データ復旧、復元、修復から消去までの豆知識：オントラック

================================================================================
　■■　　　　　　■　　　　　　　　　　　　　■　　　　　　豆知識　　Vol.03-06
■　　■　　　　　■　　　　　　　　　　　　　■　■　　ネット接続がもたらす脅威
■　　■ ◆■■ ■■■　■　■　■■◆　■■　■ ■　 ■　 ■
■　　■　■　■　■　　■■　■　 ■　■　　 ■■　　■■ ■　■■　■　■　■
■　　■　■　■　■　　■　　■　 ■　■　■ ■ ■　 ■ ■■ ■　■　■■■■
　■■　　■　■　■■　■　　　■■◆　■■　■　■　■　 ■　■■　　■　■
=============================================================2005.06.27=========

インターネット接続がもたらす脅威について

インターネット接続環境の変化が、ネット上の脅威の様相を変えつつあります。
特に昨今の個人接続環境の整備がむしろ問題を深刻なものにしています。　
ＡＤＳＬをはじめとする常時接続環境は個人のＰＣをネット上の脅威にさらす事に
なります。

それなりの防御策を講じなければ、いつ加害者に加担する事になるか判らない
状況にあるのです。　ウイルス、ワーム等の作者のターゲットもこれら防御策が
採られていない個人の常時接続環境のＰＣを狙い、これらをロボット化して
メール配信を行ったり、個人情報を盗んだり、攻撃の踏み台に使う方向に進んで
います。　最早、過去の様に自分の技術を誇示するといった愉快犯的なものでは
なく、詐欺的犯罪に変わっているといって良いでしょう。

まず、最近良く耳にする様になった、この面での用語について見てみましょう。

【ウイルス】　コンピュータ上で実行される事で、異常な画面表示をしたり
　　　　　　　ファイルを破壊したり、大量のメールを送信したりするもので
　　　　　　　ファイルやＦＤＤの起動プログラムに感染して被害を広げる
　　　　　　　物を指す。　ウイルス自体は宿主を必要とする。

【ワーム】　　自己増殖を繰り返し破壊活動を行うプログラムを指す。　従来は
　　　　　　　ウイルス同様可搬媒体上の実行型プログラムを内蔵するファイル
　　　　　　　やプログラムで感染するものがほとんど殆どだった。　最近は
　　　　　　　ｅ−ｍａｉｌを媒介として感染する為、その拡散速度が速く、
　　　　　　　ウイルス対策ソフトが捕捉可能となった時には全世界に被害が
　　　　　　　及ぶ様になっている。ワームは宿主を必要とせず単独で動作する
　　　　　　　点がウイルスとは異なる。
　　　　　　　多くはＯＳやソフトの脆弱性を突くもので、スクリプト言語や
　　　　　　　マクロなどの簡単な技術レベルで作成が可能な事も亜種を多数
　　　　　　　生み出す元となっている。

【トロイの木馬】- Trojan Horse
　　　　　　　正常なプログラムを装いコンピュータに侵入、データの消去、
　　　　　　　ファイルの外部漏出、他のコンピュータへの攻撃等の破壊活動を
　　　　　　　行うプログラムの総称。　トロイの木馬型はウイルスの様に他の
　　　　　　　ファイルに寄生したり、自己増殖を行ったりはしない。
　　　　　　　実行された途端に破壊活動を始めるものもあるが、多くはシステム
　　　　　　　の一部として潜伏し、時間が経ってから発症するものや、攻撃者が
　　　　　　　システムを乗っ取る為の入り口として機能するものがある。

