ファイアウォールが一般的に、サービスとホストのIPアドレスの組み合わせに基づいて内向きおよ び外向きのネットワーク活動を制限するのに対し、ルータは通常、より範囲が広く粒度が粗いルー ルによって設定される。通常は、組織のネットワークがインターネットに接続する場所で1つ以上の ルータを使用する。これらのルータは、インターネット境界ルータと呼ばれる。ルータは通常、組織 の主たるファイアウォールの手前に配置され、入口フィルタや出口フィルタのような、ネットワーク活 動に関するいくつかの基本的な検査を実施する。これらの検査は、一部のインターネットベースの ワームが組織のファイアウォールに到達するのを阻止するのに役立つ場合がある。ファイアウォー ルでもそのようなワームをブロックすべきであるが、インターネット境界ルータにその役割を持たせ ることによって、ファイアウォールの負担を多少軽くすることができる。
重大なワームインシデントが発生した場合、ファイアウォールが過負荷にならないように、組織のイ ンターネット境界ルータの一部を再設定して、着信するワーム活動をブロックする必要がある場合 がある。内部ネットワークのルータを再設定して、特定のサービスの活動がネットワーク間を行き来 しないようにブロックすることもできる。こうすることで、特定のネットワークで感染したホストからマ ルウェアがほかのネットワークに拡散するのを防ぐことができる。組織は、ワーム感染の封じ込めを 支援するために、ルータのACLを必要なときに速やかに変更できるよう準備しておくべきである。
3.4.5 アプリケーション設定
マルウェアの多くは、電子メールクライアントやWebブラウザ、ワードプロセッサなどの一般的なア プリケーションが提供する機能を利用する。デフォルトでは、アプリケーションはセキュリティよりも 機能を優先して設定されることが多い。従って、マルウェアがアプリケーションを攻撃する際の経路 と手段を限定するために、アプリケーションの特徴と機能のうち不要なもの、特にマルウェアによっ て一般的に悪用される機能を無効にすることを検討するべきである。また、マルウェアの典型的な 伝染手段となっているアプリケーション(Webブラウザ、電子メールクライアントおよびサーバなど)
を特定し、それらのアプリケーションを、悪意があると考えられるコンテンツをフィルタリングし、悪意 があると考えられるほかの活動を停止するように設定することを検討するべきである。マルウェアイ ンシデントを防止するうえで考慮すべきアプリケーション設定には次のものがある。
疑わしい電子メールの添付ファイルをブロックする。多くの組織ではインシデントを防止するた めに、疑わしい電子メールの添付ファイルを特定し、電子メールから添付ファイルを削除するか、
電子メールそのものをブロックするように、電子メールサーバを設定している(電子メールクライ アントも同様に設定していることが多い)。たとえば、多くの組織では、マルウェアに関連付けら れることが多いファイル拡張子(.pif、.vbsなど)や疑わしいファイル拡張子の組み合わせ
(.txt.vbs、.htm.exeなど)を持つ添付ファイルをブロックしている。こうすることで未知の脅威を阻 止することができるが、正規の活動を誤ってブロックしてしまうこともある。組織によっては、受 信者が添付ファイルを実行する前に、ファイルを保存して名前を変更しなければならないように、
疑わしい電子メールの添付ファイルのファイル拡張子を変更している。環境によっては、このよ うな措置が機能とセキュリティの良好な妥協策となる。
スパムのフィルタリング。スパムはフィッシングやスパイウェアの送付に使用されることが多く
(Webバグがスパムの中に埋め込まれていることが多い)、ほかの種類のマルウェアが含まれ ていることもある。電子メールサーバや電子メールクライアント、あるいはネットワークベースの アプライアンスでスパムフィルタ処理ソフトウェアを使用することにより、ユーザに到達するスパ ムの量を大幅に減らすことができ、ひいてはスパムによって引き起こされるマルウェアインシデ ントの相応の削減につながる。
Webサイトのコンテンツのフィルタリング。通常、Webコンテンツフィルタ処理ソフトウェアは、仕 事場にふさわしくない情報へのアクセスを防ぐものと考えられているが、フィッシングWebサイ トや、敵意がある(つまり、訪問者にマルウェアを配布しようとする)と考えられる他のサイトの一 覧が含まれている場合もある。Webコンテンツフィルタリングソフトウェアは、望ましくないファイ ルの種類を(ファイル拡張子などにより)ブロックすることもできる。
モバイルコードの実行を制限する。Webブラウザや電子メールクライアントなどのアプリケーシ ョンは、要求された形式のモバイルコード(JavaScript、ActiveX、Javaなど)だけを許可し、特定 の場所(たとえば、内部のWebサイトのみ)から送信されたモバイルコードだけを実行するよう に設定することができる。これは、一部の悪意のモバイルコードを阻止するのに効果があるが、
