防御の仕組み(その3) ウィルス対策ソフトの機能と特徴 「暗号とセキュリティ」(第13回目) 今井慈郎(imai@eng.kagawa-u.ac.jp) ウィルス対策(ワクチンソフト) • ウィルス対策:既に感染した場合,PC内部に潜むウィル スを発見・駆除する機能(ワクチン機能).不正に侵入し ようとするアクセスを感知し,水際で遮断する機能(F/W 機能).常駐型とオンライン型が存在. • ウィルスがPCに潜在かを検索:これは常駐型でなくても 可能.インターネットのHPで(オンラインで)ウィルス検索 &駆除のサービス.総てのドライブ上のファイルを検査, ウィルス以外にもスパイウェアやPCの脆弱性チェックなど を実施,PCの総合的なセキュリティチェック. • PCを監視してリアルタイムでウィルスから守ってくれる常 駐保護機能の提供はオンライン型では無理. • F/W機能などが常駐型が主力. ウイルス対策ソフト:検査対象のファイル(プログラム)の中身を チェックし,既知のウイルスの特徴を収めたパターンファイル(ウ イルス定義ファイル)と照合.特徴が一致した場合,当該ファイ ルはウイルスに感染と判断. 出典 http://itpro.nikkeibp.co.jp/article/COLUMN/20071215/289572/?ST=security ウィルス対策ソフトNo1 • 対象によって,(1)クライアント対象,(2)サーバ対象に分 類・・機能よりも価格. • 販売スタイルによって,(1)単一機能型,(2)統合機能型: 通常「スイート(suite)」に分類・・後者は割安感が売り. • ウィルス対策スイート:多くの場合,ウィルス対策・パーソ ナルファイアウォール・アンチスパム機能が統合 • インターネットセキュリティスイート(単にセキュリティスイー ト):コンピュータを包括的に保護できる機能を組み込ん だソフトウェア. アドウェア(adware:Webブラウザに寄生 し一定の間隔で広告ウィンドウを表示させる等)やフィッシ ング(Phishing)への対策機能を統合. ウィルス対策ソフトNo2 ウィルス対策ソフトの動作: • (1)対象ファイルを静的にスキャンすることで「脅威」を検 出. • (2)パソコン内のデータストリーム:Webブラウザや電子メ イルクライアントなどで送「受」信されるデータ(添付ファイ ル・スクリプト等)を動的にスキャンすることで「脅威」を検 出. • そのためには,「パターンファイル(定義ファイル,シグネ チャ)」や「ウィルス検索エンジン(検索プログラム,アンチ ウィルスエンジン等)」は,新種の脅威や亜種に対応する ため,頻繁な更新・改良が必要. ウィルス対策ソフトNo3検出手法 • (1)パターンマッチング法:ウィルスなどの特徴を記録した データファイル(通常,パターンファイル・データベース等 と呼称)に基づいて,コンピュータ内部でのプログラム動 作(その結果のデータなど)を比較・照合し,脅威となるウィ ルス等を検出. • (2)ヒューリスティック(heuristic)法:プログラムの動作を監 視し,未知のコンピュータ・ウイルスを発見(=脅威を検出) する方法.プログラム自身を複製したり,ファイルを削除 するようなウィルス特有のプログラミング・コードを含んで いないかどうかを調査:静的手法 • プログラムをメモリ内に作成した仮想空間(サンドボックス と呼ぶ)上で実際に動作(エミュレーション)させて,不正な 動作がないかを確認:動的手法 • 後者の方が,確実にウイルスを検知可能. ウィルス対策ソフトNo4 もしコンピュータ内部に脅威が検出された場合, • (a)駆除ができれば(当然ながら)駆除を実施. • (b)駆除ができない場合,感染元(感染ファイル等)の隔離・ 削除を実行. • (c)もし,隔離や削除もできない場合,感染元へのアクセ スを遮断. ウィルス対策ソフトNo5-1 更新の必要性: • パターンファイル・データベースが最新でない場合(時とし て最新であっても)最近の(=つまり流行りの)ウィルスを チェックできない危険性がある. • そこで,多くの場合,パターンファイルなどは自動的に更 新される方式を採用. 