私がパソコンを使い始めた頃は、クライアントのセキュリティを気にする人はほとんどいませんでした。
インターネットに接続されるPCも少なく、ウイルスやマルウェアの動作も今から考えれば単純で、
長期間潜伏して、データを破壊するような悪質なものも少なく、ほとんどが愉快犯によるものであったように記憶しています。
今回の話とは異なるのですが、攻撃者が攻撃によって儲ける手段を見つけたことで、攻撃手段と結果がどんどんエスカレートしているように思います。
マルウェアによるシステム停止がこうも相次いで起こると、昔のSFで、悪の科学者によって正義の組織のシステムがハッキングにより完全に掌握されるという話がありましたが、なんとも現実的に思えてきます。
クライアントOSの標準機能として、ファイアウォール機能が搭載されたのは、2004年のことです。
Windows XP Service Pack 2により提供されました。
端末をリモートコントロールするような仕組みがいろいろあり、
SKYSEA Client Viewも管理コンソールと管理対象端末が直接通信を行うこともありますし、クライアントからサーバーと通信を行うこともあります。
Microsoft以外から提供されているウイルス対策ソフトウェアにも同様の機能が搭載されていて、 世界中の多くのPCについては、おおむねOS標準のファイアウォール機能によって、通信を制限されているか、 サードパーティ製のファイアウォール機能によって通信を制限していることが多いです。
ファイアウォール機能は大きく二つの機能に分けられます。
一つは通信の受信を制限することです。
脆弱性のあるソフトウェアが動作していたとしても、
そのソフトウェアが外部からの通信を受信することがなければ、攻撃者はネットワークを利用して攻撃を行うことができません。
もう一つは、通信の発信を制限することです。
たとえば、情報を盗み出すマルウェアが存在したとして、
不審なサーバーへの通信を禁止しておけば、情報が盗み出される心配はありません。
この観点から、領域全体の通信を制限し、情報の安全を守るという発想で運用されているシステムは、世の中に多数存在しています。
SKYSEA Client Viewは管理コンソールとサーバーが、管理対象端末と通信することでその機能を実現しています。
しかしながら、利用組織の環境では、先の理由から諸々の通信が制限されていることがよくあります。
中でも厄介なのが、このクライアントOS向けのファイアウォールの仕組みです。
一例をあげましょう。
SKYSEA Client Viewには、通知のためにメールを送信する機能がありますが、
「メールが送信されません」とお問い合わせをいただくことがありました。
こういう時に、「何かのファイアウォール機能によって、通信が阻害されていませんか?」と尋ねると、
「そんなことはないです。だって別の○○○というアプリケーションからの通知メールは届いていますし、そもそもメールクライアントでメールの送受信ができていますよ」とおっしゃいます。
残念ながら、クライアント向けのファイアウォール製品はこれだけでは切り分けになりません。 というのも、クライアント向けのファイアウォール製品はその特長として、プログラムの単位で通信の禁止・許可を行うことができます。
以下は、代表的な設定項目です。
クライアント向けファイアウォール機能の設定の項目例
| 項目 | 説明 |
|---|---|
| 受信/送信 | 受信を許可するのか、送信を許可するのかを設定します。 |
| プログラム | 対象のプログラムを指定します。 |
| 発信元/送信先 | 許可対象の発信元、もしくは送信先を指定します。 |
| ポート番号 | 利用する通信ポート番号を指定します。 |
したがって、あるプログラムで通信ができる、ということが設定上問題がない証拠にはならないのです。
実際に設定を探してみてプログラム単位で通信の制限の設定をされていることを確認いただくまで、なかなか信じてもらえないこともよくありました。
多くの組織では、ファイアウォール機能を適切に用いているので、これらを突破して攻撃することは困難だと言っていいでしょう。
とはいえ、きちんと設定されていないと、マルウェアが拡大感染していつのまにか大変なことが起こるということも実際に起きています。
今後も、運用が重要な機能には違いないでしょう。
