最終更新日：2001年12月 17日

情報セキュリティセミナー 各会場における質疑応答（Ｑ＆Ａ）

ウイルス対策関連

Q1. ウイルスがWebサイトからアドレスを取得する方法は?
A1. 登録アドレスとWebキャッシュのファイルなどから取得する。

Q2. 市販のワクチンソフトが何種類もあり、迷ってしまうのだがどのワクチンソフトがいいのか教えて欲しい。
A2. 特にどこのメーカがお薦めということはない。市販のワクチンはいずれも定義ファイル更新等もきちんとされているので、どこのメーカでも問題ない。使い勝手等、個人の好みで、選択いただくことで問題ない。

Q3. Macでは新しいウイルスがでていないという話だったが、スクリプト系のものも問題ないのか。（Mac上でOutlookなどが動く環境下では、素人的には影響を受けそうな気がするが）
A3. Macそのものに感染するものは最近発生していない。スクリプト系のものについても今後新しいウイルスが発生する可能性はあるが、既存のものでMacに感染するものはない。

Q4. ウイルス，ワームなどで被害者から加害者になった場合、損害賠償を求められるケースもあるとなっているが、実例はあるのか。
A4. 実際に訴訟を起こされたケースはまだないが、今後の可能性としては考えられる。

Q5. １台のPCに複数のワクチンソフトを入れて運用した方が安全なのか。
A5. 複数のワクチンソフトを同居させるとPCが正常に動作しない可能性がある。クライアントPCへのワクチンは1種類で十分である。サーバとクライアントで違うメーカのワクチンを利用することは有益である。

Q6. ウイルスをばら撒いてしまった場合に、損害賠償になった例は?
A6. 法的な問題は専門外ではないのでお答えできない。弁護士に相談して欲しい。

Q7. 感染しても実害のないウイルス（Happy99等）の危険性をエンドユーザに伝えるにはどのようにしたらよいか。
A7. Larouxのように感染しても実害が見えないウイルスでも、駆除後プリンタが正常に動作しなくなる等、思わぬところに影響がでるケースもある。また、実害を与える亜種を作成することは容易なので、オリジナルは実害のないウイルスだとしても同様に対策を施すことが必要である。

Q8. WORD等をMacで利用している場合、マクロ自体はWindowsと共通だと思うが、本当にMacはマクロウイルスに感染しないのか。
A8. マクロを利用してMac用のウイルスを作成することは可能だが、Windows用のウイルスがそのまま感染する例は確認されていない。

Q9. IPA/ISECとして法的整備の面で活動していることはあるか。
A9. 活動していない。

Q10. プレビューで添付ファイルを開いてしまうということはどういうことなのか。HTML形式のメールを使えないようにメーラーの設定を行えば良いのか。
A10. セキュリティホールを利用して添付ファイルを自動実行するということなので、セキュリティパッチをあてることで対応できる。

Q11. HTML形式のメールの方がテキスト形式に比較して危険なのか。
A11. HTML形式ではスクリプトの実行やファイルの自動ダウンロードなどがあり、一般にテキスト形式の方が安全といえる。

Q12. 社内でセキュリティ対策のためにWEBメールに切り替えるという話がでているが、WEBメールはふつうのメールより安全といえるのか。
A12. 添付ファイルに関する危険性は同じである。サーバで集中的に管理が可能なので、ウイルスチェック等の対策を行い易い面はあるかもしれない。

Q13. HTML形式のメールの場合、開いただけでウイルスに感染することはあるのか。
A13. 感染の可能性はある。クライアントにワクチンを常駐させておき、受信時にチェックすることが必要である。

Q14. Nimdaがメールできた場合、見ただけで感染するというのはマクロによるものなのか。
A14. マクロ機能は関係ない。Internet Explorerのセキュリティホールを利用して感染する。

Q15. NT/IIS4.0のWEBサーバがNimdaに感染し、駆除を行ったが、その後ホームページがうまく稼働しない。システムそのものやコンテンツにも影響するのか。（再構築の際、コンテンツを作り直す必要があるのかどうか）
A15. 感染後、いろいろなファイルにも感染するので、最終的にはクリーンインストールが必要である。HTML形式のファイルにも感染するので、ウイルスのチェック後バックアップから戻す必要がある。

