Windows、ショートカット、脆弱性(ぜいじゃくせい)。この3つの言葉で「ああ、あのことね」とすぐにピンと来る方はどのくらいいるでしょうか。もしあなたがその一人なら、パソコンのセキュリティに十分気を配っていますね。さすがです。「なんのことだかわからない」という方は、注意が必要です。7月中旬から8月にかけて、『セキュリティ通信』で5本も記事を掲載するほどの問題が発生しています。
今回のトピックスは、「パソコン関係の言葉は難しくてなかなか記事を読む気にならない…」そんなWindowsユーザーにぴったりの「用語」解説です。
■Windowsのショートカットの脆弱性について
まず、冒頭の「Windows、ショートカット、脆弱性」について説明しましょう。
マイクロソフトは7月17日、Windowsに脆弱性が見つかったというセキュリティアドバイザリ(セキュリティ勧告)を公開しました。脆弱性とは、セキュリティ上の問題を引き起こす可能性がある、ソフトウェアなどの欠陥のことです。
脆弱性は、Windowsの中のシェルと呼ばれるプログラムに存在していました。あなたのパソコンが攻撃を受け、それにより、悪意を持った人が攻撃目的で作成した「ショートカットのアイコン」が画面上で表示されてしまうと、パソコンを乗っ取られるおそれがあったのです。
ショートカットのアイコンとは、たとえばこのようなものです。あなたのパソコンのデスクトップにもいくつかあると思いますが、いかがでしょうか。
図1 「ショートカットのアイコン」例
この脆弱性を修正するための更新プログラム(修正プログラム、修正パッチとも呼びます)は、8月3日に公開されました。Microsoft Update(Windows Update)の自動更新を有効にしていれば、すでに更新プログラムがダウンロード/インストールされており、あなたのパソコンでこの脆弱性は修正されています。
マイクロソフトの以下の資料に、この脆弱性に関して特に大事な点がまとめられています。悪意を持った人物(攻撃者)が、どんな手口でどんな悪事を行おうとするのか確認してみてください。
・MS10-046 : Windows の重要な更新 Windows シェルの脆弱性により、リモートでコードが実行される (2286198)(マイクロソフト)
http://www.microsoft.com/japan/security/bulletins/ms10-046e.mspx
■メールもできる、ホームページも見られるけれど…
セキュリティ通信では、7月20日にこの件に関する初報を掲載しています(セキュリティアドバイザリが公開された7月17日は土曜日で、19日の海の日まで三連休となっていました)。
実は先日、パソコンの知識が初心者レベルの伯母(70代)にその記事を読んでもらったのですが、わからない言葉が多すぎて、内容が理解できないと言われました。「ゼロデイ攻撃」「ドライブバイダウンロード」あたりは、知らなくてもしょうがないでしょう。しかし、5年以上もパソコンを使っていて「ショートカットのアイコン」がわからないというのは、予想外でした。
また、「回避策がどうのこうのって書いてあるけど、難しすぎてできそうにない。それに、今回はがんばって最後まで読んだけれども、こんなに難しい言葉ばかり並んでいる文なんて、普段だったら絶対に読まない」とも言われました。「脆弱性が見つかったので回避策を適用しましょう」と呼びかけている記事なのに、その役目を果たせないのは非常に残念です。
「ショートカットのアイコン」が何のことかわからなくても、伯母はメールを送受信できるし、Webサイトを閲覧しています。おそらく、同様の方がたくさんいらっしゃるでしょう。伯母がわからないとした言葉の中には、パソコンを安全な状態で使うために、知っておいて損はないと思われる言葉がたくさんありました。
そこで、その記事をここに再掲載し、それらの言葉について説明を加えることにしました。パソコン初心者の方は、ぜひ読んでください。
■「必読記事」を読んでみよう
それでは記事を読んでみましょう。
・色のついている四角で囲んだ部分が、7月20日の記事です。
・説明が必要な言葉を別のわかりやすい言葉に言い換えられる場合は、( )で囲んで追加してあります。例:MS(マイクロソフト)。
・少し詳しく説明したい言葉には※印をつけ、下に説明を載せています。例:ゼロデイ攻撃※1。
記事タイトル
【ゼロデイ攻撃※1】Windowsの脆弱性狙うトロイの木馬※2〜MS(マイクロソフト)がアドバイザリ公開 |
| ※1 |
ゼロデイ攻撃
脆弱性を突く攻撃のうち、修正プログラムが提供される前に始まる攻撃。誰かがソフトウェアなどのセキュリティ上の欠陥を見つけ、その欠陥を悪用する攻撃が始まった。でも、その欠陥を修正するプログラムはまだ提供されていないという、パソコンユーザーにとっては非常に怖い状況です。 |
ゼロデイ攻撃については、情報処理推進機構(IPA)が公開している以下の資料で詳しく説明されています。
