフモードで立ち上げます。
スタートボタンを押し「Windowsの終了」を選び[再起動する] をクリックし、[OK] をクリックします。次に、起動メニューが表示されるまで、Ctrl キーを押し続けます。コンピュータによっては、Ctrl キーでなく F8 キーを使って起動メニューを表示できるものもあります。または [Safe モード] の番号
　　 4. Step-by-step confirmation
を入力し、Enter キーを押します。
Windows will be prompt you to confirm each startup command
Process the system registory [Enter=Y, Esc=N]
　　Y　と入力します。
Create a startuk log file [Y/N]
　　N　と入力します。
Process your startup devise drivers[Y/N]
　　Y　と入力します。
Deice=C:\WINDOWS\HIMEM.SYS[Y/N]
　　Y　と入力します。
以下、EMM386.SYS, BILING.SYS, JFONT.SYS, JDISP.SYS と続きますが
同じようにして Y と入力します。
再び Startup menu が表示されます。
　　　　4. Step-by-step confirmation
を選んでください。
DeviceHigh=C:\WINDOWS\KKCFUNC.SYS[Y/N]
　　Y　と入力します。
以下、ANSI.SYS, AOATAPI.SYS, DBLBUFF.SYS, IFSHLP.SYS と続きますが
同じようにして Y　と入力します。
Process your startup command file[AUTOEXEC.BAT][Y/N]
　　 N　と入力します。
Load the Windows graphical user interface[Y/N]
　　Y　と入力します。
すべてのWindows ドライバーを読み込みするか[はい=Enter, いいえ=Esc]
　　Escキーを押します。これでSafe モードで立ち上がります。

３．常駐プログラムリストから外れていることを確認

スタートボタンクリックして、「ファイル名を指定して実行」を選択。ここで
msconfig
と入力して「OK」キーを押す。現れたダイアログボックスで「スタートアップ」タグを選んで常駐プログラムのリストの
□ Wink??? C:\windows\system\Wink???.ex
e （??? はケースによって変わると考えてください。3文字の英字）
　　チェックがはずれている事を確認します。もし外れていなかったらはずしてから２．を繰り返します。

４．ターゲットファイル削除

Safeモードのまま「エクスプロラー」で
C:\windows\system\Wink???.exe
　を削除します。確実に削除できたことを確認して３．に戻って、
　「全般」タグを選んで
　　　○標準の起動
　　　○診断用の起動
　　　●起動オプションを選択する。　これを選びます。

５．再起動します。

今度は通常の起動を行います。もう一度
　　　　　　　C:\windows\system\Wink???.exe
　が消えていることを確認します。これで完了。インストールプログラムも傷害されることはありません。

得た教訓：ウイルスに負けるなかれ。考えた人間はすごいことを考えたと思っているかもしれないが、「悪」の考えることには、必ず穴がある、と捉えればその穴が見えてくる。上の例では、削除を恐れるあまり、複雑な操作を組み込む。これは「システムは単純なほど安全で安定した動作をする」という原理に反する。したがって、凝れば凝るほど穴だらけなのだ。要するに「悪」の本質として無理、不条理、極度に迂回した思考をしている。彼らはその道筋から逃れられない。そこを狙って破ること。