感染メールの件名から「Here You Have」という愛称で親しまれているワームが、急速に世界的なマルウェア攻撃へと拡大しました。ユーザーを悪意あるリンクをクリックさせる、シンプルで分かりにくいメールの有効性は、マルウェア対策に全く新しいアプローチが必要であることを如実に示しています。
件名がデジャブに聞こえるなら、それはあなたが長年メールを見てきたからでしょう。2001年に世界中に蔓延したアンナ・クルニコワ・ウイルスも、全く同じ件名を使っていました。それからほぼ10年が経ち、2001年に成功したのと基本的に同じ攻撃が、再び世界中の何万台ものコンピューターを危険にさらしています。
マカフィーの広報担当者が私に連絡を取り、この脅威について簡潔に説明してくれた。「この脅威は電子メールで届き、PDFファイルへのリンクを装ったリンクが含まれていますが、実際には悪意のあるプログラムにリンクされています」。さらに、「リンクをクリックしてマルウェアを起動すると、ワームはセキュリティソフトウェアを無効化し、ユーザーのアドレス帳に登録されているすべての連絡先に自身を送信しようとします。その結果、組織の電子メールインフラは大量の電子メールによって機能不全に陥る可能性があります」と付け加えた。
シマンテックの広報担当者は、この脅威から身を守るための賢明なアドバイスを提供しています。「コンピュータユーザーは、ベストプラクティスを念頭に置き、ウイルス定義を最新の状態に保ち、メール内のリンクや添付ファイルをクリックしないようにする必要があります。ネットワーク管理者は、.VBS、.BAT、.EXE、.PIF、.SCRファイルなど、ウイルスの拡散によく使用される添付ファイルを含むメールをブロックまたは削除するようにメールサーバーを設定することをお勧めします。今回のケースで使用されたファイルは、.SCRファイルです。」
今は2010年、いや、もうすぐ2011年です!たとえ自分の母親から送られてきたと謳っていても、難解なリンクや添付ファイルをクリックするように促す、言葉遣いの悪いメールは必ず迷惑メールだということを、ユーザーはもう知っているべきではないでしょうか?IT管理者やセキュリティ管理者は皆、ネットワークやメールゲートウェイを設定して、実行ファイルの添付ファイルをフィルタリング・ブロックするべきではないでしょうか?
これらは修辞的な質問であり、答えはどちらも「イエス」です。つまり、10年近くも標準として説かれてきたセキュリティのベストプラクティスでさえ、このような初歩的な攻撃からネットワークを保護するには不十分であるため、新たなマルウェア防御戦略を導入する時期が来ているのかもしれません。
代替案の一つとして、攻撃者に先制攻撃を許し、その後、それを検知・防御するために必要なマルウェアシグネチャの開発・導入を急ぐという、事後的で防御的なセキュリティ体制から転換することが挙げられます。組織は、Windows 7に付属するAppLockerなどのツールや、McAfee Application Controlなどのサードパーティ製ユーティリティを活用することで、このモデルを転換し、実行を許可するものを定義するプロアクティブで攻めの戦略を採用することができます。これは、実行できないものをブロックするのではなく、実行を許可するものを定義する戦略です。
公平を期すために言うと、これが唯一の選択肢ではありません。しかしながら、実質的に10年前の攻撃が依然として成功し、セキュリティ専門家が推奨する対応策が10年前から存在する標準的なセキュリティ対策の遵守である場合、そのセキュリティモデルには欠陥があり、何らかの形で進化する必要があると言えるでしょう。
