TOP
>
設計・移行・活用
> スパイウェア対策
1億円の企業ダメージを回避するウイルス対策ソリューション
第7回:ウイルス/スパイウェアによる情報漏洩を阻止するために
著者:
トレンドマイクロ 黒木 直樹
2006/1/24
前のページ
1
2
3
4
次のページ
スパイウェア対策
続いては不正プログラム、特にスパイウェアによって「個人情報」や「企業の機密情報」の流出をどのように防ぐかについて解説する。
スパイウェアにも様々なジャンルがあるが、企業にとって機密情報や顧客情報を外部に流失するようなスパイウェアへの対策は必須となっている。銀行の口座番号を流失させてしまうような悪質なプログラムは早急に駆除しなければならないが、情報漏洩とは直接関与しないアドウェア(画面上に強制的に広告を表示したり、Webアクセス履歴などを収集するもの)やジョークプログラム(偽のウイルス警告の発信や画面操作をできなくするなどのいたずら的なもの)といったものもある。
そういったプログラムは情報漏洩を起こさないものの、企業としてみれば業務効率の低下を引き起こし、生産性を下げる要因ともなる。そのためにも、企業のシステムにおいてはこういったアドウェアの侵入を阻止し、万が一侵入された場合には速やかに削除することが求められる。
スパイウェアの侵入経路
電子メールに添付されるスパイウェアに関しては、上記で説明したSMTPプロトコルのメールゲートウェイ型ウイルス対策製品で対応可能である。しかし実際にスパイウェアが企業に侵入してくるケースとしては、Webサイト経由によるものが圧倒的に多い。Webサイト経由によるスパイウェアの侵入を効果的に防ぐには、HTTPプロトコルを対象としたゲートウェイレイヤにおける対策製品の導入が必要となる。
では、Webサイト経由でスパイウェアが企業のネットワークに侵入するルートにはどのようなものがあるのだろうか。これにはいくつかのケースが存在するが、なんらかのツールやソフトウェアをダウンロードした際に気付かぬまま同時にスパイウェアをダウンロード/インストールされるケース、悪質なWebサイトを閲覧した際に自動的にダウンロード/インストールされるケースが一般的である。
スパイウェアの侵入を阻止(クライアントPCでの対策)
企業内ネットワークにおいては、クライアントPCでのスパイウェア対策が第一歩となるだろう。スパイウェアを発見・駆除するには、 一般的なウイルス対策ソフトでは対処することができないので、スパイウェアに特化した製品の利用が必要となる。最近ではスパイウェア対策ソフトウェアにも様々な製品があるが、多くのものが家庭向けであり、企業向けの選択肢は多くない。
この類のソフトを利用することによりクライアントPCのハードディスク上にスパイウェアが侵入していないかを調べ、万が一検出された場合には駆除する必要がある。ハードディスク上を検査するだけではなく、Webサイトにアクセスした際に侵入しようとしたスパイウェアを検出してブロックすることができる製品もあるので、機密情報を持っているクライアントPCにスパイウェアを「入れさせない」対策を講じることができる。
もちろんクライアントPCにスパイウェア対策ソフトを入れていれば万全というわけではない。通常のスパイウェア対策製品は、ウイルス対策製品と同様に定義ファイル(パターンファイル)を元に検出している。
パターンファイル未対応のスパイウェアがクライアントPCに侵入してしまうことも考えられるので、次のステップとしてはゲートウェイ側での対策も検討すべきである。また、パーソナルファイアウォールなども併用して、多岐に渡って情報を外部に流失させないための効果的な対策を実施すべきだろう。
スパイウェアからの情報漏洩を阻止(ゲートウェイでの対策)
HTTPプロトコルを対象としたゲートウェイでの対策を講じることにより、社員による不適切なWebサイトへのアクセスを禁じ、スパイウェアやウイルスなどの悪質なプログラムの感染源の侵入をネットワークの根幹の部分から防ぐことが可能となる。
情報漏洩を引き起こすようなスパイウェアは特定のWebサイトに情報を送る仕組みとなっていることが多い。ゲートウェイ側でそのようなWebサイトへのアクセスを禁止することによって情報を送り出すことを阻止することも可能であり、よりセキュアな対策を講じることができる。つまり、ゲートウェイがスパイウェアの侵入と発信を阻止する役割となる。
例えばHTTPプロトコルに対応したスパイウェア対策検出ソフト製品では、ゲートウェイを流れるパケットの内部を解析し、Webサイト経由でダウンロードされたファイルが適切なものかそうでないかを確認し、スパイウェアなどは排除する仕組みを持っている。つまり、ゲートウェイでの対策はネットワークへの侵入や情報の発信を阻止し、情報漏洩をブロックする防波堤といった役割を担っている。