害のないWebサイトの機能に影響を与える場合もある。Webコンテンツフィルタリングソフトウ ェアを導入してWeb関連のネットワーク活動を監視し、信頼できない場所から送信された特定 の種類のモバイルコードをブロックすることもできる。
Webブラウザのクッキーを制限する。ほとんどのWebブラウザは、クッキーを許可するか拒否 するかの判断をクッキーごとにユーザに促すか、あるいは、セッションクッキーを自動的に許可 または拒否するが、個々の永続クッキーを許可するか、あるいは、自動的に拒否するかの判断 をユーザに促すように設定することができる29。また、ほとんどのWebブラウザは、ユーザがア
29 クッキーオプションの設定や、ユーザがアクセスするWebサイトによっては、クッキーを許可するかどうかをユーザに たずねたり、特定の種類のクッキーを自動的に拒否したりすることが、ユーザにとって非常に不便な場合がある。
クセスしたWebサイトに対してのみ設定されたクッキー(ファーストパーティクッキーと呼ばれ る)を許可し、広告業者や他の組織のWebサイトに対して設定されたクッキー(サードパーティ クッキーと呼ばれる)を許可しないように設定することもできる。ファーストパーティクッキーを許 可し、サードパーティクッキーをブロックすることは、システムに置かれる追跡クッキーの数を減 らすのに大いに役立つ可能性がある。
Webブラウザのポップアップウィンドウをブロックする。ポップアップウィンドウの中には、見か けは正規のシステムメッセージボックスやWebサイトであるが、実際にはユーザをだまして偽 のサイト(フィッシングに使用されるサイトなど)に誘導したり、ユーザにシステムへの変更を許可 するように仕向けるなど、悪意ある行為を働くことものがある。ほとんどのWebブラウザはポッ プアップウィンドウをブロックできるが、サードパーティ製のポップアップブロッカーを追加するこ とによりポップアップウィンドウをブロックすることができるものもある。
Webブラウザへのソフトウェアのインストールを防ぐ。Webブラウザの中には、Webブラウザプ ラグインなどのソフトウェアのインストールについて、ユーザに承諾を求めるように設定できるも のがある。全てのWebサイトについて、クライアントへのソフトウェアのインストールを防止する ことが可能なブラウザもある。これらの設定は特に、Webブラウザへのスパイウェアのインスト ールを防ぐのに役立つ。
電子メールの画像の自動読み込みを防ぐ。ほとんどの電子メールクライアントは、電子メール に含まれている画像を自動的に読み込まないように設定することができる。これは、電子メール を利用したWebバグを阻止するのに特に役立つ。この構成設定により、読み込まれなかった Webバグの輪郭線が電子メールの中で小さなボックスとして表示されるため、ユーザが画像の 読み込みを選択しない限りユーザの活動が追跡されることはない。
ファイルの関連付けを変更する。オペレーティングシステムの多くは、たとえば.txtファイルはテ キストエディタで開くなど、どの種類のファイルがどの特定のプログラムに関連付けられるのか を指定するためのメカニズムを備えている。ユーザがファイルを開こうとすると、通常はオペレ ーティングシステムによってデフォルトのファイルの関連付けが調べられ、指定のアプリケーシ ョンが実行される。この仕組みはユーザにとっては便利だが、マルウェアにとっても好都合であ る。たとえば、ユーザがだまされて電子メールの添付ファイルを開くように仕向けられると、結果 的に添付ファイルがオペレーティングシステムによって自動的に実行されることになる。多くの 組織では、マルウェアに利用されることが最も多いファイルの種類(.pif、.vbsなど)について、シ ステムでのファイルの関連付けを変更し、ユーザがファイルを開こうとしたときに自動的にファイ ルが実行されないようにしている。
マクロの使用を制限する。ワードプロセッサやスプレッドシートなどのアプリケーションにはマク ロ言語が組み込まれていることが多いが、マクロウイルスはこれを利用する。マクロ機能を備え た最も一般的なアプリケーションは、信頼のおける場所からのマクロだけを許可したり、マクロ を実行しようとするたびに許可または拒否の判断をユーザに求めたりする、マクロのセキュリテ ィ機能を提供する。
電子メールのオープンリレーを防ぐ。大量メール送信ワームの中には、組織のメールサーバを オープンリレーとして使用しようとするものがある。オープンリレーとは、電子メールの送信者も 受信者も対象組織に所属していないことを意味する。オープンリレーを許可する電子メールサ ーバは、大量メール送信ワームに伝染のための容易な手段を提供する可能性がある。組織は、