2005年06月08日(水)
<< 前の日記 | 次の日記 >>
これまでの06月08日
編集
■1自己展開実行ファイルはウイルスと区別が付かない[セキュリティ]
Tweet
「高度に発展した科学技術は魔法と区別が付かない」は、クラークの第三法則。
Happy99[http://www.ipa.go.jp/security/topics/ska.html] の昔から、 「メールに添付された実行ファイルは、たとえ知り合いからのものであっても実行してはいけない」というのは、半ば常識になっていると思っていたのだけれども、時代は大きく変わりつつある様だ。
共有鍵を使うのであれば、ZIPパスワードも選択できるかも知れない。
少なくとも、 「受信者が送られてきたファイルを実行する以外に展開する方法がない」方法を使ってはいけない。
Happy99[http://www.ipa.go.jp/security/topics/ska.html] の昔から、 「メールに添付された実行ファイルは、たとえ知り合いからのものであっても実行してはいけない」というのは、半ば常識になっていると思っていたのだけれども、時代は大きく変わりつつある様だ。
□ Happy99.exe:
Happy99.exeは1999年に大流行
*1
したウイルスで、感染するとユーザーが新規メールを送信するたびに自分自身を添付したメールを送信する。
受信者からすると、直前にメールを送ってきた知人が添付ファイルを送ってくるので、 「添付を忘れたのだろう」と思って開くと花火が打ち上がって感染。という仕組みだ。
このウイルス流行以前は、今日ほどにメールがウイルスの感染ルートになるとは考えられて いなかったが、「知人からの添付ファイルと思って油断する」という心理的な隙を突く方法で、 信用できない実行ファイルを実行させてしまうという方法によって、大ブレイクした。
このウイルスの流行を機に、「メールに添付された実行ファイルは、たとえ知り合いからのものであっても実行してはいけない」 という常識が生まれた筈だ。
このため以降のウイルスは、「実行ファイルを実行ファイルに見えない様にする」「勝手に実行させる」 という方向で進化を続けることになる。
受信者からすると、直前にメールを送ってきた知人が添付ファイルを送ってくるので、 「添付を忘れたのだろう」と思って開くと花火が打ち上がって感染。という仕組みだ。
このウイルス流行以前は、今日ほどにメールがウイルスの感染ルートになるとは考えられて いなかったが、「知人からの添付ファイルと思って油断する」という心理的な隙を突く方法で、 信用できない実行ファイルを実行させてしまうという方法によって、大ブレイクした。
このウイルスの流行を機に、「メールに添付された実行ファイルは、たとえ知り合いからのものであっても実行してはいけない」 という常識が生まれた筈だ。
このため以降のウイルスは、「実行ファイルを実行ファイルに見えない様にする」「勝手に実行させる」 という方向で進化を続けることになる。
□ 実行ファイルを実行することはパソコンを自由にさせること:
実行ファイルを実行することは、その実行ファイルにパソコンを自由にさせることである。
実行されたプログラムは、ディスクをフォーマットすることもできるし、
ウイルスを仕込むこともできる。もちろん、スパイウェアをインストールすることもできる。
ひょっとすると、秘密鍵も盗まれたかも知れないし、ルート証明書も改竄されたかも知れない。
信用できない実行ファイルを実行した瞬間に、そのパソコンは信用できないパソコンになってしまう。 複雑なパスワードを使っても、生体認証を使っても、ファイヤーウォールに守られていても、 利用者が使っているパソコンが情報を盗み出していては何にもならない。
一度でも信用できないプログラムを実行すると、セキュリティは根底から崩壊する。
ひょっとすると、秘密鍵も盗まれたかも知れないし、ルート証明書も改竄されたかも知れない。
信用できない実行ファイルを実行した瞬間に、そのパソコンは信用できないパソコンになってしまう。 複雑なパスワードを使っても、生体認証を使っても、ファイヤーウォールに守られていても、 利用者が使っているパソコンが情報を盗み出していては何にもならない。
一度でも信用できないプログラムを実行すると、セキュリティは根底から崩壊する。
□ 自己復号暗号化:
4月1日に施行された個人情報保護法の影響や続発する情報漏洩事件の影響か、
情報漏洩対策が急速に進んでいる様だし、対策製品も多く出ている。情報漏洩対策特需とも言える状況にある様だ。
その中に、「メールの添付ファイルで情報が漏洩する」点に注目した製品があるのだが、 対策のために「自己展開暗号化」をセールスポイントあるいは機能としている製品がいくつも存在する。
