ソリューション
ESETセキュリティ製品が防御するように設計されている脅威のほとんどは、ウイルス、マルウェア、リモート攻撃に分類されます。コンピュータにインストールしたプログラム以外にも、コンピュータが悪意のあるプログラム(マルウェア)に攻撃されたり、遠隔地からコンピュータを操作する何者かによってネットワーク経由で攻撃を受けたりする可能性があります。悪意のあるソフトウェアや遠隔地からの攻撃は、精神的な損失や時間の浪費を引き起こし、金銭的な損失にもつながります。以下では、最も一般的なコンピュータの脅威の種類について説明します。
ウイルス|マルウェア|リモート攻撃
ウイルス
ウイルスとは、実行可能なオブジェクトに自身のコピーを添付することで活性化するプログラムです。ウイルスは、他の感染したコンピュータから、データ媒体(CD、DVDなど)を介して、またはネットワーク(ローカルまたはインターネット)を介してコンピュータに到達します。ウイルスにはいくつかの種類があります:
ファイルウイルス:ファイルウイルス: ファイルに感染するウイルスは、拡張子が「.exe」や「.com」 のすべてのファイルなど、実行可能プログラムを攻撃します。
スクリプト ウイルス:スクリプトウイルスはファイルウイルスのサブセットで、さまざまなスクリプト言語(VBS、JavaScript、BAT、PHP など)で記述されます。他のスクリプト(Windows や Linux のコマンド ファイルやサービス ファイルなど)に感染するか、マルチコンポーネント型ウイルスの一部を形成します。スクリプト・ウイルスは、スクリプトの実行が可能なファイル形式であれば、HTML などの他のファイル形式にも感染します。
ブート・ウイルス:ブート・ウイルスは、ブート・セクタ(リムーバブル・メディアのブート・セクタまたはハードディスクのマスター・ブート・セクタ)を攻撃し、起動時に独自のロード・ルーチンを設定します。
マクロウイルス:マクロウイルスは、他のコマンド(マクロ)が挿入可能な文書を攻撃します。マクロはこれらのタイプのファイルに簡単に挿入できるため、これらのウイルスはワープロや表計算のアプリケーションに埋め込まれることがよくあります。
ウイルスは、その動作の実行方法によっても分類することができます。直接作用型ウイルスは、感染したオブジェクトがアクティブになった直後に動作を実行しますが、常駐型ウイルスは、コンピュータのメモリ内に留まって動作します。
マルウェア
マルウェアとは、ウイルスではないものの、システムに脅威を与える悪意のあるプログラムや技術を指す言葉です。
ワーム:ワームは、ネットワーク上で自身をコピーする独立したプログラムです。ウイルス(それ自体を複製するために感染したファイルがコピーされる必要がある)とは異なり、ワームはLANやインターネット、電子メール通信、またはオペレーティング・システムのセキュリティ・バグを介してそれ自体のコピーを送信することにより、活発に拡散します。
また、ワームは追加的なマルウェア(バックドア・プログラムのインストールなど-下記参照)を持ち込むこともあるが、このような行動は厳密にワームに限定されるものではない。ワームは、しばしばDoS攻撃によって通信チャネルを「妨害」するために使用される。ワームは、インターネットを介して数分で世界中に拡散することができる。
トロイの木馬:トロイの木馬は、ウイルスやワームとは異なり、自分自身をコピーしてファイルに感染させることができないマルウェア・プログラムです。通常、実行可能ファイル(.exe、.com)の形で発見され、トロイの木馬のコードそのもの以外には何も含まれていません。このため、唯一の解決策は削除することです。
トロイの木馬には、キーロギング(すべてのキーストロークを記録し、送信する)からファイルの削除やディスクのフォーマットまで、さまざまな機能があります。中には、バックドア・プログラム(開発者にコンピュータへのリモート・アクセスを許可するクライアント・サーバー・アプリケーション)をインストールする特別な機能を持つものもあります。同様の機能を持つ一般的な(合法的な)ソフトウェアとは異なり、クライアント・コンピュータの同意なしに勝手にインストールされます。
アドウェア:アドウェアとは、Advertising-Supported Softwareの略で、広告を表示するためのソフトウェアです。アドウェアは、インターネット閲覧中にポップアップ・ウィンドウを表示したり、さまざまなウェブサイトをホームページとして設定したり、特別なプログラム・インターフェースのウィンドウを開いたりして動作します。
アドウェアは多くの場合、無料でダウンロードできるプログラムにバンドルされており、クライアントは通常、エンドユーザー使用許諾契約書の中でこのことを知らされます。アドウェアの広告により、フリーウェアの開発者は、有料版でのみ利用可能なプログラム機能を提供することで収益を得ることができます。ほとんどの場合、アドウェアのインストールは法的なガイドラインの範囲内であり、合法的な広告サポートプログラムも数多く存在します。しかし、広告の自己主張の強さやその内容などの問題により、一部のアドウェアの合法性が疑問視されることがあります。