なお、ほとんどのスパイウェアは単体ではなく、なんらかのソフトに付随していたり圧縮された形式で配布されている。ZIP形式などで圧縮して偽装されたようなものでも検出できるような製品でないと、ゲートウェイでの対策製品として導入する意味は少ないということも留意したい。
侵入したスパイウェアを駆除し、元の環境に戻す
企業のネットワークにスパイウェアを取り込ませない対策も重要だが、なんらかの形で侵入してしまったスパイウェアを駆除するための機能がある製品が必要である。ほどんどのスパイウェアが単独のファイルではなく、複数のファイルで構成され、レジストリの書き換えを行いつつ動作するものがほとんどである。
そのため、手作業で感染前の元のクリーンなシステム状態に戻すのは困難なのである。修復するためには何かしらのツールを使う必要がある。クライアントPC用のスパイウェア対策ソフトでは、多くの場合修復するためのツールや機能を提供しているので、感染が発覚した場合は速やかに対処することをお勧めしたい。
さらにクライアント製品がゲートウェイ製品と連動し、スパイウェアが情報の送信を行おうとしたクライアントPCのIPアドレスを特定し、そのクライアントPCに対してスパイウェア駆除ツールを送付して自動的に駆除から復旧まで行うような機能も重要である。修復するまでのオペレーションが手作業によるものだと、ついつい後回しにしてしまったり、忘れて何もしない人がでてくることも考えられる。
感染の検知から修復まで自動的に処理してくれるようなソリューションを導入することにより、システム的にウイルスやスパイウェアに感染していないクリーンな環境を常に構築し、管理者の手間をかけずに維持することができるのである。
図2:スパイウェアクリーンナップ用のサーバ
(画像をクリックすると別ウィンドウに拡大表示します)
持ち込みPCへの対策
社内ネットワークにおいて、適切なセキュリティポリシーを導入し、かつ持ち込みPCの社内ネットワークへの接続を禁止していても、社員や外部の関連会社からのスタッフが持ち込んだPCをネットワークに接続させることが業務上必要な場合がある。
その状況において、持ち込まれたPCのセキュリティ対策がどうなっているのか管理者がすべて把握することは難しい場合もある。もし持ち込みが許されるようなネットワークであるならば、そういったPCに対しての対策も考慮しておかなければならない。
持ち込みPCの場合、前述のゲートウェイ側での対策製品によってスパイウェアからの情報送信を検知してブロックすることができるため、ゲートウェイ側での対策は必須といえる。
運用管理面にも配慮すべき
特に規模の大きい企業においては、ウイルス対策と同様にスパイウェア対策でも管理者が社内の状態を把握できるような製品を導入する必要があるといえるだろう。個人向けスパイウェア対策製品だと、ユーザが個別にソフトを使ってスパイウェアの検索/駆除といった処理を行わなければならないため、管理者側から見れば社員全員が適時にスパイウェア対策を行っているのか把握することは困難である。
例えば、クライアント用ウイルス対策製品のオプションとしてスパイウェア対策が用意されているケースもあるだろう。ウイルスもスパイウェアも検出から駆除までを1つの管理コンソールで把握できることがメリットである。
個人のPCならともかく、企業内のクライアントにおいては、管理や運用面を重視して製品を選択することが重要であることを忘れてはならない。ここが疎かになると、お金をかけて対策製品を導入しても適切な運用が行われず、結果的にスパイウェアによる情報漏洩を引き起こしてしまうことにもつながりかねない。
前のページ
1
2
3
4
次のページ
著者プロフィール
トレンドマイクロ株式会社 黒木 直樹
トレンドマイクロ株式会社 上級セキュリティエキスパート
1996年トレンドマイクロ株式会社入社。
ウイルス対策ソフト「ServerProtect」をはじめとする法人向け製品のプロダクトマーケティングを経て、製品開発部の部長代行に就任(2000年)。個人・法人向け全製品の開発においてリーダーを務め、同社のビジネスを支える主力製品へと成長させる。アウトソーシングサービス事業の立ち上げた後(2001年)、2002年にコンサルティングSEグループ兼インテグレーショングループ部長に就任。営業支援のシステムエンジニア、テクニカルコンサルタントを率い、情報セキュリティ全般にわたりプロジェクトを推進する。
INDEX
第7回:ウイルス/スパイウェアによる情報漏洩を阻止するために
企業の情報漏洩対策に関する考察
情報漏洩対策としての監視
スパイウェア対策
セキュリティ教育の重要性