代表的な製品をいくつか掲げる。
ここに掲げた製品に特に問題があるわけではないし、ここで指摘する問題を持った製品は他にも存在するかも知れないししないかも知れない。
その中に、「メールの添付ファイルで情報が漏洩する」点に注目した製品があるのだが、 対策のために「自己展開暗号化」をセールスポイントあるいは機能としている製品がいくつも存在する。
代表的な製品をいくつか掲げる。
ここに掲げた製品に特に問題があるわけではないし、ここで指摘する問題を持った製品は他にも存在するかも知れないししないかも知れない。
□ 圧縮・解凍・暗号 ZELDA for OFFICE[http://irtnet.jp/ct/prod/ashuku-kaitou2.html]:
・自己解凍形式作成機能
解凍に専用のソフトウェアを必要としない圧縮ファイルを作成することが可能です。 不特定多数のお客様へ向けてのファイル配布などに大変便利です。 自己解凍形式には、パスワードを設定することも可能です。
□ 秘文 AE MailGuard[http://hitachisoft.jp/hibun/product/ae_mg.html]:
【添付ファイルの自動暗号化】
添付ファイルを自動的に、 自己復号型暗号化ファイルに変換します。
□ AutoPass[http://www.vector.co.jp/vpack/browse/pickup/pw3/pw003271.html]:
すると指定したファイルが 実行形式のものに変換される。この暗号化したファイルを起動しようとすると、ウィンドウが開いてパスワードが要求される。これを正しく入力しないと、中身のファイルは入手できない。
□ WinSafe for TOSHIBA[http://www3.toshiba.co.jp/peripheral/security/point/sec_08.htm]:
自己復号型暗号方式で暗号化されたファイルは、受け取った相手がWinSafeをインストールしていない場合でも、 受け取った暗号ファイルをダブルクリックし、電話などであらかじめ連絡し、決めていた暗証キーを入力するだけでファイルを復号化することが可能です。
□ ファイルセキュリティLE[http://www.rakuten.co.jp/worldmart/525908/526681/]:
ファイルは自己解凍形式(.exe)でも暗号化できます。 その場合は受信者がWindows環境であればソフトは不要です。 受け取ったファイルにパスワードを入力すればそのまま開くことができます。
□ 自己復号暗号を使うとこうなる:
これらの機能を使ったメールでの添付ファイルの受け渡しは概ね以下の様になるだろう。
問題はこのファイルを受け取った方である。
From: 知人 何某 <shiriai@example.com>受信者は、予めパスワードを教えてもらっているか、電話を架けて聞くか、 ひょっとすると、対策ソフトを導入したから安全だと思って、
Subject: 例の件
資料です。
--
取引先株式会社 知人 何某
添付ファイル:XXXX.exe
From: 知人 何某 <shiriai@example.com>として別便で送られて来るか、
Subject: Re: 例の件
パスワード:password
--
取引先株式会社 知人 何某
From: 知人 何某 <shiriai@example.com>等という運用になっているかも知れない。 パスワードをどうやって安全に送るかはこれはこれで大問題なのだけど、 ここではもっと大問題に触れたいので深入りしない。
Subject: 例の件
資料です。
PASS:password
--
取引先株式会社 知人 何某
添付ファイル:XXXX.exe
問題はこのファイルを受け取った方である。
□ セキュリティのための実行ファイルだから実行しても良い?:
知人から実行ファイルが送られてきて、これはセキュリティのためだという。
実行ファイルの添付はメールサーバでフィルタリングする様にしていた会社も、 取引先がこの手のソフトを導入したので、 「セキュリティのために必要」ということで、フィルタリングを解除することにした。
取引先がセキュリティを強化するためにツールを導入した途端、
banned name: .exe
in email presumably from you (<shiriai@example.com>), to the following recipient:
-> kei@nantoka.com
Delivery of the email was stopped!
