« Intel製品のライフサイクル | Main | リアルなメイドさんを中国で雇ってみた »

2006.08.15

セキュリティホールはウィルス対策ソフトで防げるか

毎月第2火曜日の翌日はマイクロソフトセキュリティ情報の公開日で、今月もセキュリティ情報が公開されています。
マイクロソフトでは4段階で深刻度を定義していますが、「緊急」はインターネットに接続しているだけでコンピュータに侵入され、好き放題されてしまうという一番深刻なパターンです。
今回も2006年7月と同じく最上位の「緊急」レベルのものがいくつかありますから、早急にパッチを適用する必要があります。

では、なぜこういった現象が起こるか、というと、ほとんどはバッファオーバーフローが原因です。
「未チェックのバッファ」「スタックオーバーフロー」「バッファオーバーラン」という表現があれば、バッファオーバーフローとほぼ同義ですから、ネットワーク系のサービスでバッファオーバーフローが発生した場合、インターネット経由でコンピュータに侵入されてしまう可能性がある、ということになります。

では、ウィルス対策ソフトやインターネットセキュリティ対策ソフト(以下ウィルス対策ソフト)が入っていれば防げるか、というと、防ぐのは難しいです。
現行のウィルス対策ソフトは左の図のように

Bufferoverflow_virus
  • ウィルスチェックドライバ
  • ファイアーウォール
  • メール/webスキャン

などのモジュールから構成されていますが、ファイアーウォールはネットワークサービス単位(=ポート単位)のガードを行うことが一般的なため、サービスを外部に公開する場合は、そのサービスはむき出しの状態になります。
このむき出しのサービスはウィルス対策ソフトの検知対象外となるため、バッファオーバーフロー脆弱性が該当のサービスに見つかった場合、対策はパッチを当てるのみ、ということになります。

また、ウィルスチェックドライバはメモリのチェックは行わず、あくまでもファイルのチェックを行うのですが、該当のファイルにバッファオーバーフロー攻略プログラムが含まれるかどうか、は開くアプリケーションごとに処理が異なるため、チェックが困難です。
例えば、JPEGファイルを開くアプリケーションにバッファオーバーフローが見つかった場合、JPEGファイルに攻略プログラムを仕込んでユーザ権限を乗っ取ることが可能ですが、こういった場合はパッチを適用する以外の対策はありません。

今後、ファイアーウォールがインテリジェント化してIDS/IPSの機能を持ったりするかもしれませんが、ネットワークの全パケットをチェックするのはパフォーマンスとのトレードオフですから、デュアルコア、マルチコアが一般的にならないと厳しいかもしれないですね。

ということで、ウィルス対策ソフトも定常的に更新を行っても万能ではありませんし、Windows XP SP2やWindows Server 2003ではIntel64(EM64T)やAMD64のデータ実行防止機能を利用したハードウェアDEPも使えますが、データ領域にプログラムを記述する必要のある環境ではガードできないため、100%の安全性が確保できるわけではありません。
結局、パッチが出たら動作検証した上で利用環境全体に適用する、というのが妥当ですね。

今日の夕飯:丸亀 サバ味噌煮定食 ¥800
明日の夕飯はいつもの店が定休日で休みのためピンチです...コンビニサラダにするかな(笑)

|

« Intel製品のライフサイクル | Main | リアルなメイドさんを中国で雇ってみた »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



TrackBack

TrackBack URL for this entry:
http://app.cocolog-nifty.com/t/trackback/27186/11441823

Listed below are links to weblogs that reference セキュリティホールはウィルス対策ソフトで防げるか:

« Intel製品のライフサイクル | Main | リアルなメイドさんを中国で雇ってみた »