┏━━━━━┓　　　┏━━━━━┓　　　　　　　　　　　　　┏━━━━━┓
┃広義の　　┃　　　┃ファイルに┃　　　　　　　　　　　　　┃狭義の　　┃
┃　ウイルス┣━┳━┫　感染する┣━━━━━━━━━━━━━┫　ウイルス┃
┗━━━━━┛　┃　┗━━━━━┛　　　　　　　　　　　　　┗━━━━━┛
　　　　　　　　┃　┏━━━━━┓　　　┏━━━━━┓　　　┏━━━━━┓
　　　　　　　　┃　┃ファイルに┃　　　┃自己増殖　┃　　　┃　ワーム　┃
　　　　　　　　┗━┫感染しない┣━┳━┫　　　する┣━━━┫　　　　　┃
　　　　　　　　　　┗━━━━━┛　┃　┗━━━━━┛　　　┗━━━━━┛
　　　　　　　　　　　　　　　　　　┃　┏━━━━━┓　　　┏━━━━━┓
　　　　　　　　　　　　　　　　　　┃　┃自己増殖　┃　　　┃トロイの　┃
　　　　　　　　　　　　　　　　　　┗━┫　　しない┣━━━┫　　木馬　┃
　　　　　　　　　　　　　　　　　　　　┗━━━━━┛　　　┗━━━━━┛

【ボット】　　トロイの木馬型/ワーム型双方が存在するが、何れも従来の
　　　　　　　ウイルスの様に感染したＰＣ自体に被害を及ぼす事を目的とせず、
　　　　　　　ＰＣ内部の情報、通過する情報の詐取やそのＰＣをＤｏｓ攻撃の
　　　　　　　プラットフォームにする事を目的としたもの。　感染すると
　　　　　　　バックドアを経由して指令者の管理下にそのＰＣは置かれ、
　　　　　　　その指示に従ってウイルスの配信、ＤｏＳ攻撃、サーバー改竄、
　　　　　　　情報漏洩、スパムメールの配信等を行う事となる。

【ボットネット】
　　　　　　　ボットに感染し、Ｄｏｓ攻撃/スパムメール発信の端末とされた
　　　　　　　ＰＣのネットワークを指す。　ＸＰの拡大と共にその発信元の
　　　　　　　詐称が可能な点を活かし、これらの活動を行うものを指す。

【ハーダー】　ボットネットに対し指令を与えるものを指す。

　ボットネットの構成

　指令者　　　　　　　指令の転送　　　　　指令の実行　　　　　被害
　　　　　　　　　　　　　　　　　　　　┏━━━━━┓　　　┏━━━━━━┓
　　　　　　　　　　　　　　　　　　┏━┫感染マシン┣━┳━┫自己増殖活動┃
　　　　　　　　　　　　　　　　　　┃　┗━━━━━┛　┃　┗━━━━━━┛
　　　　　　　　　　┏━━━━━┓　┃　┏━━━━━┓　┃　┏━━━━━━┓
　　　　　　　　┏━┫中継機構　┣━╋━┫感染マシン┣━╋━┫スパムメール┃
┏━━━━━┓　┃　┗━━━━━┛　┃　┗━━━━━┛　┃　┗━━━━━━┛
┃ハーダー　┣━┫　┏━━━━━┓　┃　┏━━━━━┓　┃　┏━━━━━━┓
┗━━━━━┛　┗━┫中継機構　┣━╋━┫感染マシン┣━╋━┫情報漏洩　　┃
　　　　　　　　　　┗━━━━━┛　┃　┗━━━━━┛　┃　┗━━━━━━┛
　　　　　　　　　　　　　　　　　　┃　┏━━━━━┓　┃　┏━━━━━━┓
　　　　　　　　　　　　　　　　　　┗━┫感染マシン┣━┻━┫ＤＤｏＳ攻撃┃
　　　　　　　　　　　　　　　　　　　　┗━━━━━┛　　　┗━━━━━━┛

【ＤｏＳ】　　- Denial of Services
　　　　　　　ネットワークを通じた攻撃のひとつで、相手方のコンピュータや
　　　　　　　ルータなどに不正なデータを送信して使用不能に陥れたり、
　　　　　　　トラフィックを増大させて、相手方のネットワークを麻痺させる
　　　　　　　目的のもの。　最近は、攻撃者自体が直接攻撃するのではなく
　　　　　　　ネットワーク上の多数のＰＣにワームを送り込み、感染したＰＣ
　　　　　　　を攻撃に使用するといった形になっている。　これをＤＤｏＳ
　　　　　　　(Distributed Denial of Services) と呼ぶ。