The message has been blocked because it contains a component
(as a MIME part or nested within) with declared name
or MIME type or contents type violating our access policy.
等というメールを送って、メールを受け取らなくなってしまったのだ。
大事な取引先のメールを「ウチのポリシーに合わないから」と言って拒否してしまったものだから、メールサーバの管理者は営業部長に呼び出されてつるし上げにあった。
以前は、「メールに添付された実行ファイルは、たとえ知り合いからのもので あっても実行してはいけない」ルールだったのだけれども、 セキュリティのためだから実行しても良いことになった。
実行ファイルの添付はメールサーバでフィルタリングする様にしていた会社も、 取引先がこの手のソフトを導入したので、 「セキュリティのために必要」ということで、フィルタリングを解除することにした。
取引先がセキュリティを強化するためにツールを導入した途端、
BANNED CONTENTS ALERT
Our content checker foundbanned name: .exe
in email presumably from you (<shiriai@example.com>), to the following recipient:
-> kei@nantoka.com
Delivery of the email was stopped!
The message has been blocked because it contains a component
(as a MIME part or nested within) with declared name
or MIME type or contents type violating our access policy.
大事な取引先のメールを「ウチのポリシーに合わないから」と言って拒否してしまったものだから、メールサーバの管理者は営業部長に呼び出されてつるし上げにあった。
以前は、「メールに添付された実行ファイルは、たとえ知り合いからのもので あっても実行してはいけない」ルールだったのだけれども、 セキュリティのためだから実行しても良いことになった。
□ どうやってウイルスに気づくのか:
こういう状況で、Happy99.exeの様なウイルスが送られてきた場合、
どうやってそれをウイルスと見破れば良いのだろうか。
ある製品は 「改竄検出機能」を備えており、改竄された場合には警告を発する*2 という。 最近はウイルスフィルタがあるから大丈夫? 署名やパスワードがあるから大丈夫? *3
ある製品は 「改竄検出機能」を備えており、改竄された場合には警告を発する*2 という。 最近はウイルスフィルタがあるから大丈夫? 署名やパスワードがあるから大丈夫? *3
□ 情報漏洩対策のためには自己展開暗号化:
200X年。世の中では、もはや情報漏洩防止のために添付ファイルは自己展開暗号化形式で
送るのが当たり前になりつつあった。
この種のソフトを導入していない企業とは怖くて取引お断りだね。という様な事が言われて、むしろメール本文は漏洩する可能性があるから、 添付ファイルでやり取りすることも推奨される様になっていた。
From: 知人 何某 <shiriai@example.com>の様に、暗号化されたファイルのみをやり取りすれば、たとえメールが漏洩しても、 内容が漏れることは無くなったのだ *5 。
Subject: 例の件
password
--
取引先株式会社 知人 何某
添付ファイル:XXXX.exe
□ 進化するウイルス:
そんなある日、困ったウイルスが世の中に蔓延した。
感染すると、
届いたメールは以下の様になる。
当然、 この瞬間には既に感染してしまっていて、マイドキュメントの中の「営業先顧客情報.xls」が十数社に送信されているのだけど、これに気づくことはないし、 スパイウェアが組み込まれた事にも気づかない。