・修正プログラム提供前の脆弱性を悪用したゼロデイ攻撃について(IPA)
http://www.ipa.go.jp/security/virus/zda.html
| ※2 |
トロイの木馬
ウイルスにはいろいろな分類方法がありますが、感染を広げる方法(拡散形態)で分類したのが、ファイルに寄生する「狭義の(本来の意味での)ウイルス」、自身を自力でばらまこうとする「ワーム」、拡散手段を持たない「トロイの木馬」の3種類です。 |
<狭義のウイルス> ファイルに寄生する
パソコンの中にあるファイルに寄生し、自分自身のコピーを作って増殖します。
<ワーム> 自身を自力でばらまこうとする
他のファイルに寄生せず、単独で存在、活動します。自分自身をコピーすることで自己増殖し、ネットワークを利用して自力で感染を広げます。
<トロイの木馬> 拡散手段を持たない
他のファイルに寄生せずに単独で存在し活動します。自己増殖や感染活動は行いません。自分自身を便利なプログラムのように見せかけており、だまされたユーザーが自らインストール、実行してしまうという形でパソコンに入り込みます。
最近では、上記の特徴を併せ持ったウイルスが多くなっています。また、まずトロイの木馬がパソコンに入り込み、それが別のウイルスを呼び込むというような複合型の攻撃が行われています。
So-netでは以下のページで、ウイルスに感染するとどんなことが起こるのか、アニメーションを使って説明しています。ご覧ください。
・知っておこう、やっておこう〜ウイルス感染体験(So-net)
http://www.so-net.ne.jp/security/entry/virtual/index.html
マイクロソフトは17日、ショートカットのアイコンを表示すると任意のコードが実行されるおそれがある※3脆弱性のアドバイザリを公開した。対象となるのは、Windows7を含むすべてのバージョン |
| ※3 |
任意のコードが実行されるおそれがある
コードとは、コンピューターに対する指示書のようなものです。コードを実行するとは、コンピューターが指示書に書かれている作業を実行するということ。「任意のコードが実行されるおそれがある」とは、悪意を持った人の指示したことがパソコン上で実行されてしまうおそれがある、ということを示しています。言い換えると、パソコンを乗っ取られてしまうおそれがあるということで、非常に危険だといえます。 |
この脆弱性は、Windows
Shellがショートカットの特定のパラメーターを正しく検証しないことに起因している。そのため、細工された(攻撃目的の細工が施された)ショートカットファイルのアイコンを表示すると、それだけで自動的にコードが実行されてしまう。 |
Windows Shell、パラメーターについては、ここでは説明しません。
セキュリティベンダー(セキュリティ関連のソフトウェアやサービスを提供している企業)がすでにこの脆弱性を悪用した標的型攻撃(広範囲を対象とする無差別な攻撃ではなく、特定の企業や組織などをターゲットにした攻撃)を確認しているが、今後は不特定多数に向けたドライブバイダウンロード※4が始まるおそれがある。この脆弱性を悪用してばらまかれる懸念のあるトロイの木馬型ウイルスについては、「Stuxnet」などのウイルス名で各社が対応を進めている。 |
| ※4 |
ドライブバイダウンロード
Web(ウェブ)サイトを閲覧しただけで、知らない間に、勝手にプログラムがインストールされてしまうという攻撃の手法。ガンブラー攻撃も、この手法を使っています。 |
Webサイトとは、いわゆるホームページのことです。ホームページという言葉が別の意味で使われることもあるため(興味のある方は調べてみてください)、Webサイトやサイトという言葉が使われています。また、Webサイトで表示されるテキストや画像などのデータ(ファイル)は、Webサーバーに置いてあります。
■Webベース(インターネットベース)でのドライブバイダウンロード攻撃への懸念
現在の攻撃ツールとしては、USBなどのリムーバブルメディア※5が使われている。
メディアをパソコンにつなぐと自動的にショートカットのアイコンが表示されてしまい、マルウェア(ウイルスなど悪意のあるソフトウェア)に感染するという仕掛けだ。悪意ある細工をしたショートカットファイルは、このようなローカルファイル※6だけではなく、LAN※7などの共有フォルダ内にも置くことができるので警戒が必要だ。 |
| ※5 |
リムーバブルメディア
取り外しが可能な記憶媒体(メディア)のことです。USBメモリー、CD、DVD、MO、フロッピーディスクなどがあります。 |
| ※6 |
ローカルファイル
ローカルとは、自分の手元にあって直接操作できる環境や機器のことを指す言葉です。ローカルファイルとは、あなたが今使っているパソコンの中にあるファイルのことです。 |
| ※7 |
LAN
