ロゴ

STOP 自動更新の提案

  コンピュータウィルスは通常、ネット・外部メディアから不正プログラムをパソコンに書き込みます。


自動更新の弊害


 不正プログラム対策をするために、不正プログラムを含む不特定多数のプログラムの書き込みを許す。
この考え方に矛盾があります。

ストップ自動更新
 フォーエバーセキュリティは「自動更新」停止、ディスクへのプログラムの書き込みの全面禁止を提案します。
セキュリティ戦略の一つとして検討ください。

ハードディスクのかぎ掛け


つまりプログラムの書き込み禁止が最も効果的なウィルス対策 です
本ソフトはプログラムの一つとして「書き込み禁止」を提供します。


標的型攻撃について

 日本年金機構は2015年6月1日に電子メールに添付したウィルスプログラムに感染しました。
業界では「標的型攻撃」あるいは「高度標的型」といわれています。いわゆる「フィッシング詐欺」と言われているものです。

 ここでは「フィッシング詐欺(標的型攻撃)」を想定した対応方法を説明します。

1. Eメールへのウィルス添付を効果的に遮断

メール感染

怪しいメールの添付ファイルは開かないようにしましょう。これが基本中の基本です。
制限的ROM化機能はうっかりミスでの実行を防 ぎます。
Windowsではプログラムは拡張子というファイル名の最後が.exeと決まっています。
※厳密には.bat, cmd, com, などもう少しあります。

まずセキュリティのきちんとしたメールソフトを使用しましょう。Windows本体はこの拡張子を表示しないようにする方向 でいます。当然、OSに無料添付のメールソフトはその方向に圧力を受けていると言えます。



添付文書に偽装

拡張子の表示


これがもっとも初歩的なタイプと言えます。ドキュメントに偽装していますがプログラムです。
フォーエバーセキュリティにおいては制限的ROM化機能を ONにしておく事でディスクへ遮断します。
および拡張子の表示をONにしましょう。

ショートカットにWeb上のウィルスを指定する
ドキュメントだけでなくショートカットを悪用するタイプもあります。ショートカットはリンク先にWeb上のプログラムを指定 できます。Web上のプログラムを無意識に実行させるという手口です。
この場合、Web上のプログラムをまずディスクに保存しようとするので制 限的ROM化機能に引っかかります。


2. RLO形式のウィルスも効果的に遮断

  戦前の日本がそうですが文字を右から左へ書いていました。
戦後:「本日のランチ」
戦前:「チンラの日本」

 アラビア語、中国語が該当しますが右上から左下へとなります。

 Windowsではファイル名の頭にRLO(Start of right-to-left override)制御文字を入れると右から左に表示します。
 
RLO制御コードによるファイル名の偽装

RLO制御コードによるファイル名の偽装は極めて危険です。
フォーエバーはRLO制御コードを含んだファイルの作成とアクセス禁止機能を備えます。

および制限的ROM化機能も有効です。
RLOコードのアクセス禁止機能と併用し二重ロックを実現します。



3. 圧縮型/パスワードで暗号化しているウィルスも効果的に遮断

■一般的なセキュリティ・・・メールの検閲、スパムフィルタ
  セキュリティソフトによるメールチェック
この方式は添付ファイルが暗号化していると検査できません。

圧縮、暗号化していると検閲できない
添付ファイルがパスワードで暗号化していた場合、パスワードがないと中を読む事が出来ません。
読めないので可否判断できません。この場合、現実的には素通しすることになります。
対応していないマイナーな形式の圧縮をしている場合も同様です。ファイル圧縮は暗号化に包括されます。

この偽装には制限的ROM化機能が有効です。解 読しディスクにプログラム形式として保存する段階で制限的ROM化機能に 引っかかります。

■仮想フォルダにほる実施も防御


Zip ウィルス

フォーエバーセキュリティは仮想フォルダ内のファイルアクセス機能を備えます。
解凍せず直接実行する操作へ安全装置を張ります。



セキュリティの実際

フォーエバーセキュリティの具体的に紹介します。
本ソフトの実施方法と効能をマンガ、図版を交えて説明します。
まずフォーエバーセキュリティのコントロールを紹介します。