【スパイウェア】
　　　　　　　ＰＣを使うユーザーの行動や個人情報、機器情報、インストール
　　　　　　　されているソフトウェアの情報等を収集し、得たデータをその作成
　　　　　　　元に送付するアプリケーションソフトの総称。　これらは他の
　　　　　　　アプリケーションソフトとセットとして配布され、インストール時に
　　　　　　　一括して使用許諾を求める形をとっている為、一般のユーザーは
　　　　　　　この存在に気付かず、インストールしてしまう。　極端な表現を
　　　　　　　採れば自社のサイトに接続し、最新へのＵＰＤＡＴＥ機能を持つ
　　　　　　　アプリはこの種のものを包含していると考えられる。　検索サービス
　　　　　　　などの無料サービスの多くは、アクセストラッキング情報の取得と
　　　　　　　引き換えにサービスを提供していると言ってよい。

【アドウェア】広告の表示を条件に、無償供与されるアプリケーションソフトの
　　　　　　　総称。　アドウェアのほとんどはスパイウェアの機能を包含すると
　　　　　　　考えてよい。

【マルウェア】コンピュータ・ウイルス/スパイウェア等の内「悪意をもった」
　　　　　　　ソフトウェアの総称。　mal という接頭語には「悪/悪意の」
　　　　　　　といった意味があり、これをソフトウェアを組み合わせた造語。

注）スパイウェア、アドウェア等が接続されたサーバーへ渡す情報は個人情報保護の
　　名目で暗号化されているケースほとんどであり、一体何が送られているのかを
　　ユーザーが知る手段はありません。　保護を逆手に取られている面が多分に
　　あるといって良いでしょう。　ものによっては通信プロトコルすらＴＣＰ/ＩＰ
　　等の標準のプロトコルを使っていないものも存在する様です。


　　Windows Media Player/iTune/Winamp/RealPlayer等皆さんがよく利用される
　　マルチメディアプレーヤーは著作権保護、音楽情報提供の名目でPCの内部
　　情報をサーバーへ送っている事は紛れもない事実でしょう。
　　例えば、手持ちのＬＰからＷＭＡにリッピング（デジタルファイル化）し、
　　これを再生すると、Windows Media Player はこの音楽情報を探す為に
　　サーバーに接続します。　この際、IPアドレスは無論の事、ファイルヘッダ
　　情報等が送られている事でしょう。　Microsoft MouseやWeb CAMの類も
　　同様で、自社サーバーを画像スタックとして利用可能といったものの中には
　　必ずこの種のソフトが入っているといって過言ではありません。

【スパム】　　別名：ジャンク・メール、バルク・メール
　　　　　　　WWWやNetNewsなどを通して手に入れたe-mailアドレスに向けて、
　　　　　　　営利目的のメールを無差別に大量配信すること。
　　　　　　　インターネットではメール受信の為の通信料は受信者負担と
　　　　　　　なる為、スパム（SPAM）メールのように受信者の都合を考えず
　　　　　　　一方的に送られてくるこうした行為は極めて悪質と言える。　
　　　　　　　只、受信者自身が懸賞サイトや企業サイトをアクセスし、
　　　　　　　そのメールアドレスを渡した結果送られるものについては、
　　　　　　　スパムの定義には当たらない。
　　　　　　　「SPAM」はHomel Foods社の味付け豚肉の缶詰の商品名であり、
　　　　　　　これを題材にしたコントでしつこく連呼される「SPAM」を
　　　　　　　連想したのが由来だそうである。

【ファーミング】
　　　　　　　キー・ロガー等の不正プログラムを仕込んで、個人情報の詐取を
　　　　　　　行う行為をファーミングと呼ぶ。　インターネット・カフェ等の
　　　　　　　PCを利用する際は、個人情報やログオンIDを必要とするところは
　　　　　　　絶対にアクセスしないようにしましょう。
　　　　　　（キー・ロガー＝キー入力を蓄えメール等の形で詐取者の元に送る。）

【フィッシング】
　　　　　　　偽メールという餌を撒き、その餌に釣られたユーザーの情報を詐取
　　　　　　　する事からこう呼ばれる。
　　　　　　　ＨＴＭＬメール本文の表示部には正しいアドレスが記載されているが
　　　　　　　実際にアクセスするサーバーは偽サイトになっているものや、
　　　　　　　ＤＮＳサーバーのデータを書き換え、偽サイトにするもの等がある。
　　　　　　　（ＤＳＮキャッシュポイゾニング）
　　　　　　　クレジットカードのＩＤ確認という種類はみなこのタイプである。