スパイウェア:スパイウェアとは、インターネットを利用して、ユーザーの意識なしにユーザーに関するさまざまな機密情報を収集するソフトウェアのことです。スパイウェアの中には、現在インストールされているアプリケーションや訪問したウェブサイトの履歴などの情報を検索するものもあります。その他のスパイウェアプログラムは、より危険な目的で作成されています:個人情報窃盗を目的とした財務データや個人データの収集です。
リスクウェア:このタイプのマルウェアには、実行時にユーザのセキュリティリスクを増大させるすべてのアプリケーションが含まれます。スパイウェアやアドウェアのインストールと同様に、リスクウェアのインストールはライセンス契約によって確認される場合があります。「ダイヤラー」はリスクウェアの一般的な例で、あらかじめ設定された有料番号に接続を迂回させるプログラムです。このようなプログラムは、インターネットサービスの支払いに合法的に使用することができますが、悪用されることが多く、ユーザーが気づかないうちに迂回が行われています。
危険なアプリケーション:危険なアプリケーション:危険なアプリケーションとは、合法的なプログラムであっても、ユーザーによってインストールされ、セキュリティ上のリスクにさらされる可能性があるものを指す。例えば、市販のキーロギングや画面キャプチャ、リモートアクセスツール、パスワードクラッキング、セキュリティテストプログラムなどがある。
デマ:デマとは、電子メールで意図的に送信され、疑うことを知らない、あるいは何も知らない一般大衆の助けを借りて広まる誤った情報のことです。デマは通常、ユーザーがやってはいけないことをさせるように設計されています。悪質なデマは、そのファイルが危険なウイルスであるとして、有効なオペレーティング・システム・ファイルを削除するようユーザーに勧めることが多い。
多くの場合、デマは読者の注意を引くために、信頼できる機関/企業を引き合いに出します。例えば、「マイクロソフトが警告しています」とか「CNNが発表しました」などである。これらのメッセージはしばしば、悲惨な、あるいは破滅的な結果を警告している。これらの警告には共通点があり、ユーザーにメッセージを知り合いに送るよう促すことで、デマのライフサイクルを永続化させている。 99.この種のメッセージの9%はデマである。
デマはそれ自体では広がらないので、身を守る唯一の方法は、何らかの行動を起こす前にメール・メッセージの主張の信憑性を確認することである。
詐欺:大まかに定義すると、詐欺とは金銭的な利益や個人情報の窃盗を目的としてコンピューター・ユーザーを騙すことです。最も一般的な詐欺のひとつに、ナイジェリアやその他の西アフリカ諸国からの迷惑ファックス、電子メール、手紙があります。その手紙は、合法的なビジネス提案のように見えるが、ターゲットから前金を要求する。この提案はもちろん詐欺であり、ターゲットが支払った料金は即座に盗まれる。
詐欺のもう一つの一般的な形態として、フィッシング・メール・メッセージやウェブサイトがある。これらの詐欺の目的は、銀行口座番号やPINコードなどの機密データにアクセスすることである。アクセスは通常、信頼できる人物や企業(金融機関、保険会社)を装ってEメールを送信することで達成される。
Eメール(またはユーザーを誘導するウェブサイト)は、非常に本物らしく見え、元々なりすましている送信元から来たと思われるグラフィックやコンテンツが含まれています。ユーザーは、銀行口座番号やユーザー名、パスワードなどの個人データを入力するよう求められます。このようなデータはすべて、送信されれば簡単に盗まれ、悪用される可能性がある。
なお、銀行や保険会社などの合法的な企業が、迷惑メールでユーザー名やパスワードを要求することはありません。デマ、詐欺、フィッシングの詳細については、ここをクリックを参照のこと。
リモート攻撃
攻撃者がリモート・システムを侵害することを可能にする特別なテクニック。これらはいくつかのカテゴリーに分けられる:
DoS 攻撃:DoS攻撃:DoS(サービス拒否)とは、コンピュータやネットワークを、その意図するユーザーが利用できないようにする試みです。DoS攻撃は、影響を受けたユーザー間の通信を妨害し、機能的な方法で通信を継続できないようにします。一般的な攻撃方法としては、外部からの通信要求で標的のマシンを飽和させることで、標的のマシンが正当なトラフィックに応答できなくしたり、事実上利用できなくなるほど応答が遅くなったりする。このような攻撃は通常、サーバーの過負荷につながる。DoS攻撃にさらされたコンピューターは通常、正常に動作させるために再起動する必要がある。
DoS攻撃の標的はウェブ・サーバーであり、その目的は一定時間ユーザーが利用できないようにすることである。