フォーエバーセキュリティ全体図


1. サイトで何かをダウンロードして感染

ダウンロード感染

  antiv5.pngWindowsでは実行プログラムは厳密にはファイル名 を.exe, .com, .cmd, .dll, .sys, .cplとするよう決まっています。

ウィルスも例外ではありません。従い、これらのファイルの書き込みを一括して禁止すればウィルスのディスクへの 感染を防げます。

パソコンの電源をOFFにした時点でメモリ上のウィルスは消失します。電源の入れなおしでウィルスを 洗い流します。

XPフォーエバーは実行プログラムとしてさらに.bat、wshおよびJava関連のプログラムファイルの書き 込みも禁止します。

antiv7.png

全ディスクの保護が一番強度が高いのです。
ですがシステムのバックアップ先は自由に書き込みしたい場合があります。そのような場合はC:ドライブのみを選択してく ださい。 



2. メールにて感染

Eメールにウィルスが添付されて感染。

メール感染

怪しいメールの添付ファイルは開かないようにしましょう。
制限的ROM化機能はうっかりミスでの実行を防 ぎます。

3. 拡張子を表示

画像ファイルのフリをして実行させるプログラムがあります。
拡張子を表示してウィルスを看破しましょう。
Windowsにおいてはプログラムは拡張子が.exeと決まっています。
ですからこのような偽装メールが沢山あります。

拡張子表示


制限的ROM機能をONにしていればうっかり添付を開こうとしても安全です。
添付ファイルをディスクに展開しようとした時点でブロックするからです。

ここではさらに一歩進んで拡張子を表示するようにしましょう。

拡張子の表示

フォーエバーセキュリティにある「拡張子を表示(推奨)」というチェックボックスがあります。ONにして再起動しましょう。 表示するようになります。
隠れファイルやOSの隠れファイルも同様です。見えないところはウィルスの繁殖地として最適なのです。


4. サイトで感染・DEPと制限的ROMによる防御

Jpegファイルのような画像ファイルの中に仕込み、見るだけで感染するウィルスが存在します。
CPU内におけるメモリオーバーフロー、バッファオーバーフローと呼ばれる現象を悪用します。

 現在問題とされているウィルスは全てこのタイプと言って も過言ではありません。

ダウンロード感染

IE8(インターネットエクスプローラ)を使う場合はDEPをOFFにしない となかなかうまく動きません。
DEPをONにする時はブラウザはFire Foxやgoogle chormeなどを利用してください。


見るだけで感染するウィルスは、”ソフトウェアの脆弱性”と呼ばれる問題を突きます。

この考え方は非常に重要です。従い、重複しますが3つの切り口から説明します。

【その1・簡単なマンガで見る説明】
次の図ではプログラム=Jpegファイルを読むソフト、データ(タコ)=Jpegファイルと当てはめてみてください。

見るだけで感染する仕組み

メモリ管理の甘い、つまり脆弱なソフトは、メモリ上のデータが並びが壊れることが良くあります。
こうなるとCPUはどれがデータでどれがプログラムか判らなくなり、データをプログラムと勘違いして実行する事故が起きま す。
見るだけで感染するウィルスをこれを悪用しています。

【その2・実際に良くありそうな事例による説明】

プログラムの設計の甘さ、いわゆる"ソフトウェアの脆弱性"を悪用してしてCPUの制御権を乗っ取るタイプで す。ソフトの脆弱性を解決する アップデータは主にこれへの対策と思われます。

次の手順をとり乗っ取ります。

antiv3.png

  乗っ取りはWindows機が採用しているCPUを含む、多くのCPUの持つ構造欠陥をついて実施します。

乗っ取りはメモリ領域のデータ溢れを利用して行います。例えばEメール保存用として30バイトのメモリを確保し ているところに100バイトの長さのEメールアドレスを書き込んでみましょう。