感染すると、
- 感染者の署名とメールアドレスを使って
- ランダムなパスワードで
- マイドキュメント内の.xls, .docファイルをランダムに
- そのファイル名のタイトルで
- アドレスリストのアドレスに無作為に
届いたメールは以下の様になる。
From: 知人 何某 <shiriai@example.com>これをいつもの様にクリックすると、パスワードを聞かれて、 「顧客先別四半期売上.xls」が出てきたが、どうも自分の会社には関係ない資料の様だ。
Subject: 顧客先別四半期売上
7jhd8qkjwd
--
取引先株式会社 知人 何某
添付ファイル:w89hq.exe
当然、 この瞬間には既に感染してしまっていて、マイドキュメントの中の「営業先顧客情報.xls」が十数社に送信されているのだけど、これに気づくことはないし、 スパイウェアが組み込まれた事にも気づかない。
□ 自己展開実行ファイルはネット社会全体を危うくする:
これはあくまで架空のストーリーだが、自己展開実行ファイルが普及した頃に
こういうウイルスが作られると、大変な被害が発生することは間違いない。
この架空の社会は、どこで間違ってしまったかというと「セキュリティのため」と称して、 「メールに添付された実行ファイルは、たとえ知り合いからのものであっても実行してはいけない」 という原則を曲げたところだ。
架空のストーリーの中の送信者は、 パスワードの運用もいい加減な「暗号化」のために、自己展開実行ファイルを送って、受信者のセキュリティレベルを低下させてしまっている。
安全そうに見えるガラクタを使うことによって、使わないよりも悪い状況を作ってしまったのだ *6 。
この架空の社会は、どこで間違ってしまったかというと「セキュリティのため」と称して、 「メールに添付された実行ファイルは、たとえ知り合いからのものであっても実行してはいけない」 という原則を曲げたところだ。
架空のストーリーの中の送信者は、 パスワードの運用もいい加減な「暗号化」のために、自己展開実行ファイルを送って、受信者のセキュリティレベルを低下させてしまっている。
安全そうに見えるガラクタを使うことによって、使わないよりも悪い状況を作ってしまったのだ *6 。
□ メールでの安全な添付ファイルの受け渡し:
- 安全な暗号化手法を使っていることが客観的に確認できるソフトを使うこと
- 暗号化/復号化ソフトをお互いに導入できること
- 安全な鍵配布が行えること
共有鍵を使うのであれば、ZIPパスワードも選択できるかも知れない。
少なくとも、 「受信者が送られてきたファイルを実行する以外に展開する方法がない」方法を使ってはいけない。
□ 自己展開形式のメールは親切か:
何らかの圧縮形式を使った場合に、相手が展開環境を持っていない可能性を考慮すると、
自己展開形式で送った方が親切ではないかと考える場合がある。
相手が展開環境をインストールしていなくても、実行すれば展開できるからだ。
もう一歩進めて、自己展開形式であれば、どういう独自の圧縮方法でも展開できるから、 展開ツールを配布する必要がないということになる。
いずれも誤りだ。
受信者が十分な知識を持っている場合。メールで送られてきた実行ファイルを実行するのは、 非常に危険なことだと理解しているから、既に導入されているか、 信頼できるルートで入手して導入した展開ツールで展開しようとするだろう。
この際、拡張子がexeであると、圧縮に使用したツールが分からないために、 展開ツールに何を使ったらよいかを分かりにくくさせてしまう。 使用している環境によっては、うっかり実行してしまうリスクもある。
受信者が十分な知識を持っていないか持っていないと想定される場合。 メールで送られてきた実行ファイルを実行する様に促すこと自体が、相手のセキュリティに関する意識と対策レベルを下げさせることであり、許されることではない。
展開ツールが配布されていない場合。そのファイルを安全に展開する方法は無いということである。