Local Area Networkの略で、家庭内、会社内、ビル内などの限定されたエリア内で構成されているネットワークのことです。 |
また、攻撃を受けやすい共有フォルダとして見落としてはいけないのが、WebDAVをサポートしているWebサーバーの場合だ。Webサイトのフォルダ(サイトで表示するテキストや画像などのデータを収めているフォルダ)がWindowsの共有フォルダとして機能しているため、インターネット上の共有フォルダが攻撃のターゲットになるおそれがあり、Webベースでのドライブバイダウンロード攻撃を受ける可能性が高い。 |
Webサーバーについては、※4のところで説明しました。WebDAVについては、ここでは説明しません。
■早急に回避策の実施を
マイクロソフトでは現在この問題について調査中であり、修正パッチ(修正プログラム)のリリース(公開)は調査終了後になる見込みだ。それまでの回避策として、公開されたアドバイザリでは「ショートカット用アイコンの表示を無効にする」、および「WebClientサービスを無効にする」という2つの方法が提示されている。 |
WebClientサービスについては、ここでは説明しません。
アイコン表示を無効にする回避策は、ローカル/リモート※8どちらにも有効で、これを実施すればWebClientサービスを無効にする必要はない。WebClientサービスを無効にする方法は、WebDAVからのリモート攻撃(ネットワーク上の別のコンピューターからの攻撃}をブロックする回避策だ。ローカルやLAN内の攻撃は回避できないが、サイト閲覧でウイルスが自動的にインストールされるようなWebベースのドライブバイダウンロード攻撃には有効だ。
攻撃の警戒レベルが上がっているため、早急に回避策を実施していただきたい。 |
| ※8 |
ローカル/リモート
ローカルという言葉は先ほども出てきましたが、あなたの手元にある環境や機器のことです。これに対してリモートは、ネットワークを介してつながっている機器などを指しています。回避策がローカル/リモートどちらにも有効ということは、例えば悪意のあるプログラムがあなたのパソコンに直接入り込んだ場合でも(ローカル)、ネットワークでつながっているシステム上に置かれている場合でも(リモート)、攻撃を回避できるということです。 |
いかがでしたか。記事の内容をつかんでいただけたでしょうか。
■脆弱性の回避策と「Fix It」について
さて、マイクロソフトがセキュリティアドバイザリを公開したのが7月17日で、脆弱性を修正するプログラムが公開されたのが8月3日。2週間以上も危険な状況が続いていたわけですが、あなたはこの間、回避策を適用していましたか?
今回の件については、アドバイザリの中で回避策が2つ提示されていました。そのうち「ショートカット用アイコンの表示を無効にする」という方法は、攻撃を回避する効果は高いのですが、レジストリを直接操作しなければならず、難易度が高いものでした。レジストリの操作を誤ると最悪の場合、パソコンが起動しなくなりますので、初心者にレジストリの操作をすすめるのは、ためらわれます。
もうひとつの「WebClientサービスを無効にする」方法は、比較的簡単に設定でき、Webベースの(インターネット経由の)攻撃には有効なのですが、ローカルやLAN内の攻撃に対しては効果がありませんでした。
そこでマイクロソフトは7月21日、効果が高いが難しいほうの回避策である、「ショートカット用アイコンの表示を無効にする」という設定を行うためのFix It(フィックスイット)を公開しました。Fix Itとは、問題を修正するための設定を自動で行ってくれるツールで、パソコンにあまり詳しくない方にとっては、強い味方となります。セキュリティ通信では7月22日に、Fix Itが公開されたことをお伝えし、これを実行するようおすすめしました。
■脆弱性はこれからも次々と見つかる
〜あなたがしなければならないことは
ここまで読んでいただいた皆さん、お疲れさまでした。こんなことが起きていたんだ、これをやっておくとよかったんだ、ということを読み取っていただけたでしょうか。
パソコンを使い続ける限り、残念ですが、脆弱性の問題から逃れることはできません。暗い予想となってしまいますが、これからもWindowsで、そしてさまざまなソフトウェアで、深刻な脆弱性が次々と見つかることでしょう。もしゼロデイ攻撃(※1で説明しました)が始まってしまったら、あなたにできることは回避策を実行し、更新プログラムが少しでも早く公開されるよう祈ることしかありません。
脆弱性が見つかった、攻撃が始まったといった情報を入手するためには、「セキュリティ通信」も含め、セキュリティ関連の情報を提供しているサイトを自分でチェックしなければなりません。また、内容を読み取って必要なことを実行しなければなりません。そのために、このトピックスが少しでもお役に立てば幸いです。
(執筆:現代フォーラム/北野)
|
パソコンのウイルス対策など、安心・安全の情報
ページトップ