注）安全の為としてインターネット・カフェ等を利用される方もおられる様ですが、
　　最も危険なのが、不特定多数で共用するＰＣです。　インターネット検索を
　　するだけであれば問題はありませんが、ログインを必要とするような場所への
　　アクセスは決してしてはならない事です。　キー・ロガーが仕込まれていると
　　考えて使う事です。　この様なＷｅｂメールを使う等は自分の情報だけでなく、
　　相手に関する情報まで漏らしてしまう事になりますので、心して下さい。

--------------------------------------------------------------------------------

では、防御の方法はとなると、自動防御をしようとすると複数のソフトを載せねば
ならず、多くのリソースを消費するだけでなく、操作性にも多くの齟齬を来たして
しまいます。　下の図は個人環境に対するものであり、企業内のＬＡＮに接続する
場合、パーソナルファイアウォールソフトの導入の必要はありません。　むしろ、
データ共有に多くの齟齬を来たすだけです。　ＸＰではパーソナルファイアウォールが
付属しますが、これも使用しない方がよろしいでしょう。

　　　　　　　　　必須　　　　　　必須　　　　　　必須
┏━━━━━━┓　┏━┓　┏━┓　┏━┓　┏━┓　┏━┓　┏━━━┓
┃　　イ　　　┃　┃有┃　┃パ┃　┃ウ┃　┃ス┃　┃メ┃　┃　　　┃
┃　　ン　　　┃　┃線┃　┃｜┃　┃イ┃　┃パ┃　┃｜┃　┃個人　┃
┃　　タ接　　┃　┃／┃　┃ソ┃　┃ル┃　┃イ┃　┃ラ┃　┃　ＰＣ┃
┃　　｜続　　┃　┃無┃　┃ナ┃　┃ス┃　┃ウ┃　┃／┃　┃　　　┃
┃　　ネ環　　┃　┃線┃　┃ル┃　┃対┃　┃ェ┃　┃ブ┃　┃ＯＳ　┃
┃　　ッ境　　┣━┫ル┣━┫フ┣━┫策┣━┫ア┣━┫ラ┣━┫　　　┃
┃　　ト　　　┃　┃｜┃　┃ァ┃　┃ソ┃　┃対┃　┃ウ┃　┃　　　┃
┃　　　　　　┃　┃タ┃　┃イ┃　┃フ┃　┃策┃　┃ザ┃　┃　　　┃
┃メール　　　┃　┗━┛　┃ア┃　┃ト┃　┃ソ┃　┃の┃　┃　　　┃
┃添付ファイル┃　　　　　┃ウ┃　┗━┛　┃フ┃　┃設┃　┃　　　┃
┃Ｗｅｂ閲覧　┃　　　　　┃ォ┃　　　　　┃ト┃　┃定┃　┃　　　┃
┃ダウンロード┃　　　　　┃｜┃　　　　　┗━┛　┗━┛　┗━┳━┛
┃オンライン　┃　　　　　┃ル┃　　　　　　　　　　　　　　　┃
┃　　　ソフト┃　　　　　┗━┛　　　　　　　　┏━━━━━━┻━┓
┃ポート攻撃　┃　　　　　　　　　　　　　　　　┃スパイウェア／　┃
┗━━━━━━┛　　　　　　　　　　　　定期　　┃　アドウェア　　┃
　　　　　　　　　　　　　　　　　　　　スキャン┃　スキャンソフト┃
　　　　　　　　　　　　　　　　　　　　　　　　┗━━━━━━━━┛

では、どうするか。　感染するとウイルスソフト等を無効化してしまう物まで
存在しますので、まずは「感染しない様にするには」という事になります。

まずは「環境」

１．　インターネットとの接続には必ずルータを入れる。　これで、既知のポートに
　　　対する攻撃についてはルータ側にブロックする機能が搭載されています。

注意）無線方式のルータを使用する場合、工場出荷時設定のままでは容易くネット
　　　ワークに侵入する事が可能です。　次の点には充分気を付けて下さい。

　　　ルータに付属するユーティリティソフトで無線ＬＡＮのアクセスポイントを
　　　探し、ブロックされていないネットワークに侵入する事は特にネットワークに
　　　関する知識を必要とするレベルでもありません。　これを防ぐには

