企業ITセキュリティ管理者のためのスパイウェア知識(2)多種にわたる侵入経路から感染を防ぐには? | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.08.21(月)

企業ITセキュリティ管理者のためのスパイウェア知識(2)多種にわたる侵入経路から感染を防ぐには?

特集 特集

2005年に入ってからスパイウェアによる事件や被害の報告が増えてきたためか、“スパイウェア”という言葉とその概要を知らない企業のITセキュリティ管理者は今や殆どいない。そこで、今回は企業のITセキュリティ管理者を対象にした、スパイウェアの最新の技術情報、および企業レベルでのスパイウェア対策について解説する。

●侵入経路について

話を元に戻すと、これらのスパイウェアの侵入経路として、先のものに加えて以下のものがある。

○無料ソフトウェアにバンドルされて配布
無料ソフトウェアにバンドルされているWhenUなどのアドウェアは、インストール後、ユーザーの知らない間に他のソフトウェアを次々とダウンロードするものがある。また、アンインストールが提供されていても、削除されたように見せかけて、次回のコンピュータの起動時(サービスや、スタートアップに登録されたり)、ブラウザの開始時(BHOとして登録)、ログイン時(ログインが改変されてしまっているため)に再びインストールが自動的に実行するような手法が使われる。

さらにauroraやISTbarのように自分自身をランダムな名前でさまざまな位置にコピーするものもある。

A Better Internetのようなアドウェアでは、シェルとして自分自身を登録し、除去しても、自分自身をダウンロードすることで自動回復するので除去が困難だ。

○ドライブバイ・インストールによりユーザーの知らない間にソフトウェアをインストール
多くの場合、Active-Xを利用する。Active-Xを使用しないか、またはブロックリスト(IEからActive-Xを実行できないようにKill Bitを設定する方法)にて対応が可能である。Sexxxpassport Plug-in のようなスパイウェアでは、ユーザーの知らない間にブラウザ(IE)の信頼されたゾーン リストに自分自身のドメインを追加することで、セキュリティ設定を通り抜ける方法を利用するものもある。

また、単純な手法として、開始ページを置き換えることで、ブラウザの起動時にスパイウェアをダウンロードするためのWebサイトに接続し、ダウンロードを開始する方法などもある。

ブラウザの選択や、開始ページ、検索エンジンの設定、セキュリティ設定の確認などが必要だ。

Hostsファイルを改竄し、ネットワークへの接続をできなくするものもある。これらの多くはセキュリティ・プログラムを対象にしたもので、定義ファイルのアップデートを妨害する。

トロージャン・ドロッパという種類のものは次々と不要なソフトウェアをダウンロードする迷惑なもので、感染したPCのシステム・リソースを消費するだけでなく、ネットワーク・リソースまで消費してしまう。

○BOTやWORMによる感染
感染したコンピュータからネットワークを経由して、他のコンピュータに感染、または感染したコンピュータ内のアドレス帳の情報から自分自身のSMTP機能を使ってメールを送信する方法で感染を広げる。

○企業内部からの侵入
恐らくもっとも管理が困難な侵入経路である。内部犯行、外部からの侵入者により侵入される可能性も考慮する必要がある。

参考資料:
http://www.shareEDGE.com
http://www.shareEDGE,com/spywareguide/
http://japan.internet.com/column/webtech/20050623/6.html

【執筆:株式会社ネクステッジテクノロジー 代表取締役 坂本 堪亮】

──
この記事には続きがあります。
全文はScan Security Management本誌をご覧ください。
https://www.netsecurity.ne.jp/14_3697.html
《ScanNetSecurity》

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. [セキュリティ ホットトピック] 起動領域を破壊し PC を完全にロックするランサムウェア「Petya亜種」

    [セキュリティ ホットトピック] 起動領域を破壊し PC を完全にロックするランサムウェア「Petya亜種」

  2. [セキュリティホットトピック] サイバー攻撃に対して備えるべき機能・組織・文書など、総務省が「防御モデル」として策定

    [セキュリティホットトピック] サイバー攻撃に対して備えるべき機能・組織・文書など、総務省が「防御モデル」として策定

  3. ISMS認証とは何か■第1回■

    ISMS認証とは何か■第1回■

  4. ここが変だよ日本のセキュリティ 第29回「大事な人。忘れちゃダメな人。忘れたくなかった人。誰、誰……君の名前は……セキュリティ人材!」

  5. 工藤伸治のセキュリティ事件簿 シーズン6 「誤算」 第1回「プロローグ:七月十日 夕方 犯人」

  6. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  7. スマホが標的のフィッシング詐欺「スミッシング」とは、現状と対策(アンラボ)

  8. Heart of Darknet - インターネット闇の奥 第1回「プロローグ」

  9. 工藤伸治のセキュリティ事件簿シーズン6 誤算 第4回「不在証明」

  10. [数字でわかるサイバーセキュリティ] 低年齢層のネット利用 8 割超え、サイバー犯罪カジュアル化も

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×