手を変え品を変え、ユーザーのコンピュータに侵入する不正プログラム。最近では、情報の詐取をはじめとした犯罪目的の不正プログラムが増えていると言われる。このような不正プログラムの脅威から身を守るには、まずは不正プログラム自身を理解することが大切だ。
そこで本稿では、国内の脅威動向の監視・調査を行うトレンドマイクロの「Threat Monitoring Center」でSenior Threat Research Engineer を務める小松優介氏が、毎月1回、全4回にわたって、不正プログラムの代表的な手口を解説するとともに、ちょっとした工夫でコンピュータセキュリティを高めるられるコツ「基礎の基礎5カ条」を紹介する。
第1回は、不正プログラムの概要に加えて、不正プログラムが用いる「だましの手口」や、不正プログラムを見極めるコツを紹介する。(編集部)
少し前の話になりますが、財団法人日本漢字能力検定協会が発表した「2007年 今年の漢字」は「偽」でした。食肉、野菜、菓子、ファーストフードまで、産地や素材、賞味期限に多くの偽装があったことが選定理由のひとつであったそうです。2008年はいろいろな変化があった年だったということで「変」という漢字が選ばれました。前年に多くの問題が発覚した食の安全性に対する消費者の意識は変化し、食品を選別する目は厳しくなってきたのではないでしょうか。
では、インターネットの世界ではどうでしょう? コンピュータウイルスをはじめとする不正プログラムは、ファイル偽装、アイコン偽装など、「偽」があふれかえっており、攻撃者がターゲットユーザーのコンピュータ上で不正プログラムをダブルクリックさせる手段として、今もなお使用されています。しかし、私たちインターネットユーザーのインターネットに対する意識は変化し、ファイルを選別する目は厳しくなってきているといえるのでしょうか。
近年、ウイルスをはじめとした不正プログラムの特徴が、いたずら目的から情報の詐取をはじめとした犯罪目的へと変化してきたといわれています。
目的の変化に伴い、不正プログラムをばら撒く方法も不特定多数のターゲットに向けたマスメーリング型の単発攻撃から、Webを利用して連続的に異なる不正プログラムを送り込んでくる連鎖型攻撃へと変わってきました。(「Webからの脅威」と呼ばれるこの連鎖型攻撃については、第3回の記事で解説します)。
不正プログラムの目的が変化したといっても、不正プログラムはあくまでもプログラムであり、コンピュータ上で実行されなければ活動を行えない点は変わりありません。そのため、不正プログラムの作成者は、ユーザーのコンピュータ上で不正プログラムを実行させるために、OSやアプリケーションソフトの脆弱性(セキュリティ上の弱点)を悪用したり、Windowsの自動再生/自動実行機能を悪用するなど、さまざまな工夫を凝らしています。
しかし、不正プログラムを実行させる最も単純な方法は、いうまでもなく、ユーザーに不正プログラムをダブルクリックさせることです。不正プログラムの作者は、どんな手法を使えばユーザーが不正プログラムをダブルクリックするのか常に研究しているのです。
そこで、今回は不正プログラムをダブルクリックしてしまわないためのセキュリティの心得、キソのキソ5カ条をご紹介します。
第1条 出所不明の怪しいファイルは不用意にクリックしない |
第2条 ファイルの拡張子を表示して実行形式ファイル(EXEファイル)かどうかをチェックする |
第3条 ファイルの詳細を表示してアイコンやファイルの種類をチェックする |
第4条 フォルダ表示でフォルダアイコンへの偽装をチェックする |
第5条 怪しいファイルはテキストエディタで中身をチェックする |
それでは、セキュリティの心得、基礎の基礎を第1条から見ていきます。
第1条 出所不明の怪しいファイルは不用意にクリックしない
セキュリティ講習をはじめとして、各方面で言われ続けていることですが、怪しいファイルは不用意にクリックしてはいけません。これは、ウイルス感染を避ける意味では大前提です。メールの添付ファイルだけに限らず、Web閲覧中にダウンロードを促される不審なファイルも同様です。動画サイトを閲覧中に動画再生用のソフトウェアをインストールするように促され、実行すると不正プログラムが送り込まれる――といったケースは攻撃者の常套手段です。
