多様化、巧妙化するスパム/ウイルスに対応するメールセキュリティ（3）(2/3)

　「0day（ゼロデイ）アタック」とは、OSやアプリケーションなどの脆弱性が発見されたときに、問題の存在が広く公表される前にその脆弱性を利用して行われる攻撃のことである。0dayアタックが恐ろしいのは、ウイルス対策ベンダーや開発元によるセキュリティパッチが公開される前に攻撃が行われる点だ。そのため、攻撃を防ぐことが難しい。
　ただし、打つ手が何もないわけではない。メールシステムにおいて0dayアタックを防ぐためには、次のような対策が挙げられる。

システムの弱点や外部に対する入り口は極力少なく
　メールサーバ／クライアント共通事項としては、「常に最新のセキュリティパッチを適用する」「不要なサービスや機能は無効化しておく」こと。システムの弱点や外部に対する入り口は極力少なくして、攻撃者につけ入る隙を与えないようにするためだ。

添付ファイルのチェックを
　メールサーバについては、添付ファイルのチェックを行い、拡張子が.exe、.bat、.pifといったウイルス／ワームの配布によく使われる添付ファイルは削除するなど、社内ネットワークへの侵入を防ぐようにすること。ただし、業務でひんぱんに添付ファイルを使用しているような環境では、ルールの変更や代替手段の用意など、対策を実施するための前準備が必要になるだろう。

　またクライアント側では、メールに添付されているファイルを不用意に開いたり実行したりしないように教育していかなければならない。必要に応じて、テスト用のファイルを添付したメールを社員全員に送信、添付ファイルが開かれなかったかどうかをテストし、セキュリティに対する意識を改めてもらうのも有効だ。


　一方、ウイルス対策ソフトでも0dayアタックへの対応が可能である。「ヒューリスティック・スキャン」をサポートするウイルス対策ソフトを導入することだ。ヒューリスティック・スキャンとは、ウイルスの行動パターンを推論して検知する手法のことを指す。ヒューリスティック・スキャンによるウイルスの検出方法は2種類ある。

　1つは、スタティック・ヒューリスティック・スキャン。ウイルスが自分自身をコピーしたりファイルを置き換えたりする際のコードをパターンファイルに登録しておき、検査対象ファイルとパターンファイルに登録されたコードを比較することで検知を行う方法だ。通常は、単純にコードを比較するだけではなく、行動パターンごとに重みづけを行い、一定の重み以上のファイルをウイルスとして検知するといった工夫がなされている。

　もう1つは、ダイナミック・ヒューリスティック・スキャンという。これは、ウイルスに感染したファイルをサンドボックス（＊2）と呼ばれる隔離された環境で仮想的に実行し、その行動パターンからウイルスの検知を行う方法だ。仮想的に実行するため、高い確率でのウイルス検出が可能だとされている。

　これまでのウイルス対策ソフトは、パターンファイルに記されたウイルスやワームの特徴と検査対象のファイルを照合し、特徴の一致を見つけるとそのファイルがウイルスに感染していると判断する。そのため、既存のウイルス対策ソフトは、パターンファイルに登録されていない新種のウイルスは検知できなかったが、ヒューリスティック・スキャンの場合は、ウイルスの行動パターンを推測して検出するため、新種のウイルスにいち早く対応することが可能だ。

　現在、多くのウイルス対策ソフトがヒューリスティック・スキャンに対応しているが、今一度利用しているウイルス対策ソフトのサポート状況を確認しておくといいだろう。



（＊2） サンドボックス
砂場（sandbox）が語源。システム的に制限された環境でプログラムを動作させることで安全性を高める技術、またはその環境を指す。