いずれにせよ、 自己展開形式が許されるのは、そのファイルを受け取るまでに改竄が行われていないということを送信側が保証でき、受信側がその事を確認できる場合に限られる。
この場合、受信者は送信者の保証の下に、そのファイルを信用して実行することになる。
例えば、自分用に自己展開書庫を作っておく場合や、CD-Romで配布する場合、GnuPG等で署名を付けて送信した場合は、送信者(自分の場合もある)を信用して、実行ファイルを実行している。
「改竄が行われるかも知れないメール環境で、改竄対策のために実行ファイルとして送信する」のは自己矛盾だ。
相手が展開環境をインストールしていなくても、実行すれば展開できるからだ。
もう一歩進めて、自己展開形式であれば、どういう独自の圧縮方法でも展開できるから、 展開ツールを配布する必要がないということになる。
いずれも誤りだ。
受信者が十分な知識を持っている場合。メールで送られてきた実行ファイルを実行するのは、 非常に危険なことだと理解しているから、既に導入されているか、 信頼できるルートで入手して導入した展開ツールで展開しようとするだろう。
この際、拡張子がexeであると、圧縮に使用したツールが分からないために、 展開ツールに何を使ったらよいかを分かりにくくさせてしまう。 使用している環境によっては、うっかり実行してしまうリスクもある。
受信者が十分な知識を持っていないか持っていないと想定される場合。 メールで送られてきた実行ファイルを実行する様に促すこと自体が、相手のセキュリティに関する意識と対策レベルを下げさせることであり、許されることではない。
展開ツールが配布されていない場合。そのファイルを安全に展開する方法は無いということである。
いずれにせよ、 自己展開形式が許されるのは、そのファイルを受け取るまでに改竄が行われていないということを送信側が保証でき、受信側がその事を確認できる場合に限られる。
この場合、受信者は送信者の保証の下に、そのファイルを信用して実行することになる。
例えば、自分用に自己展開書庫を作っておく場合や、CD-Romで配布する場合、GnuPG等で署名を付けて送信した場合は、送信者(自分の場合もある)を信用して、実行ファイルを実行している。
「改竄が行われるかも知れないメール環境で、改竄対策のために実行ファイルとして送信する」のは自己矛盾だ。
□ 自己展開実行ファイルを区別するウイルスフィルタの可能性:
ユーザーが実行して、しかもパスワードを入力して展開されるウイルスは、
シグネチャでの検出が非常に困難になるだろう。
起動部に、バッファオーバーフローやOSのセキュリティホールといった脆弱性を用いないため、 この部分に特徴を見いだすことが困難である。
ペイロードはその個体毎にランダムなパスワードで暗号化されているので、 一定のシグネチャで検出することはできない。
メール本体へのパスワードの記載方法と、MIME化等の特徴で検出される可能性はあるが、 作者がメタモーフィック化を意識した上で、特徴部分を残さない様に十分に注意して作成した場合、 理論的には、実際に展開してみないと検出できないウイルスを作成することが可能に思える。
「自己展開実行ファイルはウイルスと区別が付かない」と覚悟しておいた方が良い様に思う。
起動部に、バッファオーバーフローやOSのセキュリティホールといった脆弱性を用いないため、 この部分に特徴を見いだすことが困難である。
ペイロードはその個体毎にランダムなパスワードで暗号化されているので、 一定のシグネチャで検出することはできない。
メール本体へのパスワードの記載方法と、MIME化等の特徴で検出される可能性はあるが、 作者がメタモーフィック化を意識した上で、特徴部分を残さない様に十分に注意して作成した場合、 理論的には、実際に展開してみないと検出できないウイルスを作成することが可能に思える。
「自己展開実行ファイルはウイルスと区別が付かない」と覚悟しておいた方が良い様に思う。
□ 自己展開実行ファイルを使うセキュリティ製品:
こうやって考えると、自己展開実行ファイルを使うセキュリティは、
むしろその危険性が大きいものの様に思えるが、これらの製品を供給している側は、