Q16. ウイルス対策を考えた場合、IPAとして推奨のメールソフトはありますか？
A16. 特にどのソフトがお薦めということはないが、マイクロソフト製品を対象としたウイルスが大多数なので、他社のメーラー，ブラウザを利用することもウイルス対策として有効な手段の１つである

Q17. 新種のウイルスに感染しないようにはできないのか?
A17. 新種のウイルスに関しては、情報収集してウイルス定義を頻繁に更新する。

Q18. ウイルス更新は大抵のワクチンベンダーは1回/週の更新では?
A18. 例えばNimda等への対処時には毎日(最高1日数回)更新された例もある。

Q19. ウイルスのデモプログラムがほしい
A19. 一部ウイルスのコードを含むため難しい。CD-ROMのデモで代替してほしい。

Q20. IT講習会において、セキュリティ対策を盛り込むべきではないか。
A20. 経済局より経済省に伝える。

Q21. ウイルスによる症状と判断するための簡単な方策はないか。
A21. ウイルスワクチンソフトを利用する。全くの新種でない限り対応している。

Q22. 研修にセミナー資料を使用したい。
A22. 出典を明記すれば利用・配布は自由である。

Q23. バックアップをとることの必要性はわかるが、大容量で困っている。どうすればよいか。
A23. バックアップはＨＤそっくりではなく、データを対象として行う。アプリケーション等はすでにオリジナルＣＤがありバックアップされているのと同じである。データだけを、一カ所に集めておき、またそれらの内で頻繁に書き換えるものを、バックアップする。

Q24. バックアップデータがウイルスに感染しているかもしれないといった場合どのようにすればよいか。
A24. バックアップをとる際にワクチンで検査することは基本であるが、バックアップから戻すときに、検査を行うことで対応できる。ウイルス感染が検出された場合は、その当該ファイルを除いて、他の感染が無いことが確認されたものだけを戻す。感染ファイルは、ウイルス駆除ができれば、もどすことができる。

Q25. ＨＤ等が大容量のためワクチン検査に時間がかかるので、検査を毎日、頻繁に行うことはつらい。どうすればよいか。
A25. 検査対象ファイルの設定等を行って省力化、効率化をはかることが考えられる。但し、週末に一回ぐらいは、バックアップ等をとると思われるので、そのときには、全数検査なども併せて実施することなどがよいと思われる。

Q26. ワクチンサーバのような製品はあるのか？
A26. ワクチンベンダー各社より発売されている。

Q27. ウイルスなどの発信者をSMTPサーバ等のログから特定できないか？
A27. アドレスを詐称されていることもあるので難しい。

Q28. メーラーのせいか、ウイルス付きのメールはSubjectが文字化けしていることが多いが、なぜ？
A28. ヘッダに半角文字が入っている等が原因だと思われるがいずれにせよ不審なメールは開かないほうがよい。

Q29. 届け出件数は地方別に分類したものなのか？
A29. 全国である。IPAのWebでは地方別も掲載している。

Q30. ここ数日、本文が空などの変なメールが届くが、ウイルスか？
A30. ウイルスの可能性が高い。IPA/セキュリティセンターのWebに詳細があるので確認してみてほしい。

　

不正アクセス対策関連

Q1. どのようなサイトを信頼したらよいのか?
A1. ベンダーのサイトなどが一例だが、最終的には自己責任で信頼である。

Q2. セキュリティホールを埋めるとは、具体的には何をすればよいのか?
A2. OSやアプリケーションに対してパッチを適用する。

Q3. 完全性保護対策のところで述べられたアプリケーションは何か？
A3. 例えば、Tripwireなどである。UNIX版はフリー版と商用版、NT版についても商用版がある。

Q4. ファイアーウォールを勉強するのに良い書籍は?
A4. O'REILLYの黄色い本などは有名である。

Q5. 不正アクセスの分類は今後増えていくのか?
A5. どこまでを不正アクセスと捉えるのかという定義の問題である。

Q6. IE や Outlook/Outlook Express など MS 社製品に付いての話が多かったが、メーラーとして他のものを使えばセキュアなのでは?
A6. 利用者が多いので MS 社製品に関係する話が多くなった。確かに、(社内ルールなどで)可能なら他のメーラーを使うというのも一つの選択肢だが、要はきちんと対策することが大切である。日常的な運用，サポートとセキュリティ対策を含めて組織として運用しやすい方式を決めていく必要がある。