　　　１．　ログオンＩＤ/パスワードを必ず変える事。
　　　２．　接続する端末のＭａｃアドレスを設定し、それ以外の接続を行えない
　　　　　　様にすること。
　　　３．　暗号を必ず掛けること。
　　　４．　可能ならば、ルーターのＩＰアドレスも変更する事。

　　　通常市販されているブロードバンド・ルーターの工場出荷時のＩＰアドレスは
　　　192.168.1.1　となっています。　また、初期ＩＤ/パスワードはメーカーに
　　　より同じである事がほとんどです。　これはパスワードを変えていなければ、
　　　ブラウザで侵入し、自在にルータの設定を変更し得る事を意味しています。

　　　特に集合住宅にお住いの方はご注意を。　最近、ほとんどの方は無線型を購入
　　　される様です。　編集子も集合住宅住まいですが、無線ＬＡＮアクセスポイントを
　　　使い始めた当時は全く拾えなかったアクセスポイントが、昨年末では１０個を
　　　超える状態になっており、その中で、暗号化とキーロックが掛かっているのは
　　　３割に過ぎませんでした。　便利さは諸刃の剣である事を忘れている方が
　　　いかに多いか、必要な知識がないところへ未成熟な製品を投入したつけと
　　　いってよいのかもしれませんね。

　　　有線ルーターは閉鎖環境ですので、内部に悪意の作為者がいなければ問題は
　　　起きませんが、無線ルーターは数十ｍ以上のサービスエリアを持ちますので
　　　その分侵入や盗聴のリスクが高いのです。

２．　ウイルスソフトをインストールし、ファイルのアクセスと、メール・添付
　　　ファイルの監視を行う様に設定する。

　　　ウイルスソフトにも得て不得手があり、一概にどれとはいえませんが、
　　　先般の価格．ｃｏｍのハッキングに伴う感染をブロック出来たのは、弊社で
　　　比較評価している中ではＮＯＤ３２だけでした。　１台のＰＣには１つの
　　　ソフトしかインストール出来ませんが、企業であれば複数のソフトを導入
　　　しておくのも一つの対策になります。

３．　メーラーはスパム・キラー機能があればこれを使用する。
　　　ブラウザはスクリプト実行、ＸＭＬの実行及びファイルのダウンロードには
　　　アラームを出す様に設定する。

４．　ＰＣ自体

　　　ＰＣの電源は使用しない場合は、必ず落とす様にする。
　　　ブロードバンドルータだけならば被害を受ける事はまずありません。

　　　ご自身で外部からアクセス可能なサーバーやＬＡＮウェイクアップを利用した
　　　リモートアクセス、ＦＰＴサーバーをお建てになる場合は、ルータもそれなり
　　　のものを使用し、ネットワークの分離等を含めた環境構築を行う事が必須です。

パーソナル・ファイア・ウォール/スパイウェア対策ソフトについては環境によっては
障害の原因となる事もありますので、カットアンドトライしかありません。

次に「操作での回避策」

１．　メーラー

　−　ＩＳＰの「ウイルス検査」、「迷惑メール」サービスを利用する。

　　　ＩＳＰにもよりますが、ＩＳＰサーバー上で削除する事も特定の文字列を付けて
　　　配信させる事も出来るはずですので、フィルタと組合せ除外が出来ます。
　　　有償サービスではＩＳＰのメール・サーバー上での除外処理が可能なものも
　　　あります。

　−　本文

　　　出来ればテキスト型の物を使い、ＨＴＭＬ型ではその中にあるリンクについては
　　　その実アドレスが参照出来るものを使用する。

　　　例えば「ＥＵＤＯＲＡ」というメールソフトでは表示された文面上のリンクに
　　　カーソルを当てるとウインドウ枠にその実際のリンク先が表示されます。

　　　このアドレスが本来のＵＲＬではない場合は決してアクセスしない事です。
　　　210.166.12.01 等といった数値列やアクセス先と直接関係があるＵＲＬでは
　　　ない場合は近づかない方が無難です。

