セキュリティ管理 ‐ 2004 年 5 月

システムにセキュリティ更新プログラムを適用しても、感染したシステムをきれいにすることはできません。セキュリティ更新プログラムを適用しても、脆弱性を排除するだけです。攻撃者がいったんシステムに侵入すると、再び侵入するための経路を数か所確保するでしょう。

バック ドアを排除しても、感染したシステムをきれいにすることはできません。攻撃者が仕掛けたバック ドアをすべて検出したという保証はどこにもないのです。これ以上検出できないのは、探す場所がわからない、またはシステムが巧妙に細工されているため、バック ドアがすべて検出されたように見えているだけで、実はまだ潜んでいる可能性もあります。

ウイルス駆除プログラムを使用しても、感染したシステムが一掃されたとは言い切れません。たとえば、システムが Blaster の攻撃を受けたとします。Microsoft を含める多くのベンダが Blaster を駆除するプログラムを公開しています。ウイルス駆除プログラムを実行して Blaster を駆除したシステムをこの先信用できるでしょうか。私は信用しません。そのシステムが、Blaster に対して耐久性がないのなら、他の多くの攻撃に対しても脆弱であるからです。このシステムが他の攻撃になら耐えられるという保証があるでしょうか。あるとは思いません。

ウイルス スキャナを実行しても、感染したシステムはきれいにできません。実のところ、完全に汚染されてしまったシステムは信頼できないのです。ウイルス スキャナは、システムに嘘の情報を流されると打つ手がありません。ウイルス スキャナがシステムに特定のファイルがないかどうかを問い合わせた場合に、攻撃者が仕込んだツールがこの問い合わせに対して嘘の情報を流すことがあります。ただし、システムへの攻撃が 1 種類だけで、どのウイルスまたはワームかを特定でき、これにバック ドアがないことから攻撃された脆弱性をリモートから悪用されないとわかっている場合に、ウイルス スキャナを実行してシステムを一掃できます。たとえば、大多数の電子メール ワームは、ユーザーが添付ファイルを開くと感染します。この場合は、システムの感染源がワームを含む添付ファイルであることを特定できます。ユーザーの操作を伴わず、リモートから操作できるワームに脆弱性を突かれた場合は、その脆弱性を悪用した感染源がそのワームだけという確証はありません。同じ脆弱性を悪用して侵入したものが他にもある可能性が大きいのです。この場合は、システムにセキュリティ更新プログラムを適用するだけでは解決できません。

既存のシステム上にオペレーティング システムを上書きインストールしても、感染したシステムは一掃できません。攻撃者がシステムにツールを巧みに潜り込ませ、このツールがインストーラを欺く場合があるためです。このとき、インストーラは感染しているファイルを削除しないことがあります。また、攻撃者はオペレーティング システム以外のコンポーネントにバック ドアを仕掛けていることもあります。

汚染されたシステムからコピーしたデータは信用できません。システムが攻撃者によって侵入されると、そのシステムにあるデータはすべて変更されている可能性があります。汚染されたシステムからデータをコピーし、汚染されていないシステムにデータを取り込むと、潜在的に信頼できないデータを持つことになります。悪くすると、実際にデータに潜伏しているバック ドアをコピーすることにもなりかねません。

感染したシステムのイベント ログは信頼できません。攻撃者がシステムにフル アクセスする権限を手に入れると、そのシステムのイベント ログを改ざんして、簡単に攻撃の痕跡を隠蔽することができるからです。イベント ログからシステムに起きた出来事を把握しようとしても、攻撃者が読ませたい内容を読んでいる可能性があります。

最新のバックアップは、信頼できない可能性があります。最初の攻撃をいつ受けたのかが、どうしてわかるのでしょうか。イベント ログに書いてある内容は信頼できません。攻撃を受けた時期を特定できないので、最新のバックアップは使うことができません。そのバックアップには、現在システムに仕掛けられているバック ドアがすべて含まれている可能性があるためです。

感染したシステムを一掃するには、システムを再フォーマットし、再構築する方法しかありません。つまり、システムが完全に汚染されてしまった場合にできることは、システム ディスクを再フォーマットし、Windows やアプリケーションをインストールして最初から構築するしかないのです。システムを再構築せずに、もちろん、レジューム機能から復帰することもできますが、個人的にはお勧めしません。