2015年

7月

07日

情報戦の極意:サイバー攻撃対策の「スゴ技」 2015年7月7日号

◇技2

◇新種のウイルスでも動かない強力「ホワイトリスティング」


大堀達也

(編集部)


 標的型攻撃メールに狙われ、被害を出してしまった年金機構だが、実はコンピューターが悪意のウイルスに感染した場合、それを検知する「アンチウイルスソフト」を導入済みだった。ソフトは米セキュリティー大手の製品だった。

 しかし、実際は機構のPCがウイルス感染したにもかかわらず、アンチウイルスソフトが作動しなかった。なぜか。

 アンチウイルスソフトのメーカーは悪意のウイルスを列挙した「ブラックリスト」を持っている。ソフトは、このリストにあるウイルスを検知・駆除する仕組み。メーカーは新種のウイルスが見つかる度にリストを更新し、ソフトの対応力を高める。一般的に強力と言われるソフトほど、多くのウイルスに対応できる。

 しかし、ブラックリストにある既知のウイルスを検知するということは、逆に言えばリストにない未知のウイルスは検知できないということでもある。セキュリティー会社ラックの西本逸郎専務によれば、年金機構への標的型攻撃に使われたのは

「Backdoor・Endibi(バックドア・ドット・エンディビ)」というウイルスだった。ただ、このエンディビは発見済みのウイルスであることも分かっている。

 米社製ソフトの最新版がエンディビに対応済みだったとすると、今回のウイルスがソフトの網をすり抜けた理由は二つ考えられえる。一つは年金機構が、ソフトを最新版に更新しておらず、エンディビ対応前の旧版で防ぎ切れなかった可能性。

 もう一つは、ウイルスがエンディビを改造した亜種や変種で、メーカーの最新ブラックリストになかった可能性だ。現在、1日100万個もの新型ウイルスが作られると言われており、その多くは既知のウイルスを改造したものであるという。オリジナルのエンディビから派生した亜種も多く、それらはエンディビA、エンディビB……などと呼ばれる。元は同じエンディビでも、少しでも改変すれば別物、つまり新種のウイルスになる。

 従って、今回の情報漏洩は、「従来のブラックリスト型のアンチウイルスソフトの限界をさらけ出した」(山崎文明・会津大学特任教授)と言える。ブラックリストを使う仕組みでは、常に新型ウイルスとアンチウイルスの「いたちごっこ」になり、いつまでたってもウイルス感染の危険はゼロにはならない。次々と現れる未知のウイルスを、どう防げばいいのだろうか。


 ◇ウィンドウズに標準搭載


 その答えは、従来のブラックリスト方式を捨て去り、そもそもウイルスが動かない環境を作り上げるしかない。ウイルスといえども、コンピューター上で動作する以上、それは単なるプログラムに過ぎない。悪意のプログラムが動作することで、コンピューターが想定外の動きをし、機密情報を外部に送信したりする。

 とすれば、あらかじめ決まったプログラムしか動かないコンピューターがあれば、ウイルスが動作することはない。それには基本ソフト(OS)上で動作してもいいプログラムをリスト化し、それ以外のブログラムは動作しないようにすればいい。悪意のプログラムのブラックリストではなく、無害なプログラムの「ホワイトリスト」を作って、それ以外のプログラムの動作を許可しない環境を作るのだ。この手法を「ホワイトリスティング」と言う(図2)。

 これは技術的には難しくなく、例えば、誤作動が起れば命に関わるような医療機器を制御するコンピューターのOSを、ホワイトリスティングにしているケースも見られる。

 現時点で、ホワイトリスティングの考え方がそれほど普及していないのは、決まったプログラムしか動かせなくなると、新しいプログラムをインストールすることで利便性が高まるという「コンピューターの汎用性」を阻害するからだ。

 しかし、私たちが日常的に使用しているソフトはいくつあるだろうか。ホームページなどを閲覧するウェブブラウザ、メールソフト、表計算ソフトなどを加えても、その数は10に満たないという人も多いだろう。見えないところで動いているプログラムを含めても、数は限られる。しかも、会社の業務では使用するソフトがある程度限定されるため、ホワイトリスティングはうってつけと言える。OSをホワイトリスティング環境にする市販ソフトはまだ少ないが、アンチウイルスソフト大手が開発を急ピッチで進めている。

 実は、OSの世界標準となったマイクロソフトの「ウィンドウズ」には、ホワイトリスティング機能が標準で付いている。ウィンドウズ7か

ら採用された「アプロッカー」がそれで、これは、「ウィンドウズ上で許可されていないソフトの実行をすべて拒否できる機能」(日本マイクロソフトの高橋正和チーフセキュリティアドバイザー)だ。ソフトの動作を許可するかしないかを切り替えることができる。

 日本企業におけるウィンドウズ普及率は高い。高額なアンチウイルスソフトを導入する前に、今あるものでセキュリティーレベルを高められるなら使わない手はないだろう。もし企業のシステム担当者などがアプロッカーをうまく運用できれば、「アンチウイルスソフトだけの場合と比べセキュリティーのレベルは格段に上がる」(高橋氏)可能性もあり、セキュリティー費用が大幅に減るかもしれない。ホワイトリスティングが普及していれば、年金機構からの情報漏洩も起きなかったかもしれない。