専門家は、Windows 7は古いソフトウェアの脆弱性を狙った攻撃を防ぐためのセキュリティが強化されていると認めています。しかし、金銭目当てのオンライン詐欺師が、あなたのPCにマルウェアをダウンロードするよう仕向けてきたらどうなるでしょうか?
「Windows 7はより安全で、アップグレードは大きな改善です」と、ソフトウェアメーカーSophosのシニアセキュリティアドバイザー、チェスター・ウィズニエフスキー氏は語る。「しかし、マルウェアの侵入を阻止できるわけではありません。」
エクスプロイトが打撃を受ける
デジタル犯罪者は、PCにマルウェアをインストールするために、一般的に2つの戦術を用います。エクスプロイトは、多くの場合、Webページ(多くの場合、ハッキングされているものの、それ以外は無害なサイト)に隠された攻撃コードの断片という形をとります。ユーザーがそのページを閲覧すると、エクスプロイトはWindowsまたはAdobe FlashやQuickTimeなどのサードパーティ製プログラムのソフトウェア上の欠陥を探します。欠陥が見つかった場合、エクスプロイトは攻撃の痕跡を一切残さずに、密かにマルウェアをインストールします。
一方、ソーシャルエンジニアリング攻撃は、ユーザーを騙して、便利なプログラムや動画を装ったボットマルウェアをダウンロード・インストールさせようとします。中には複数の戦術を組み合わせた攻撃もあります。例えば、詐欺師が添付されたPDFファイルを開くよう促すメールを送信し、そのファイルに埋め込まれたエクスプロイトを起動させてAdobe Readerの脆弱性を悪用しようとするケースなどです。
Windows 7のセキュリティ強化は、ソフトウェアの欠陥を狙う多くの攻撃を防ぐのに役立つ可能性があります。かつてInternet Explorer(IE)ユーザーを悩ませていたActiveX攻撃は、IE 8の保護モードによって「ほぼ消滅する」可能性があると、Rapid7の最高セキュリティ責任者であり、テストツールMetasploitの開発者であるHD Moore氏は述べています。
難解な響きを持つアドレス空間レイヤーランダム化(ASR)は、コンピューターのメモリ内で実行中のプログラムの脆弱性を攻撃者が発見することを困難にします。関連するデータ実行防止(DEP)機能は、発見された脆弱性を悪用する攻撃を阻止しようとします。
「特にこの2つは非常に大きな影響を与える可能性があります」とウィズニエフスキー氏は言う。とはいえ、ASLRとDEPはWindows 7ではVistaよりも多くのプログラムを保護できるように拡張されているものの、すべてのアプリケーションをカバーしているわけではない。
Vista は XP より安全ですか?
その影響の大きさを知るには、Vistaがマルウェアに対してどのような対策を講じたかを見てみましょう。Microsoftの最新のセキュリティインテリジェンスレポートは、Windows 7のリリース前の2009年上半期を対象としています。このレポートは、Microsoftが一般的なマルウェア感染に対抗するために自動更新で配布している悪意のあるソフトウェアの削除ツールのデータに基づいています。このデータによると、最新のVista搭載コンピュータの感染率は、最新のXPシステムよりも62%低かったことが示されています。
もちろん、Vistaユーザーは平均的にテクノロジーに精通しているため、マルウェアの被害に遭う可能性が低い可能性もある。Microsoftがレポートに含めていないXPとVistaのサンプル数も、統計に歪みをもたらしている可能性がある。
しかし、ソフォスのウィズニエフスキー氏は、ASLRとDEPも要因の一つだと考えています。これらの機能はWindows 7で拡張されているため、今後も効果が続くと期待できます。
「この状況がすぐになくなるとは思えません」とムーア氏は言う。犯罪者たちが新しいOSを狙って悪事を働く方法は数多くあり、今後もそうあり続けるだろうと彼は指摘する。しかし、「確かにハードルは上がる」とムーア氏は言う。
プログラムではなく人をハッキングする
Windows 7では、エクスプロイトベースの攻撃は実行が困難になっているかもしれませんが、ソーシャルエンジニアリング攻撃はこれまで以上に危険です。また、理論上はそれほど煩わしくないユーザーアカウント制御は、不正なダウンロードを無効化する効果はほとんどありません。
10月、ソフォスはWindows 7とUACがマルウェアをどのように処理するかを検証するテストを実施しました。まず、テスターはラボに持ち込まれた最初の10個の悪意のあるソフトウェアサンプルを入手しました。次に、UACをデフォルト設定にし、ウイルス対策ソフトをインストールしていない新品のWindows 7マシンでこれらのサンプルを実行しました。
2つのサンプルはWindows 7では全く動作しませんでした。しかし、UACのデフォルト設定では、1つのサンプルのみがブロックされ、7つのマルウェアがそのまま読み込まれました。
Sophosのテストは2つの点を浮き彫りにしています。まず、Wisniewski氏らによると、UACはマルウェアをブロックすることを目的として設計されているのではなく、プログラマーが特別な権限を必要としないソフトウェアを作成することを奨励するために設計されているため、保護機能としてUACに頼るべきではないということです。
第二に、悪意のある人物がトロイの木馬をダウンロードさせようとした場合、ASLRやDEPは意味をなさない。IE 8のSmartScreenフィルターや他のブラウザの同様の機能は既知の悪質なマルウェアをブロックするかもしれないが、マルウェアの世界はそれよりも広大だ。
ソーシャルエンジニアリングの手口には、乗っ取ったソーシャルネットワークアカウントを使ってそのアカウントの所有者の友人にマルウェアを仕込む、友人を撮影したとされる動画へのリンクを送信する、Twitterでよく使われるような短縮リンクに不正なURLを隠すといったものが含まれます。(こうした危険性の詳細については、「11の隠れたセキュリティ脅威を阻止する方法」をご覧ください。)
コーデック ファイルのインストールを指示するビデオ (実際にはマルウェアのダウンロードに誘導する) や、同僚から送信されたように見える電子メール メッセージに添付された偽の文書など、他のよくある詐欺も加えると、Windows 7 ユーザーが警戒を解くことができない理由が明らかになります。