第2条 ファイルの拡張子を表示して実行ファイル(EXEファイル)かどうかをチェックする
怪しいファイルを不用意にクリックしてはいけないのは、前述のとおりですが、何をもって「怪しい」ファイルであると判断すべきなのでしょうか。まず、そのファイルがどこから取得したものなのか、そのファイル自体が怪しい特徴を持っていないかどうかを確認する必要があります。
例えば、見知らぬ人からのメールに添付されているファイルは、怪しい可能性が高いと考えられます。また、アンダーグラウンドなサイトからダウンロードしたファイルも怪しいものである可能性が高いといえます。ここでいうアンダーグラウンドなサイトとは、主に非合法なコンテンツを取り扱うWebサイトを指しています。例えば、ソフトウェア、音楽、動画等の著作物を不正に配布するWebサイト等です。このほかには、自身の存在を偽装し、あたかも不正ではないもののように見せかけるファイルには注意が必要です。
不正プログラムを「不正ではないもの」のように見せかけ、ユーザーのダブルクリックを促す手法として、古くから使用されている方法にアイコンの偽装があります。実際は、不正コードを実行するプログラムファイルであるにもかかわらず、プログラムファイル以外のアイコンを表示することにより、ユーザーの目を欺きます(図1)。
図1 アイコン偽装された不正プログラム |
アイコンは、ファイルの拡張子を元にあらかじめ設定されており、ファイルの種類を視覚的に判別するのに非常に便利な機能です。しかしこのアイコンが偽装されると視覚的な判別が不正プログラムの実行を引き起こす危険なものになりかねません。
EXE等のプログラムファイルは、そのアイコンを独自に設定することが可能です。ファイル内には表示アイコンの情報が格納されていて、そこで指定されたアイコン画像をファイルのアイコンとして表示しています。これにより、ユーザーが視覚的にアプリケーションの機能を連想できるようになります。
不正プログラムの作成者は、この便利な機能を悪用し、ユーザーがEXEファイルであることに気が付かず、思わずダブルクリックをしてしまうようなアイコンを不正プログラムに設定するのです。
このようなアイコン偽装には、拡張子の表示によるファイルのチェックが有効です。
1)任意のフォルダを開き、上部メニューの「ツール」で「フォルダオプション」をクリックします |
2)フォルダオプション内の「表示」タブを選択し「登録されている拡張子は表示しない」のチェックを外し、「適用」ボタンをクリックします |
3)すべてのフォルダにこの設定を適用するため「すべてのフォルダに適用」をクリックします |
4)拡張子「.exe」が表示されることにより、画像やテキストのアイコンだったこれらのファイルが、実はプログラムファイルでありアイコンが偽装されていることがわかります |
プログラムファイルは、個々にアイコンの設定ができるので、拡張子を表示することにより怪しいファイルをチェックすることが重要です。
第3条 ファイルの詳細を表示してアイコンやファイルの種類をチェックする
不正プログラムのアイコン偽装では、フォルダアイコンを使用したものも頻繁に確認されています。
図 2 フォルダアイコンに偽装された不正プログラム |
アイコン偽装の中でも、フォルダアイコンに偽装された不正プログラムは、特にダブルクリックしてしまう確率が高いと考えられます。
図2は通常のフォルダ「Test1Test1T」とフォルダアイコンに偽装された不正プログラム「Test2Test2T〜」です。この状態では2つのフォルダの違いを見極めるのは困難です。ユーザーが、フォルダ内のファイルを表示しようと「Test2Test2T〜」をダブルクリックするとフォルダアイコンに偽装された不正プログラムが実行されてしまいます。
フォルダアイコンへの偽装には、ファイルの詳細表示によるチェックが有効です。
1)任意のフォルダを開き、上部メニューの「表示」で「詳細」をクリックします |
