ウイルス対策ソフトの課題と対策

36

37

利用者への通知とログ確認方法を知らせる

ウイルス対策ソフトの最近の傾向として、統合的な脅威対策ソフトとしての製品仕立て となっていることが多く、機能が豊富だが複雑なものになっている。その一方で、インス トールをはじめとする使用開始時の手順はシンプルで、個人ユーザーでも簡単にインスト ールできるよう工夫されており、各設定がデフォルト値のままでも問題なく動作するよう チューニングされている。そのため、すぐ使用は開始できるが、意識的に設定値を確認し なければ、どのような設定か知らないままの利用になっているケースがあるのではと思わ れる。

また、利用者への通知については、利用者のデスクトップ画面でポップアップ表示が出 るものの、多くの場合、ワンクリックで画面から消えてしまうため、利用者がその内容を 覚えていない可能性もある。ワンクリックしてその表示が消えると、あとはセキュリティ リスクの検知ログを意図的に確認しない限りは、その検知した内容を目にすることはない のが、ごく一般的な運用だと考えられる。

対策としては下記３点をあげる。

 設定内容を把握する。

 利用者への通知はテストで確認しておく。

 利用者へ検知ログを確認する方法を伝えておく。

導入しているウイルス対策ソフトウェアの設定値を確認し、利用者へ通知されるのはど のようなケースで、どのような通知が行われるかを把握する事が必要である。例えば、あ る著名ウイルス対策ソフトウェアでは、基本機能の「ウイルスとスパイウェアの対策」だ け取ってみても、検知時における通知の設定には、「自動検知」、「Eメール検知」、

「Outlook検知」と3つの個別設定がある。まずは、今動作している設定内容を把握する べきである。

次の対策は、利用者自身に「どのような通知になるのか」「ログはどのように確認でき るのか」を前もって体験してもらうことを挙げる。検知時にどのような通知がされること をあらかじめ体験しておくことで、落ち着いて対処することができるからだ。ウイルス検 知テストを利用者自身が行うケースは少ないと思われるが、擬似ウイルスとして利用され る「EICARテストウイルス 」等で、通知がどのように行われるかを体験してもらってお けば、「セキュリティリスクの認識度」は向上すると思われる。

もうひとつの対策として、利用者に「検知ログの確認方法」を伝えておくことを挙げ る。これにより、ポップアップ表示をうっかり消してしまった後でも、その検知内容を利 用者自身が確認できるようになるからだ。検知ログの確認は、ウイルス対策ソフトの管理 ツールからログ確認ツールを起動する事が多いが、意図的に見ようとしない限り使わない

38

ツールであるため、利用方法を知らないと動かすことができない。ウイルス対策ソフトウ ェアの運用手順の必須のひとつとして、利用者への周知をお奨めする。

導入必須といえるウイルス対策ソフトは、運用しやすい工夫がされているが、利用者自 身も、その動作内容をしっかり把握して運用することが、より効果的な対策となると思わ れる。

マルウェア検知名は難しい

「マルウェア検知名」についても注意が必要である。この「検知名」については、現在 はウイルス対策ソフトメーカー固有の名称であり、分類や特徴を捉えて命名されているた め、その動作や内容を把握するには都度メーカー提供情報を確認する必要がある。実際の 脅威を理解するには手間がかかってしまうのが現状である。また、本事例での「遠隔操作 マルウェア（RAT）」や「トロイの木馬」といったマルウェアについては、直接的に破壊 活動を行わない理由からか、「脅威としての危険度があまり高くないような表現」となっ ていたり、英語のみの記載であったり、記載内容が難解なケースも散見される。このよう な状況が、脅威に対する判断を困難にしている要因のひとつと考えられる。

対策としては、検知名に表現される分類や特徴を表す単語を「危険な単語」として周知 しておくことをお奨めする。メーカーは異なっていても、その動作を示す分類や特徴は、

単語として表現されているケースが多いからだ。例えば、トロイの木馬を表す

「Trojan」、バックドアやRATを表す「Backdoor」、ダウンロードさせる事が目的のマル ウェアでは「Downloader」は多くのウイルス対策ソフトで使われているため、このよう な単語を周知しておけば、詳細はわからなくとも、危険かどうかの判断はできると思われ る。表 4.1-1では、あわせて、「日本の組織への標的型攻撃で利用されたとされる」マル ウェアを代表的なもの数種と、同じくハッキングツールの代表的なものを数種記載した。

表 4.1-1 検知名で出る危険な単語

単語 想定される内容

Trojan トロイの木馬。略字でTROJなど。

Backdoor バックドア、RAT。略字でBKDRなど。

Downloader マルウェアをダウンロードさせるタイプ。

Rootkit 攻撃ツールのセット。

Plugx 標的型攻撃利用マルウェア。別名Korplug、Destroyなど。

Poisonivy 標的型攻撃利用マルウェア。略字PIVYなど。

Daserf 標的型攻撃利用マルウェア。

Zacom 標的型攻撃利用マルウェア。別名Nflogなど。

Emdivi 標的型攻撃利用マルウェア。

39

Elirks 標的型攻撃利用マルウェア。別名 Klurpなど。

PWDump7 ハッキングツール。パスワード奪取ツール。

mimikatz ハッキングツール。パスワード奪取ツール。

WCE ハッキングツール。パスワード奪取ツール。

gsedump ハッキングツール。パスワード奪取ツール。

PsExec リモート管理ツールだが攻撃にも利用される。同種に

PsExeSvc。Microsoftの正規リリース。

これらの単語が含まれる検知名だった場合は、単なるコンピュータウイルスではなく、

なんらかの攻撃、またはその兆候である可能性があるため、管理者へ連絡をしてほしいと 周知することは、ひとつの攻撃対策になると考えられる。