つくりの甘いソフトの場合、溢れた70バイトが隣接するメモリに書き込みます。これを英語でバッファーオーバー フローとかメモリオーバーフロー、メモリオーバーランと表現します。

  バッファオーバーフローを起こすプログラムとデータの組み合わせをウィルス作者は目ざとく見つけ悪用します。

antiv42.png

この結果、動画、画像、PDFとありとあらゆ るファ イル形式、Webサイトがウィルスの感染源になる可能性が生まれました。


【その3・IT技術者向けの専門的な説明】


■バッファオーバーフローの説明

antiv41.png

Windows用のCPUを含むCISC型のCPU の特徴に内部でデータとプログラムの管理情報(プログラムのメモリ上の位置)を同じ領域にサンドイッチ状に配置 するという問題があります。
この結果、データ処理で簡単に管理領域が上書きされてしまいます。
※CISC型CPUとはCPUに多くの機能を盛り込み高性能化を目指した形式です。ちなみにRISC型とは CPUの機能を絞り込み高速化しようという形式です。デスクトップではCISC型が普及し、スマホのようなモバ イル機器ではRISC型が普及しています。

antiv40.png

 このようにサンドイッチ型にメモ リを管 理するCPUではちょっとしたメモリ溢れでCPUに偽の情報を送り、ウィルスプログラムを実行させることができ ます。

antiv43.png

 DEPはメモリ溢れを検出するた めに NXビットというフラグを設けています。オーバーフローを検出すると問題を起こしたプログラムを強制終了しま す。これによりウィルスの感染を防ぎます。

■フォーエバーセキュリティの設定


メモリオーバーランの防止

このマルウェアに対してはDEPのONでフォーエバーセキュリティは対処します。
そしてこれをすり抜けて来たウィルスに対して制限的ROM化で対処します。

OptOut・・・除外リストで指定したアプリ以外は全部DEPを作動させるモードです。
AlwaysOn・・・全ソフトに対してDEPを適用します。
AlwaysOff・・・DEPのOFF

DEPで万全かというとそうでもなく「Return- to-libc攻撃」というDEPをすりぬける技術が出現しています。
この時に最後の防衛線となるのが制限的ROM化機能と なります。
DEPをすり抜けたマルウェアが本格的に悪さをするためにはディスク装置にウィルスプログラムを書き込む必要があります。こ の時に制限的ROM化機能が最後の防衛線を張り ます。

まれにDEPを適用すると動かなくなるソフトがいます。この場合は「OptOut」 を 選択してください。そして動かなくなるソフトを登録すればそのソフトだけDEPの適用外にします。


5. USBで感染

 インターネットカフェでUSBをパソコンに刺した時 にUSBメモリに感染、そのUSBを自宅/職場のPCに刺して伝染を繰り返し猛威を振るいました。USBメモリに ウィルスを仕込んだ場合、PCに接続するだけで自動的に実行し、感染しました。


USB感染

フォーエバーセキュリティのUSB防御をオンにして、USBからウィルスの侵入を遮断します。

USB自動実行ファイル

Windowsには隠れファイルで「autorun.inf」というファイルがあります。Windowsは 「autorun.inf」 を見つけると自動実行します(※1)。
※1.この問題はOSにより出ないものもあります。
USBウィルスはこれを悪用します。
USBを接続 ⇒ Windowsが「autorun.inf」を即実行 ⇒ 即ウィルス感染!というのが真相です。
  フォーエバーセキュリティは「autorun.inf」の読み込み実行を遮断する機能を提供します。


 antiv8.png

XPフォーエバーは、USBメモリ上のプログラム の自動 実行の禁止、さらに踏み込み、USB上のプログラムの実行の禁止を指定できます。

USBメモリで読み書きするデータは通常はデータです。プログラムの読みとりを禁止するだけで安全性が高まります。

NTFS形式のフォーマットは複雑でファイル管理領域にウィルスを仕込む可能性があります。このため万全を期し NTFSを禁止するスイッチを用意しています。



6. 安易に無料ソフトを使用しない

■OUTLOOK エクスプレスの使用をやめる/危険な機能をOFFにする

XPについてくるOutLook Expressはバージョンが古いため、安全に使うために配慮が必要です。
今はLiveメールに切り替わっていますがWindowsに標準でついて来るソフトは「使いやすさ」が裏目に出ているとは言 えます。