2)すべてのフォルダにこの設定を適用するため、上部メニューの「ツール」で「フォルダオプション」をクリックし、「すべてのフォルダに適用」をクリックします |
3)ファイルの種類「アプリケーション」が表示されることにより、Test2Test2T〜がプログラムファイルでありアイコンが偽装されていることがわかります |
フォルダアイコンに偽装した不正プログラムは、フォルダの中身を確認したいという衝動にかられ、ダブルクリックをしてしまいがちです。ファイルの詳細表示を行い、アイコンとファイルの種類との不整合で怪しいファイルをチェックすることが重要です。
また、ファイルの詳細表示は、不正プログラムの二重拡張子をチェックする際にも有効です。図3は、それぞれ「virus6.doc<長いスペース>.exe」、「virus7.doc<長いスペース>.exe」という名前のファイルで、アイコンの偽装と二重拡張子を使用してユーザーの目を欺くものです。
ファイル名に長いスペースが含まれるため全体が表示できず、アイコンに示されたのと同じファイルタイプの拡張子である「.doc」と「.avi」のみが読み取れます。ファイルの詳細表示を選択することにより、実際のファイルの種類とアイコンおよび表示された拡張子との不整合をチェックすることが可能です。
図3 二重拡張子の不正プログラム(ファイル名が長いため実際の拡張子「.exe」が表示されない) |
第4条 フォルダ表示でフォルダアイコンへの偽装をチェックする
フォルダアイコンへの偽装は、フォルダ表示により判別することも可能です。
1)「フォルダ」をクリックし、ウィンドウ左のエクスプローラーバーにフォルダを表示させます |
2)不正プログラム(Test2Test2T〜)は表示されないので、フォルダアイコンに偽装されていることがわかります |
エクスプローラーバーからフォルダを選択し、フォルダ内のファイルを確認するようにすれば、フォルダをダブルクリックする必要がなく、フォルダアイコンに偽装された不正プログラムを実行してしまう危険も低減できます。
第5条 怪しいファイルはテキストエディタで中身をチェックする
これまで、アイコン偽装を見分ける方法について書いてきましたが、ここでは怪しいファイルの中身をメモ帳などのテキストエディタで見てみたいと思います。通常、プログラムファイルの中身を確認するには、バイナリエディタを使用しますが、メモ帳などのテキストエディタでも、そのファイルが実行ファイルなのかどうかが判断できます。
1)メモ帳を起動して、中身をチェックしたいファイルをドラッグ&ドロップします |
2)先頭の2文字が「MZ」になっています |
ほとんどの部分は文字化けして判読不能ですが、先頭の2文字に注目してください。この部分が「MZ」となっているファイルは、実行可能形式であることを示しています。EXE、SCR、COM、DLL、SYSファイル等は先頭が「MZ」となっています。
アイコンがフォルダやテキスト等のプログラムファイル以外のものになっているにもかかわらず、先頭が「MZ」であれば、ファイルのアイコンが偽装されている怪しいファイルであるということができます。ちなみに、本物のフォルダはメモ帳上にドラッグ&ドロップできず「アクセスが拒否されました」というエラーメッセージが表示されます。
また、不正プログラムに頻繁に利用される拡張子に「.pif」(Program Information File)があります。「.pif」は本来MS-DOSプログラムを動作させるための設定用ファイルに付けられる拡張子ですが、「.exe」「.scr」等の拡張子を「.pif」に変更してもそのまま実行可能であることや、「拡張子をすべて表示する」設定にしても表示されない拡張子であること、アイコンがショートカットになることから、多くの不正プログラムに悪用されています。
図4 「.pif」拡張子を持つ不正プログラム |
図4のアイコンを見つけたら、メモ帳にドラックアンドドロップしてみてください。先頭が「MZ」であれば、アイコンが偽装された怪しいファイルということになります。
次回は、「不正プログラムの入り口」として、メールやインスタントメッセンジャーに潜む脅威について解説する予定です。