リビング＋：内部プログラムの怪しい動きをチェック～パーソナルファイアウォールの正しい使い方

リビング＋：特集

2003/02/25 23:59:00 更新

特集：ホームユーザーのための実践的セキュリティ術（第2回）
内部プログラムの怪しい動きをチェック～パーソナルファイアウォールの正しい使い方

ルータは外部からの不正アクセスを防いでくれる。しかし、内部からのアクセスが正しいかどうかは判断してくれない。そこで注目したいのが、パーソナルファイアウォールソフトの内部プログラム監視機能だ

　第1回では、セキュリティ対策の1つとして、ブロードバンドルータは手軽で、かつ効果も高いことを説明した。しかし、それだけで十分なのだろうか。

　実は、ホームユーザーは、外部からの直接的な不正アクセスだけでなく、不正プログラムの侵入にも気をつけなければならない。外部からの不正アクセスなら、ルータが防いでくれる。ところが、何らかの手段で送り込まれた不正プログラムがPC上で動作し始め、内部から外部へアクセスし始めると困ったことになる。ルータは、このアクセスが正しい行為か、不正な行為かを区別することができないからだ。実は、ブロードバンドルータの判断基準は、外部からのアクセスは不正、内部からのアクセスは正しいという単純なもの。このため、いったん内部に入りこめば、いくらでも不正行為が可能となってしまう。

　とくに、メールを利用すると、狙いを定めたターゲットに不正プログラムを送りつけることができる。もちろん、ある程度の知識のあるユーザーなら、身知らぬ人からいきなり送りつけられてきた正体不明のプログラムを実行することはないだろう。しかし、危険なのは、ネットで知り合った人物から送られてくる場合だ。便利なオンラインソフトを装って「これ使ってみたら」と送ってこられたり、実行ファイルにもかかわらず、まるで画像データのようなアイコンのファイルで送られてきたりするのである。ところが、実行すると「ファイルが壊れている」といったエラーが発生。送信者にその旨告げると、今度は、ちゃんとしたファイルが送られてくる。

　このようなことが起きても、あまり怪しい感じはしないかもしれない。しかし、最初のエラーは実は偽装である。その時点で不正プログラムが起動され、ターゲットのPCにインストールされているのだ。不正プログラムは「インストール完了」と表示する代わりに、エラーを表示し、何もしていない素振りをする。これが典型的なトロイの木馬の侵入方法である。

ワクチンソフトだけでは不十分な理由

　メールを使った不正プログラムといえば、ウイルスもある。ウイルス対策として用いられるワクチンソフトは、ウイルスの特徴を記録したデータベースを持っており、送られてきたファイルと照合することにより、ウイルスであるかどうか判別する。

　このデータベースは、新しいウイルスが発見されるたびに更新されていく。発見される前のウイルスに感染することもあり得るが、確率的にはかなり低いため、ウイルス対策としてワクチンソフトはかなり有効だ。最近では、プログラムの振る舞いからウイルスかどうか判別する技術についても開発・研究がなされているが、完璧な判別は難しいようだ。

　一方、トロイの木馬に対しては、ワクチンソフトは必ずしも有効ではない。オンラインソフトとして配布されている有名なトロイの木馬もあり、これらはワクチンソフトのデータベースに格納されているため、検出することが可能だ。しかし、拡散が目的のウイルスとは違い、トロイの木馬は必ずしも広める必要はない。侵入させるターゲットに応じて、オリジナルのトロイの木馬を作成することもできるからである。また、有名なトロイの木馬をベースに、ワクチンソフトで検出されないよう、暗号化などの偽装を行うこともある。

　そこで、ワクチンソフト以外の対策が必要になる。この用途には「内部プログラム監視機能付きの」パーソナルファイアウォールソフトが用いられる。本来、パーソナルファイアウォールは、外部からの不正アクセスを防御するだけのものだったが、その後、高機能・多機能化するにつれ、「内部プログラム監視機能」を搭載するようになった。もっとも、この機能はパーソナルファイアウォールとして必須の機能ではないため、製品によってはサポートされていない。注意が必要である。