アウトルック ウィルス

”サイトで感染”で説明したとおり、Jpegファイルを表示するだけで感染するウィルスが存在します。
OUTLOOKエクスプレスの初期設定ですと、知らない間に自動接続でメールを受信⇒HTML形式でJpegファイルの付き のメールを受信⇒プレビューでJpeg表示⇒感染 という、オートマ チックに感染を引き起こす可能性があります。
アウトルックエクスプレスを使う時は、上記の機能を使わないように設定しましょう。


これはOUTLOOKエクスプレスを使用する時は次の資料をりようください。また考え方は他のメールソフトにも適用できま す。是非読んでください。

--> 【XP ForEver支援文書】OutLookExpressの安全な設定


■IE(インターネットエクスプローラー)を安易に使用しない

IEはOutlookエクスプレスほど踏み台にされていませんが、伝統 的にセキュリティへの配慮への心配があります。
XPサービスパック2から装備したDEPというアンチウィルス機能も、IE8の場合それに対応していない。あるいは不完全対 応と いう問題もあります。
常用するブラウザはFireFoxやGoogle-Chromeなどを使い、IEの使用は出来るだけ控えるという工夫が有効 です。

IE危険

「た だでついて来るから便利で良い」という考えは改めましょう。有料にせよ、無料にせよ、「自分で選んだ物を」を使うの がセキュリティ上の鉄則です。



7. マクロウィルス対策

文書にマクロと呼ぶプログラムを埋め込めるものがあります。
マクロウィルスに対する防御は次の徹底で回避してください。
 マクロウィルス
これに対してはフォーエバーセキュリティは対処方法を持っていません。次のルールを徹底してください。
  • マクロは原則使用しないというルールを作る。
  • マクロ検査機能のあるセキュリティソフトと併用する。

8. Zip・LHa形式に注意・・・仮想フォルダ機能の危険性


Zip ウィルス



9. フィッシング詐欺に注意

 最後にフィッシング詐欺を説明します。これは標的型攻撃の一種でもあります。
 フィッシング詐欺にも色々あるようです。ここではそのうちの2つを紹介します。

1.盗難型【最大級の危険性・注意】
 世間一般で問題となっているのはこのタイプと思います。
フォーエバーセキュリティに標準添付しているフリーウェアの電子メールソフト「Thuderbard」に来たフィッシング詐 欺の画面 を示します。

実際にあったメールのサンプル

通常は差出人を見れば一目瞭然です。ですが差出人を偽装されたら最悪で す。
また「Thuderbard」は警告を出してくれます。
・銀行、クレジットの設定は、必ず、その業者の正規ログイン窓口から実 施のこと。
・HTMLメールは止め、テキストにしましょう。HTML形式がフィッ シング詐欺の温床になっています。


この攻撃はコンピュータウィルスではなく古典的な詐欺犯罪なためセキュリティソフトによる対抗が難しいという問題がありま す。

 この攻撃に最も有効なポジションにいるのはメールソフトとなります。無料/有料問わずきちんと対処したメールソフトを使う のが近道です。

2.電子メール自動収集型

電子メール収集型

 OUTLOOKエクスプレスが始めたHTMLのメール形式とプレビューを悪用します。
コンピュータでランダムに電子メールアドレスを合成し、メール送信します。

 メールソフトがHTMLの表示にあたり、Jpeg画像などの写真のリンクがあれば、実体のあるサイトにアクセスします。
☆サイトに見に来たアドレスは有効なアドレス。
★来なかったアドレスは無効なアドレス。



プチフリバスター
 本ソフトは特約店を募集中です。
 OEM供給も承っています。
 
プチフリバスター

プチフリバスター