自動更新の問題点: • 更新モジュールの安全性検証テストが不十分な場合も存 在. • その場合,自動更新されたユーザのPCが動作不良・起 動不能になったり,誤検出する等の障害発生の危険性 ウィルス対策ソフトNo5-2 • 中には,アンチウィルス,アンチスパイウェアを装った偽 装セキュリティツールとも呼ばれるマルウェア(WinFixer 等)も存在・・・新たな「脅威」となる パターンファイルの自動更新でトラブルが発生した有名な例: • ウィルスバスター(トレンドマイクロ(株)開発のインターネッ トセキュリティスイート)の「CPU使用率が100%になる問 題」がある. ウィルス対策ソフトNo6-1 2005(H17)年4月23日7時30分頃, • 個人向けのウイルスバスター2004/2005 • 企業向けのウイルスバスターコーポレートエディション 5.02/5.06/5.5/5.58/6.5 • 中小企業向けのTrend Micro Client/Server Security の3機種向け全世界配布された「パターンファイル 2.594.00(日本時間:AM7:30頃公開)」が原因 特定のWindows環境で適用・更新すると • CPU使用率が100%となりコンピュータの処理が停止して しまう不具合が発生. • 日本国内では個人利用者および企業も業務遂行に多大 な支障をきたす事態が生じる. ウィルス対策ソフトNo6-2 • 同社では同日11時ごろ修正版を公開. • 同日夕に社長が謝罪会見を開き,原因として配布前の検 証テストが十分でなかった点を認める. • CPU使用率が100%となる原因:検査対象のファイルが圧 縮されているかどうかの判別に失敗すると,ウイルス検 索が無限回繰り返されることに起因. • 24日午前には問題のパターンファイルを検索し自動削除 する問題修復ツールの配布が開始. • 大きな社会問題となる ウィルス対策ソフトNo7-1 複数セキュリティソフトの同時インストールに関する問題点: • セキュリティソフト(ウィルス対策ソフト)は,1台のパソコン に複数製品を同時にインストールしないことが正常動作 の基本条件. • 機能的に競合が発生し,最悪の場合はOS自身を巻き込 んだ起動不良を引き起こす危険性がある. • 原理的には,機能的に競合しないよう配慮すれば,正常 動作可能. • 例:別個の会社のアンチウィルスとファイアウォールを個 別にインストールする等・・スイートが多数を占め,これは 低減傾向 ウィルス対策ソフトNo7-2 • セキュリティソフト:コンピュータの動作を監視するために 割込み命令を使用. • コンピュータは,その割込み命令に従い「割込みハンドラ (割込みサービスルーチン)」を起動. • セキュリティソフトはその割り込みハンドラを使用する. • セキュリティソフトが用いる割り込みハンドラは,最高優 先度に設定されており,他のソフトウェアやスクリプトの 動作をロック(排他制御) • 最高優先度に設定されている割込みハンドラ(セキュリティ ソフトが用いる割込みハンドラなど)が複数存在すると, デッドロック(共有資源の奪合いや譲合いによる動作衝突) やライブロック(同様な衝突回避行動をとることによる回 避行動の動作衝突)が発生:競合発生 ウィルス対策ソフトNo7-3 • 本来セキュリティソフトに用いられる割込みハンドラは, 最高優先度以下の割込みに対するフェアネス(公平性, Fairness.「共有資源を利用したいユーザがいつかは共 有資源を利用できる」という排他制御アルゴリズムが満 たすべき性質)を満足してはならない. • もしこれを満足すれば,それを悪用したマルウェアがセキュ リティソフトの攻撃や検出を突破する可能性が生じる. • 従って,割込みハンドラを使用するセキュリティソフトがメ モリ上に複数存在すると,同優先度(最高優先度)以下の 割込みに対するフェアネスを満たしていないソフトが複数 存在することとなり,競合が発生する.
© Copyright 2024 Paperzz