本文とサイドメニューへジャンプするためのナビゲーションスキップです。

スタートアップガイド

J-Net21 中小企業ビジネス支援サイト

  • J-Net21とは
  • スタートアップガイド
中小機構
  • メルマガ登録
  • RSS一覧
  • お問い合わせ

HOME > 製品・技術を開発する > デジ・ステーション

デジ・ステーション


5分でわかる最新キーワード解説
Safety Browserってなんだ?!

日々進歩するIT技術は、ともすると取り残されてしまいそうな勢いで進化の速度を高めています。そこでキーマンズネット編集部がお届けするのが「5分でわかる最新キーワード解説」。このコーナーを読めば、最新IT事情がスラスラ読み解けるようになることうけあい。忙しいアナタもサラっと読めてタメになる、そんなコーナーを目指します。
 今回のテーマは「Safety Browser」。安全を自称するソフトウェアやサイトほど危険なものはありません!

Safety Browserとは

日々、ブラウザの脆弱性が話題になることは多い。そんな中で、Safety Browserという名前を耳にすると、新しいセキュアなブラウザがリリースされたのかと勘違いしてしまいそうだ。しかし、その名前とは裏腹に、これは最近出現したインスタントメッセンジャー(IM)ワームがインストールする危険なブラウザのことである。このIMワームを最初に発見して公表したのは米国のFaceTime Communications社で、同社ではこのIMワームを「yhoo32.explr」と名付けている。シマンテックでもこのIMワームを「W32.Browaf」という名前で検知している。「W32.Browaf」と「yhoo32.explr」は同じIMワームであることから本稿では「W32.Browaf」を例にその振る舞いと対策について説明しよう。

【「W32.Browaf」の振る舞い】

改めてW32.Browaf について詳しく説明すると、これはYahoo!メッセンジャー(無料で使えるメッセンジャーサービス)とmIRC(代表的なWindows用の Internet Relay Chat)を介して自分自身のコピーへのリンクを送信するIMワームのこと。従って、このIMワームで影響を受けるシステムはWindows環境に限定されている。具体的な振る舞いは以下の通りだ。

メッセージとしてリンクが送られてくる

メッセージとしてリンクが送られてくる
(クリックすると大きな画像が表示されます。)

(1)まず、知人や友人からメッセージウィンドウ内のリンクとして「W32.Browaf」が送信されてくる。
%UserProfile%\Start Menu
\Internet Browser.lnk
%UserProfile%
\StartMenu\Programs\Startup
\YMSND.lnk
%Temp%\Startup.exe
C:\YSND\Ysnd.exe
(2)このリンクをうっかりクリックしてIMワームを実行してしまうと、複数のファイルが作成されると同時にいくつかのレジストリに修正が加えられ、その結果、Internet Explorer内の設定が変更される。
(3)その後、Yahoo!メッセンジャーまたはmIRCセッションを介して自分自身へのリンクが仲間に送信されることによってIMワームが拡散を始める。
(4)続いて、リモート攻撃者からのコマンドと拡散時に使用するIMメッセージをダウンロードするために、次のURLに強制接続される。
http://lamanweb.com/comma*****(以下省略)
図2 (5)すると、このIMワームは自分自身をInternet Browser というアイコンで [Start Menu (スタート メニュー)] に追加する。
図3 (6)次のメッセージが表示された後・・・

図4 (7)さらに次のメッセージが表示されて終了する。

資料提供:シマンテック


インストールされたブラウザ(Safety Browser)を起動すると、悪質なWebサイトに誘導され、スパイウェアなどによって個人情報を盗み取られる可能性が出てくるという。

IMワームの現状

ここで、IMについて簡単におさらいしておこう。IMとはインターネットに接続中のユーザーをリアルタイムで確認しながら短いメッセージや添付ファイルをユーザー同士で送受信できるコミュニケーションツールの総称だ。代表的なIMツールとして、イー・アクセスの「AOLインスタント・メッセンジャー」、マイクロソフトの「MSNメッセンジャー」、そしてヤフーの「Yahoo! メッセンジャー」がある。これらのツールは無料で利用することができ、1対1の会話だけでなく、オンライン会議のように複数の相手と同時に会話をしたり、携帯電話からアクセスしたり、文字だけでなく音声で会話をしたり、Webカメラを使ってライブ映像を送受信したりする機能などがサポートされていて、テレビ電話感覚で会話が楽しめるようになっている。米国では、IMツールのほうがEメールよりも利用者が多いという。

そうなると、ハッカーたちがIMツールに目をつけないわけがない。シマンテックでは図1に示すように、2005年下半期からIMに対する脅威についてもレポートの公開を開始した。それによると、IM関連の悪意のあるコードのうち91%がワームで、前期(2005年上半期)から10%増加していて、IMがコンピュータウイルスやワームの感染経路になったり、IM経由で個人情報が盗まれたりする可能性が日増しに高くなっているという。最近では、ボットファイルを作成するIMワームも見つかっていて、ボットがIM経由で増殖するようにもなってきた。シマンテックでは、IMワームは特に英語圏での被害が増加していることから、海外の仲間とIMでやりとりする場合には特に注意してほしいと呼びかけている。

図1 IM関連の悪意のあるコードの活動の割合

資料提供:シマンテック

IMワーム対策

図2 ウイルス対策ソフトによるW32.Browafの検知と削除

Safety Browserはウイルス対策ソフトで検知できる

それでは、実際にどのような対策を取ったらいいのだろうか。まず、W32.Browaf(Safety Browser)に関しては、ウイルス対策ソフトを使って検知し削除することができる(図2)。


一方、IM全体に対する脅威については、例えばシマンテックでは次のような対策を推奨している。

  • 使用しているIMのソフトウェアを常に最新版にアップデートすること。
  • OSを常に最新版にアップデートすること。
  • 個人情報やクレジットカード番号などの重要な情報をIMで送信しないこと。
  • 公開したくないファイルを安易にIMで送信しないこと。
  • 知らない人から送信されてきたメッセージの添付ファイルを開いたり、ウェブのリンクをクリックしたりしないこと。
  • ウェブのリンクが含まれている場合、送信者が知人であってもURLやリンク先に不審な点がないかを確認すること。
  • ウイルス対策ソフトやパーソナルファイアウォールなどのセキュリティソフトを必ず使用すること。

さらに、Yahoo! メッセンジャーならヤフー内部に中間サーバが設置されているので、ISPが実施している迷惑メール対策サービスと同じように、IMサービス提供者側でもIMワーム対策を実施することができる。このほか、業務でIMを利用する場合には、利用範囲を社内のみに制限することによって、外部からIMワームが侵入しないようにすることもできる。具体的には、マイクロソフトから企業向けIMサーバとして提供されているMicrosoft Office Live Communications Server 2005日本語版(有償)などを導入すれば、企業独自のIMによるリアルタイムコミュニケーション環境を構築できる。企業内でLive Communications Server を使用しているユーザーは、必要に応じて、MSN、AOL、Yahoo! のパブリックIMサービスを利用している信頼できるユーザーと接続することも可能だ。

しかし、いずれにしても、IMでは知人や友人をあらかじめ限定登録してから使い始めるので、知人を装ったメッセージに対してはどうしても油断しやすいという弱点がある。今後、IMワームが増加することは間違いなく、対策はそれほど簡単にはいかないかも知れない。

取材協力 :株式会社シマンテック

掲載日:2009年4月 1日

キーマンズネット

出典元:株式会社リクルート キーマンズネット 2006年10月18日掲載分

検索

このページの先頭へ