内部プログラム監視機能の役割

　ウイルス同様、プログラムの振る舞いだけで、不正プログラムかどうかは判別するのは難しい。そこで、PCを操作しているユーザー本人に意見を尋ねることにしたのが「内部プログラム監視機能」だ。PC上でプログラムがネットワークにアクセスしようとするたびに、ダイアログが開いて、ユーザーにアクセスを許可してよいか尋ねる。ユーザーは、正しいアクセスなら許可し、不正アクセスなら禁ずればよい。

　ただ、不正プログラムかどうかは判別するのは、実はユーザーにとっても難しいことが多い。一種の「目利き」が必要になるからだ。わからない場合はいったん禁止し、それでトラブルが生じたら許可をするというのが、推奨される手順だが、アクセスのたびにダイアログが表示されるため、うっとおしい思いもする。そこで、「内部プログラム監視機能」を利用しているユーザーは、ついついプログラムに継続的なアクセス許可を容易に与えてしまう。これは、不正なアクセスを見逃すことにつながる。

Norton Personal Firewallは、代表的なパーソナルファイアウォールソフト。「内部プログラム監視機能」も搭載している。アクセスを許可したり、禁止したりしたプログラムは、ファイアウォールの設定の「プログラム制御」で確認することができる。既知のプログラムは自動でアクセスを許可する機能もある

　このような場合には、アクセス許可の定期的な見直しを勧めたい。「内部プログラム監視機能」では、継続的な許可を与えたプログラムの一覧を表示させることができる。時間に余裕があるときに行えば、プログラムがインストールされたディレクトリなどから、危険性がないかどうか、じっくり検討することができる。考えてもよくわからなければ、いったん、その許可を取り消してみてもよいだろう。

オススメのパーソナルファイアウォールソフト

「Sygate Personal Firewall」

　パーソナルユースなら無料で利用可能なパーソナルファイアウォールソフト。類似の製品に比べ、直感的に操作できる点や、かなり細かく設定できるところが人気だ。

　上級者向けだと説明されることも多いソフトだが、筆者は初心者にも向いていると考える。というのは、動作中のネットワークプログラムの一覧を、リアルタイムに表示する機能があるからだ（画面の「Running Applications」のところ）。うっかり継続的なアクセス許可を与えてしまい、問い合わせされなくなったプログラムも、ここには表示される。もし、起動したつもりがないのに、勝手に現れるようなプログラムがあれば、不正行為をしている可能性がある。また、普段からこの画面を眺めておけば、正常時にどのようなネットワークプログラムが動作しているのかがわかり、「目利き」が利くようにもなるだろう。

なお、詳細画面にすると、プログラムごとの「CheckSum」が表示される。これは、Internet Explorerなど正当なプログラムを改ざんして、外部とのやりとりに用いることを防ぐため。万が一、改ざんされても「CheckSum」によって異常が検出されるようになっている

ある家庭のシミュレーション

　父用PC、母用PCにも、内部プログラムの監視のために、パーソナルファイアウォールソフトを導入することにした。子供用PCでも、内部プログラムの監視を行うことにしたが、アクセスの許可を与えたプログラムのリストを、父が定期的に確認することにした。メールを使用するPCには、ワクチンソフトも導入した。

　ただ、父仕事用ノートPCについては、勤務先のメールサーバでウイルス対策をされているため、ワクチンソフトは導入しなかった。また、オンラインソフトを一切使用せず、送られてきた添付ファイルも実行しないようにしているため、トロイの木馬対策は行わなかった。内部プログラムの監視機能も正しく運用しなければ、効果がなくなる。正体不明なプログラムは一切使用しないというのも、1つのやり方であろう。