Gumblar.x への感染予防方法について考える

IBM ISS の SOC レポートから Gumblar.x*1の活動は鎮静化しているようです。しかし、Gumblar.x から最終的に感染する Infostealer.Daonol*2の被害がパソコンメーカ各社のサポート窓口に相次いでいる模様です。パソコンメーカ各社の注意喚起を読んでみると、ユーザへのセキュリティ対策に思うところがあったので、まとめてみます。

パソコンメーカが紹介しているセキュリティ対策

セキュリティホールmemoからリンクされている、パソコンメーカ各社の注意喚起から、ユーザへのセキュリティ対策を細かく紹介している、富士通さんの情報を引用しました。富士通さんの「ウイルスに感染しないための予防方法」にはそれぞれ番号を割り当ててないですが、この日記では説明のため番号を割り当てました。

・ウイルスに感染しないための予防方法
ウイルス感染を防ぐには、日頃から対策を行うことが重要です。下記にご留意ください。

Windows Updateを行い、システムを最新の状態に保ち、セキュリティを強化する

Flash PlayerやAdobe Readerなど、その他のソフトウェアを最新版にアップデートする

ウイルス・セキュリティ対策ソフトウェアを導入し、定義ファイルを更新する（注2）

ファイヤーウォールを有効にする

知らない人からメールを受け取った場合、添付ファイルを不用意に開かないようにする

インターネットからダウンロードしたファイルはウイルスチェックを行う

信頼のおけないWebサイトにアクセスしないようにする（注3）

注2：ウイルス・セキュリティ対策ソフトウェアについては、お客様がお使いのソフトウェアの提供元にお問い合わせください。
注3：信頼のおけるWebサイトであっても、感染する可能性はあります。
http://azby.fmworld.net/support/security/information/20091026.html

率直な感想として、「実践することが多いなー」と思いました。PC に使い慣れている人ならいざ知らず、たまに PC を利用する人にこれだけの予防方法を実践してもらうのは酷なことではないでしょうか。

また、ここで紹介している予防方法は、A) ダウンロードしたトロイの木馬からの感染、B) ワーム等によるネットワーク経由での感染、C) Webサイト閲覧時におけるソフトウェアの脆弱性の悪用されてのマルウェアへの感染といった、様々な感染経路を想定しているようです。最近であれば、C) の経路が危険性が高いと考えています。

自分が「ウイルス*3に感染しないためには、どうしたらいい？」と友人から相談されたらどう答えるか、危険性の高い C) の感染経路からのウイルス感染への予防方法を考えてみます。

「パソコンメーカが紹介しているセキュリティ対策」の考察

Windows Update（Microsoft Update）を手動で実施する？

引用した予防方法 1. 「Windows Updateを行い、システムを最新の状態に保ち、セキュリティを強化する」は、Windows パソコンを利用している場合、必須のセキュリティ対策でしょう。でも、「Winodws Updateを行い」という説明には違和感を覚えます。Windows Update（Microsoft Update）には自動更新機能があります。この自動更新機能を有効にして、更新プログラムがリリースされたら、自動的にアップデートするように設定すればよいと考えます。

総務省・経済産業省が共同で運営している Cyber Clean Center(CCC)の「ボット駆除手順」で紹介している、Windows Update 手順では自動更新についてもきちんと書いてあるんですね。たまたま見て初めて知りました。

その他のソフトウェアすべてを最新版にアップデートする？

引用した予防方法 2. 「Flash PlayerやAdobe Readerなど、その他のソフトウェアを最新版にアップデートする」は、最近Web サイト閲覧時に攻撃コードを実行させる手法が広まっていることから、重要なセキュリティ対策と考えます。では、「その他のソフトウェア」とは、何を指すのか、PC にインストールしているすべてのソフトウェアでしょうか。僕は「その他のソフトウェア」を「普段よく利用する Adobe Reader といったドキュメント・ビューア、Adobe Flash, Silverlight といったブラウザ関連ソフトウェア」と考えています。

