2011年には、参議院など政府関連組織への標的型攻撃が話題となりました。2012年になっても2月に特許庁内の端末でトロイの木馬型ウイルスの感染が見つかるなど、今年も標的型攻撃が継続して行なわれることが予測されます。標的型攻撃では、通常のウイルスと比べ、アンチウイルスソフトでの検出が難しいため、ユーザー自身のリテラシの向上が重要になることをこの連載の第19回 でも紹介しました。
今回と次回、次々回の3回では、そこからさらに一歩踏み込んで、アンチウイルスソフトで検出できず、万が一自分のPCがウイルスに感染した場合に、「Windows Sysinternals」というソフトウェアを使ってウイルスやスパイウェアを見つける方法を紹介したいと思います。
Windows Sysinternalsとは?
Windows Sysinternalsは、Windows上でプロセスの挙動やファイルアクセスの状況などを調べるためのツール郡です。Linuxであれば、psコマンドやlsofコマンドなどがOS標準で使うことができますが、WindowsにはOSにこうした機能はありませんので、Sysinternalsを使い実現します。
Sysinternalsは、Windowsの専門家であるマーク・ルシノビッチ(Mark Russinovich)氏が1996年にブライス・コグズウェル氏と創業したウィンターナルズ・ソフトウェア(Winternals Software)から提供されていたツールです。同社は2006年に米マイクロソフトに買収されたため、現在ではマイクロソフトから提供されています。Sysinternalsでは60を超えるツールが提供されていますが、その中からウイルスやスパイウェアの発見に役立つ3つのツールに絞って紹介したいと思います。
ウイルスやスパイウェアは検出されていないけれどPCの挙動がおかしいと感じるような場合は、これから紹介する方法で一度調べてみるとよいでしょう。
自動起動の情報からウイルスやスパイウェアを探る
多くのウイルスやスパイウェアでは、ユーザーが手動で実行された時だけでなく、OSが再起動された場合もプログラムが実行されるように自動実行を仕込みます。自動実行については、この連載の第16回でも解説しましたが、今回はSysinternalsの「Autoruns for Windows」というツールを使って見つける方法を紹介したいと思います。OSの起動時やログイン時に怪しい挙動が見られる場合に有効な方法です。
Autorunsは、その名前の通り自動実行される設定となっているプログラムの一覧を表示してくれるツールです。
この画面だけを見ても、問題のあるプログラムを見つけるのは難しいと思います。簡単に見つけるには、正常な状態の時に一度スタートアップの情報を保存し、それと比較する方法があります。スタートアップ情報の保存はメニューの「File」-「Save」、比較は「File」-「Compare」で行なえます。比較すると、差分の部分が緑色で表示されるので、正常時と比べて追加された部分が一目瞭然です。
正常時の情報を用意していなくても、時間はかかりますが調べる方法はあります。Autorunsには、それぞれの自動起動の有効無効設定をチェックボックスから切り替える機能があります。これで怪しいプログラムの自動起動を無効にしてようすを見るのです。
では、どれが怪しいプログラムなのでしょうか。注目すべきは「Publisher」の項目です。ここが空欄のプログラムは、デジタル署名がされていないことを意味しています。もちろんデジタル署名がされているウイルスも世の中には存在しますが、まずはされていないプログラムから疑っていく方が合理的でしょう。デジタル署名のないプログラムの行は、ピンク色で表示されるので、これも非常にわかりやすいです。この際に、Image Pathが"File not found"と記載されているものは、ファイルの実体がないためにデジタル署名もない状態と考えられますので、これについては無視しても構いません。
デジタル署名がないプログラムを外しても挙動が代わらない場合は、Image Pathを見ながらインストールした覚えのないプログラムを順番に外していき、少しずつ挙動を確認することになります。
筆者紹介:富安洋介
エフセキュア株式会社 テクノロジー&サービス部 プロダクトエキスパート
2008年、エフセキュアに入社。主にLinux製品について、パートナーへの技術的支援を担当する。

この連載の記事
-
最終回
TECH
セキュリティの根本はインシデントに備えた体制作りから -
第54回
TECH
マルウェア感染の被害を抑える「転ばぬ先の出口対策」 -
第53回
TECH
マルウェア感染を発見した際の初期対応 -
第52回
TECH
ついに成立したサイバー刑法に懸念点はないか -
第51回
TECH
施行されたサイバー刑法における「ウイルス作成罪」の内容 -
第50回
TECH
サイバー刑法が過去に抱えていた問題点 -
第49回
TECH
ウイルス作者を取り締まるサイバー刑法ができるまで -
第48回
TECH
医療ICTの今後の広がり -
第47回
TECH
重大な情報を扱う医療ICTのセキュリティ対策 -
第46回
TECH
医療ICTの柱「レセプト電算処理システム」の仕組みと問題 -
第45回
TECH
医療分野で普及が進む電子カルテシステムの課題 - この連載の一覧へ