この様な危険性にどの様に対応しているのだろうか。
メールで送られてきた実行ファイルを実行することに危険性があるということは理解しているはずだ。そういう危険性を考慮せずにセキュリティ製品を供給しているということがあるだろうか。
危険性を承知しているのであれば、 自己展開実行ファイルを作成する機能は、むしろ搭載してはいけない機能では無いか。
あるいは、これらのセキュリティ製品は「送信者側が対策していますという姿勢を示すためのものであって、受信者が危険にさらされるのは問題ではない」と考えているのだろうか。
メールで送られてきた実行ファイルを実行することに危険性があるということは理解しているはずだ。そういう危険性を考慮せずにセキュリティ製品を供給しているということがあるだろうか。
危険性を承知しているのであれば、 自己展開実行ファイルを作成する機能は、むしろ搭載してはいけない機能では無いか。
あるいは、これらのセキュリティ製品は「送信者側が対策していますという姿勢を示すためのものであって、受信者が危険にさらされるのは問題ではない」と考えているのだろうか。
*1: 2000年バージョンは、Happy00.exe。
*2: もちろん、その実行ファイルは本物の暗号化ファイルでなければならないし、警告されるのは偽物かも知れない実行ファイルが実行された後である。偽物だったらもはや手遅れだ。偽物が自分は偽物だと警告することは考えにくい。
*3: 新しいウイルスは検出できない場合もあるし、後述するように、この手のウイルスに対応するのはウイルスフィルタ側も困難を強いられるだろう。
ウイルスは署名を付けないだろうか。日本語のSubjectを書かないだろうか。日本語の本文を書かないだろうか。
*4: ちなみに、この製品は自己解凍書庫では無くzip形式の書庫を作る点で、受信者の環境は安全だ。
*5: 受信者に成り済ましてパスワードを入力するのは、不正アクセス禁止法で罰せられる。もちろん、悪い冗談だ。
*6: ここで掲げたソフトがガラクタだと主張しているわけではない。使い方によってガラクタ以下になると言っている。
*2: もちろん、その実行ファイルは本物の暗号化ファイルでなければならないし、警告されるのは偽物かも知れない実行ファイルが実行された後である。偽物だったらもはや手遅れだ。偽物が自分は偽物だと警告することは考えにくい。
*3: 新しいウイルスは検出できない場合もあるし、後述するように、この手のウイルスに対応するのはウイルスフィルタ側も困難を強いられるだろう。
ウイルスは署名を付けないだろうか。日本語のSubjectを書かないだろうか。日本語の本文を書かないだろうか。
*4: ちなみに、この製品は自己解凍書庫では無くzip形式の書庫を作る点で、受信者の環境は安全だ。
*5: 受信者に成り済ましてパスワードを入力するのは、不正アクセス禁止法で罰せられる。もちろん、悪い冗談だ。
*6: ここで掲げたソフトがガラクタだと主張しているわけではない。使い方によってガラクタ以下になると言っている。
■ 関連記事
- Vocal Cancelがウイルスな件について。2005-07-04
- 原発情報流出:「トロイの木馬」がファイル内データを暴露2005-06-25
- メモ2005-06-07
- そういえば【謎】keiさん【誰】もしきりにGnuPGを勧めているわけですが2005-07-17
- 「英政府の情報狙いトロイの木馬攻撃、発祥はアジア?」が日本上陸?2005-06-25
- アドレス収集spam2005-05-23
- フィッシング詐欺用サイトとサイト改竄の違い2005-02-22
- 続・mail2nikki2001-07-08
- 過去のメールを引用しウイルス添付メールを自動返信する"Commwarrior.C"2005-10-20
- 続・アドレス収集spam2005-05-25
- 東証ショック2006-01-18
- mail2nikki2001-07-06
- 広告メールのちょっと怖い話2002-12-20
- MIMEエンコードとか2001-11-30
- P502i2000-05-05