2009年10月の Gumblar.x では、Adobe Reader/Adobe Acrobat, Adobe Flash といったソフトウェアの脆弱性が悪用されていると言われています。これについては、先の日記でも詳細に調査し確認してみました。また、2009年3-5月頃に流行した Gumblar も同様に Adobe Reader/Adobe Acrobat, Adobe Flash の脆弱性 *4を悪用していたようです。セキュリティベンダ WebSense のアラート情報*5 *6を見てみると、過去に以下の脆弱性もウイルス感染に悪用されていました。

Microsoft Access Snapshot Viewer の ActiveX コントロールの脆弱性(MS08-041)
Apple QuickTime の脆弱性(CVE-2007-0015)
RealPlayer の ActiveX コントロールの脆弱性(CVE-2007-5601)
Sina DLoader(BID 30223)
WinZip 用 "File View" ActiveX コントロールの脆弱性(CVE-2006-6884)
Xunlei Web Thunder の ActiveX コントロールの脆弱性(CVE-2007-5064)
Ourgame GLWorld の ActiveX コントロールの脆弱性(SA30469)
Baofeng Storm の ActiveX コントロールの脆弱性(CVE-2007-4943)

こうして列挙してみると、Web サイトを閲覧するときに必要となるソフトウェアであることが分かります。Web サイトを閲覧するときに必要となるソフトウェアは最新バージョンを使用すれば、それらの脆弱性が悪用されることはないでしょう。

ソフトウェアを手動でアップデートする？

引き続き、予防方法 2. についてです。最新バージョンにアップデートすることはよく言われますが、ソフトウェアの自動更新設定には触れられないことが多いです。僕は、ソフトウェアは可能であれば手動で更新するのではなく、自動的に更新してほしいと思います。むしろすべてのソフトウェアに自動更新機能があってほしいぐらいです。

自動更新したい理由は、以下の 3 点です。

アップデートを忘れることなく実行できる
ソフトウェアをアップデートするためにパソコンを利用したいわけではない
手動でやるのはめんどくさい

So-net セキュリティ通信の「初心者必読！しないと怖い「プラグイン」アップデートの方法」では、各ソフトウェアの自動更新を紹介しています。これは人に勧めたい記事です。

信頼のおけないWebサイトとは？

引用した予防方法 7. 「信頼のおけないWebサイトにアクセスしないようにする」は、正直よく分からないです（気持ち的としては理解できるんですが）。「信頼のおけないWebサイト」とは、どんな Web サイトを指しているのか曖昧です。

最近のブラウザでは、フィッシング詐欺・ウイルス感染防止を目的として、報告があったフィッシング詐欺サイト・ウイルス配布サイト等にアクセスしようとすると、警告画面を表示し、アクセスを防止しています（参考情報を参照）。このような報告があった危険なサイトを「信頼のおけないWebサイト」と言えるかもしれません。ただ、そう定義すると「信頼のおけないWebサイト」にアクセスしようとしても、ブラウザが防止してくれるわけです。「信頼のおけないWebサイトにアクセスしないようにする」という方法は、あえてユーザが意識しなくてもよいと思います。

ただし、厄介なのは Gumblar.x のような事例です（Gumblar.x に限った話ではありませんが）。Gumblar.x の事例では、いつも利用するような Web サイトが改ざんされ、悪意のあるコードを埋め込まれてしまう可能性があります。普通の Web サイトを閲覧しただけでも、ウイルスに感染する可能性はゼロではないわけです。

この対策を友人にすすめるのであれば、「必要がなければ、JavaScript, Adobe Flash といった動的コンテンツを無効にして Web サイトを閲覧しよう」と伝えます。この方法で勧めるのは、Firefox + NoScript の組み合わせです。この組み合わせの利用意図については、ブログ「べつになんでもないこと」で解説されています（該当記事）。