− 第2回 −
ウイルス/ワームの仕組みとその対策
ウイルスを知り、対策を知れば情報システム危うからず
既知ウイルスをデータベース化して検出するパターンファイル
セキュリティ対策として最も一般的ともいえるのがウイルス対策ソフトです。
ウイルス対策ソフトは、各種ウイルスのプログラムコードなどの情報をデータベース化したパターンファイル(ウイルス定義ファイル)を備え、検査対象のファイルをパターンファイルと照合してウイルスの有無をチェックします。ウイルスが検出されたファイルに対して、ウイルスの駆除、削除、隔離などの処理を行い、ファイルを修復するとともに被害の拡大を防止することができます。例えば、感染のたびにプログラムコードを書き換えるポリモーフィック型のウイルスなどは、亜種のウイルスでもパターンファイルが対応していれば感染を防御できます。このため、ウイルス対策ソフトを常に最新の状態に更新しておくことが重要です。
既知のウイルスはパターンファイルを更新することで検出・防御できますが、パターンファイルが用意されていない新種のウイルスは検出することは困難です。こうした未知のウイルスに対処するため、ファイルをスキャニングし、プログラムの動作パターンがウイルスかどうかを判断、検出するヒューリスティックと呼ばれる手法を装備するウイルス対策ソフトもあります。
ヒューリスティックの中にはウイルス固有のプログラムコード(ビット列パターン)が含まれていないかどうかをチェックするスタティックヒューリスティックと、プログラムをメモリ上で動作させてウイルスの有無をチェックするダイナミックヒューリスティックがあり、未知のウイルスもある程度、検出することができます。
また、ウイルス/ワームの動作パターンを監視し、システムを防御するセキュリティソフトもあります。例えば、「外部から脆弱なポートにアクセスし、ファイルをダウンロード、実行・増殖を開始する」といった動作パターンを監視。ファイルやネットワークへのパケットを代行受信し、許可されていない動作パターンに対してアクセスを制限することで、未知のウイルス/ワームの侵入を防御するというものです。一般的に、未知のウイルスかどうかをプログラムの動作パターンで判断するヒューリスティックなどの手法は、ウイルスの誤認や見過ごす可能性もあると指摘する専門家もおり、既知ウイルスを防御するパターンファイルに比べて完全とは言い切れないのが実情のようです。
現在ウイルス対策ソフトは、多種多様なタイプが提供され、企業の規模や予算、運用管理体制などに応じて選択することができます。例えば、中小規模の企業やリモート拠点などユーザ数が比較的少ない場合、クライアントPCにインストールするタイプも選択肢の1つになります。各ユーザがウイルス対策ソフトのベンダーから提供されるパターンファイルの更新作業を継続的に行う必要があるものの、比較的低コストに導入することが可能です。
ユーザ数が多い場合、ネットワークの出入り口となるゲートウェイでウイルスの検出・駆除、パターンファイルの更新、検出時のアラート通知などが実行できるタイプを導入すれば、ユーザの手をあまり煩わせることなく、一元的な運用管理も可能です。サーバにインストールするソフトウェアタイプや、専用のアプライアンスなどゲートウェイレベルでのウイルス対策に適した製品が各種提供され、選択肢が広がっています。