DNSポイズニング:DNS(ドメイン・ネーム・サーバー)ポイズニングを利用することで、ハッカーはあらゆるコンピューターのDNSサーバーを騙し、偽のデータが正当で本物であると信じ込ませることができる。偽の情報は一定期間キャッシュされ、攻撃者はIPアドレスのDNS応答を書き換えることができる。その結果、DNSポイズニングされたウェブサイトにアクセスしようとするユーザーは、ウェブサイト本来のコンテンツではなく、コンピューターウイルスやワームをダウンロードすることになる。
ポートスキャン:ポート・スキャンは、ネットワーク・ホスト上で開いているコンピュータ・ポートを特定するために使用される。ポート・スキャナーは、このようなポートを見つけるために設計されたソフトウェアである。
コンピュータ・ポートとは、データの送受信を処理する仮想的なポイントであり、セキュリティの観点から極めて重要である。大規模なネットワークでは、ポートスキャナーによって収集された情報は、潜在的な脆弱性を特定するのに役立つかもしれない。このような利用は合法的なものだ。
それでもなお、ポート・スキャンは、セキュリティを侵害しようとするハッカーによってしばしば利用される。彼らの最初のステップは、各ポートにパケットを送信することである。レスポンスの種類によって、どのポートが使用されているかを特定することができる。スキャン自体に被害はないが、この行為によって潜在的な脆弱性が明らかになり、攻撃者がリモート・コンピュータをコントロールできるようになる可能性があることに注意すること。
ネットワーク管理者は、未使用のポートをすべてブロックし、使用中のポートを不正アクセスから保護することをお勧めする。
TCP非同期化:TCP非同期化は、TCPハイジャック攻撃で使用されるテクニックです。これは、受信パケットの連番が予想される連番と異なるプロセスによって引き起こされます。予期しない連番を持つパケットは棄却されます(現在の通信ウィンドウに存在する場合はバッファストレージに保存されます)。
非同期化では、両方の通信エンドポイントが受信したパケットを破棄し、その時点でリモートの攻撃者が侵入し、正しい連番を持つパケットを供給することができる。攻撃者は通信を操作したり変更したりすることもできる。
TCPハイジャック攻撃は、サーバー・クライアント間および/またはピアツーピア間の通信を妨害することを目的としている。多くの攻撃は、TCPセグメントごとに認証を使用することで回避できる。また、ネットワーク・デバイスの推奨コンフィギュレーションを使用することをお勧めします。
SMBリレー:SMBRelay と SMBRelay2 は、リモートコンピュータに対して攻撃を行うことができる特別なプログラムです。このプログラムは、NetBIOSに組み込まれているServer Message Blockファイル共有プロトコルを利用しています。LAN内でフォルダやディレクトリを共有するユーザーは、このファイル共有プロトコルを使用している可能性が高い。ローカルネットワーク通信では、パスワードハッシュが交換される。
SMBRelayは、UDPポート139と445で接続を受信し、クライアントとサーバーによって交換されたパケットを中継し、それらを変更する。接続と認証の後、クライアントは切断される。SMBRelayは新しい仮想IPアドレスを作成する。この新しいアドレスは、"net use \192.168.1.1 "というコマンドでアクセスできる。このアドレスはWindowsのネットワーク機能で使用できます。SMBRelay は、ネゴシエーションと認証以外の SMB プロトコル通信を中継する。リモート攻撃者は、クライアントコンピュータが接続されている限り、IPアドレスを使用できる。
SMBRelay2は、IPアドレスではなくNetBIOS名を使う以外は、 SMBRelayと同じ原理で動作する。どちらも「中間者(man-in-the-middle)」攻撃を行うことができる。これらの攻撃により、リモートの攻撃者は2つの通信エンドポイント間でやり取りされるメッセージを気づかれずに読んだり、挿入したり、変更したりすることができる。このような攻撃にさらされたコンピューターは、しばしば応答しなくなったり、予期せず再起動したりします。攻撃を避けるために、認証パスワードまたは認証キーを使用することをお勧めします。
ICMP攻撃:ICMP(Internet Control Message Protocol)は、広く使われている一般的なインターネット・プロトコルです。主にネットワーク接続されたコンピュータが、さまざまなエラーメッセージを送信するために使用します。
リモート攻撃者は、ICMPプロトコルの弱点を突こうとします。ICMPプロトコルは、認証を必要としない一方向通信用に設計されています。このため、リモート攻撃者はDoS(サービス拒否)攻撃や、権限のない個人が送受信パケットにアクセスする攻撃を引き起こすことができます。
ICMP攻撃の典型的な例は、pingフラッド、ICMP_ECHOフラッド、smurf攻撃です。ICMP攻撃にさらされたコンピュータは、インターネットを使用するアプリケーションのパフォーマンスが著しく低下し、インターネットへの接続に問題が発生します。
脅威、リモート攻撃、マルウェアの詳細については、脅威事典をご覧ください。