Q7. 中小企業でセキュリティ担当者がいない場合、データセンターなどにアウトソースすればよいのか。
A7. 全くいないというのも問題である。アウトソースするにしても業者選定などの判断が出来る程度にセキュリティを勉強した担当者は必要である。セキュリティ管理のプロセスで必要な人的リソースが自前で確保できない場合にはアウトソースするというのも一つの選択肢である。

Q8. 不安定な Windows にパッチを当てることで更に不安定になる恐れは?
A8. 業務で使う PC であれば、テスト機でパッチのテストをすると良い。

Q9. IDS は高価だが、IDS はどのくらい使われているのか? 
A9. IPA では正確な統計を取っていないが、導入企業も多いと考える。

Q10. 自分宛のメールの内容や公開前のWEBコンテンツの内容を送られてくることがあり、何かツールを埋め込まれたのではないかと心配である。どのような対策をとるべきか教えて欲しい。
A10. まずはお使いのパソコンの再インストール（クリーンインストール）を行い、バックドアを埋め込まれた可能性を排除することとプロバイダ(ISP)などのパスワードの変更をお薦めする。

Q11. ダイアルQ2等に接続されて多額の支払いを請求された場合、払う義務はあるのか？
A11. 法律的な部分はIPAの範疇ではないが、サイトによっては法律上ユーザが負担することに同意させる記述がこっそり書いてある場合もあるのでユーザが気をつけることが大事である。

Q12. ECサイト等の安全性をユーザが確認できるようなセキュリティの基準のようなものはあるか？
A12. 標準としてのBS7799やISO/IEC17799等や、JIPDEC(財団法人 日本情報処理開発協会)によるプライバシーマークやECOM(電子商取引推進協議会)のオンラインマーク等もあるが厳密にECサイトの安全性を認定するようなものではない。

Q13. CodeRed等に感染しているサイトへは注意連絡をすべきか？
A13. IPアドレスから相手会社を特定し、連絡することは可能だが、その相手も被害者である可能性もあるので、相手を中傷するようなことにならないよう気をつける必要はある。

Q14. IPAがそのようなサイトのリストを作り注意を行うようなことはしないのか？
A14. 非常に難しい問題であり、現在のところその予定はない。

Q15. セキュリティ情報を網羅・概観することのできる情報を出してほしい。
A15. 緊急対策情報や脆弱性情報などは拡充の方向にある。しかし公的な機関が出す以上、検証・確認が必要であるなど、公的機関が出すのは難しい情報もある。

　

Q1. IPAからシステムの脆弱性をチェックするツールを提供してもらえるような計画はないか？
A1. 現在NISTが提供しているようなサービスに、今後IPAとしても取り組んでいきたいと考えている。今年度の計画として、脆弱性のデータベースの構築，情報提供を予定している。

Q2. IPアドレスを偽ることは可能なのか？
A2. IP spoofing等、IPアドレスを偽るのは技術的に可能である。ISPでIPアドレスをチェックして正規のアドレスしか通さない（加入者回線からはそのISPで管理しているIPアドレスしか通さない）ような設定にすると比較的安全なネットワークサービスが提供可能となるが、全てのISPが対応するのは現実的に困難である。

　

Q1. インシデントハンドリングに関する書籍は日本では殆どないと思うが、何か良いものはないか？
A1. 参考書籍が日本では限られているのは事実だと思う。IPAでRFCの翻訳をWEBで公開しているが、RFC2196「サイトセキュリティハンドブック」の第５章「セキュリティインシデントへの対処」が参考になると思う。

Q2. インシデント発生後の復旧方法としてクリーンインストールを推奨しているが、被害にあったマシンから、特定のデータを吸い上げなければならないケースもあり、実際には困難なのでは？何か他にいい方法はないか。
A2. 確実な方法はクリーンな環境から再インストールするしかない。フルバックアップも含めて、日常の運用管理のなかで、バックアップをとる仕組みを整備していくことが大切である。部分的な修正よりも、信頼性を考えればフルインストールがお薦めである。

以上

変更履歴

2001年12月 6日   掲載。

Copyright (c) 2001 Information-technology Promotion Agency, Japan. All rights reserved.