　　　フィッシングやポイゾニングではアドレスを詐称して偽のサイトに誘導する
　　　という方法が採られますので有効な回避策となります。

　−　添付ファイル

　　　本来送られてくるべき相手からのもの以外は絶対に開かない事が肝要です。
　　　現在ではメールアドレスも詐称されていますから、充分注意が必要であり、
　　　怪しいと思ったら、必ず相手に送付の事実を確認する癖をつける事でしょう。

　　　ファイルの拡張子が　拡張子なし、ｓｃｒ、ｐｉｆ、ｅｘｅ、ｊｐｅｇなどは
　　　開かない方がよいでしょう。　ｅｘｅ、ｊｐｅｇについては送信者、添付の
　　　目的がはっきりしていれば別ですが。

　−　スパムメールへの対応

　　　スパムメールについては、その配信停止応答もしない方が賢明でしょう。
　　　拒否応答を以て、メールアドレスの実在を確認するといった事も行われて
　　　いる様です。

　　　邪魔にはなりますが、現在の所、

　　　・　スパム・キラー・ソフトを導入し、自動除外する様に設定する。
　　　・　メールのフィルタリング機能を使用し、フォルダ分けで対応する。
　　　・　ＩＳＰの迷惑メールサービスを利用する。
　　　　　といった方法しかありません。

２．　ブラウザ

　　　ブラウザの場合も文面上に記述されるＵＲＬとは異なるアドレスに誘導する
　　　という手法が取られる事がほとんどですので、リンクをクリックする前に
　　　必ずウインドウ枠左下に表示される、ＵＲＬを確認する癖をつけて下さい。
　　　個人情報やクレジットカード情報を扱う際は、そのＵＲＬが本来あるべき
　　　ものかどうかを確認する癖をつけることです。　それと、ＳＳＬが使用され、
　　　正規の認証を受けたサイトであるかどうかの確認も行うべきでしょう。

　　　一般のＷｅｂページは同一ドメインの内部リンクになっているはずです。
　　　別ドメインにページを渡している場合は、そのＵＲＬが数値の場合はアクセス
　　　しない方が賢明でしょう。　サブ・ドメイン（ドメイン名の前に別の名前が
　　　付く、例えば、http://tokyolab.ontrack-japan.co.jp といった様な）で
　　　あれば問題はないはずですが。

　　　先般、発生した価格．ＣＯＭの事例の様にＴＯＰページがハックされ、
　　　そのスクリプトが差し替えられてウイルスサイトからウイルスを
　　　ダウンロードする様に仕込まれてしまえば、クライアント・サイドでは
　　　防ぎようがありません。

　　　その時点で送り込まれるウイルス/ワームをブロック出来る可能性は、
　　　インストールされているウイルス対策ソフトの未知のウイルスに対する
　　　検知能力に頼るだけです。　個人の環境では、この能力の高いものが
　　　お勧めという事になります。

　　　この様な場合は、攻撃を受けたサイトがいかに早くサイトを閉鎖し、
　　　拡大を防ぐ様行動してくれるかにかかっています。　稼働させたまま、
　　　なんとか修復しよう等と考える様では話になりません。

３．　アドウェア/スパイウェア

　　　思い掛けないポップアップ・ウインドウが開いたり、Ｗｅｂアクセスを
　　　行った時、アクセスしていないページが開いたりする場合は、質の悪い
　　　アドウェアが潜んでいると思って差し支えないでしょう。　また、ＩＥを
　　　起動する際や、アドレス・バーの下矢印を押した時に反応が返るまでの
　　　時間が長くなったと感じる場合は、検索・トラッキング系のスパイウェアが
　　　複数インストールされた可能性が高いといえるでしょう。

　　　このクリーンアップに使えるソフトについては ２００５年３月号 に
　　　紹介しておりますので、そちらをご参照ください。

							以上
================================================================================
　　　Ｏｎｔｒａｃｋ Ｄａｔａ Ｒｅｃｏｖｅｒｙ Ｓｅｒｖｉｃｅ--
======================================================豆知識===Vol.03-06=END====