2007年6月2日 更新
Windowsのセキュリティ維持
このページの更新記録
2007年 6月 2日
対ウイルスソフトにNorton 360、Windows Live OneCareを追加。
2007年 4月10日
Windows XP x64 SP2情報を加筆。x64 Edition用にNOD32を追加。
2006年以前の更新記録は削除。
2001年12月 1日
このページを新規開設。
Windowsパソコン使っているんだけど、セキュリティは大丈夫かな?
Windows に限りませんが、コンピュータをネットワークにつないでいる限り、外部からも通信が出来る状態になっています。そのため、たった一ヶ所でもセキュリティのもろい部分があれば、そこから侵入されてしまいます。
特にWindowsは、ほとんど何もしなくてもネットワークに繋がるように設計されているため、標準状態では侵入し放題となっています。これはマイクロソフトの設計ミスなのですが、こんなぜい弱なシステムなため、逆に少しでも防御をしているコンピュータはあまり狙われることがありません(他の未対策のコンピュータを探せばいいだけですから)。よって、基本的な対策さえ怠らなければ、十分に安全だと言えるわけです。
セキュリティの確保は、破る側と防ぐ側のいたちごっこです。ここに書いてある対策は、執筆から2週間程度の間は効果があると言えますが、それ以降も有効であるという保証は出来ません(新しいバグや攻撃方法が見つかるから)。そのため、少なくとも一ヶ月に1度はセキュリティ情報の見直しと、再対策を行う必要があります。
セキュリティ対策なんて、しなくちゃならないの?
家を建てるとき、ドアに鍵を付けますよね。コンピュータをネットワークに繋ぐときも同じで、不用意に侵入されないように鍵をかける必要があります。と、ここまではみなさん判っていますよね。
しかし、コンピュータにかけられた鍵は、使用個所や使用回数が極めて多いです。一般的な家庭用やビジネス用コンピュータで、1日に数千回〜数百万回使っています(今見ているページを表示するだけで10個以上の鍵を開けています)。そして、実際の家の鍵に対する新型ピッキング開錠のような新しい侵入技術が、毎日のように生まれています。これが「セキュリティホール」とか「脆弱性」とか呼ばれているものです。
これらに対抗するために、コンピュータのセキュリティ対策は継続的に行う必要があるわけです。家の鍵でも、ピッキング対策ツールとか付けたりしますよね? コンピュータの場合は、その対策のためにソフトウェアの変更、更新を行うわけです。
頻繁にセキュリティ対策を行わないといけない理由はあと2つあります。まず、犯罪者は、完全に無作為に侵入対象を選びます。たとえば、インドとかフランスなどからも、たまたま日本のコンピュータに侵入するなんてことはよくあります。ですから、世界中のどこかでセキュリティホールが見つかったら、その対策が必要になるわけです。
最後の理由は、空き巣との大きな違いです。ある家に侵入してから数秒後には隣の家に侵入を開始するという速さです。1日に100万台以上に侵入するような攻撃性の強いものもあります。
一応追記しておくと、法律が改正されたため、無知や過失により踏み台にされて、他者に被害を与えた場合でも、罰則が付くことになりました(罰金や懲役。前科者になります)。知らなかったでは済みませんのでご注意を。
最初に行う対策(無料で行えます)
前提条件として、Windows 95、98(SE含む)、Meはあきらめてください。マイクロソフトのサポートがありませんので、対策ソフトが提供されていません。さらに、対ウイルスソフトのサポートも大部分が終了しています。Windows Vista/XP/2000 でないと、最低限の対策さえ出来ません。可能であれば、Windows 3.1、95、98、Me は全廃したほうがいいです。
とりあえず、このセクションに書いてあることを終えれば、最低限の対策は済みます。少なくとも、現在までに発見されている「どなたでも、ご自由に利用してください」という部分は無くなります。
- 1. 事前準備。SP(サービスパック)をインストールする。
- Windows XP を使っている場合は、SP2(2004.8.5)をインストールします。SP2は約273MBありますので、ダウンロードが大変な人は、ディスクサービスからの入手を考えたほうがいいです。
Windows XP Professional x64 Edition を使っている場合は、SP2(2007.3.28)をインストールします。SP2は約369MBありますので、ダウンロードが大変な人は、ディスクサービスからの入手を考えたほうがいいです。
Windows 2000 の場合は、SP4(2003.7.3)をインストールします。SP4 のインストールが終わるまで、インターネットには一切繋がないほうがいいです。SP4は約132MBあります。
Windows 98、98SE、Meは基本サポート期間が終了して、特に重要なセキュリティ更新だけが提供されている状態です。できればWindows XP以降にバージョンアップすることをお勧めします。
- 2. DCOMを禁止する(可能であれば)。
- Windows XP、2000 の場合、DCOM(分散COM、分散コンポーネント オブジェクト モデル)を無効にすることを強く推奨します。これは、ネットワークからコンピュータを操作する機能のため、ほとんどのユーザーにとっては不要の機能です。LANケーブルを繋ぐ前に無効にするのが最も効果的です。
但し、業務で使っているコンピュータの場合は、使用している業務専用アプリケーション等でDCOMを使っていないかチェックする必要があります。もし使っている場合は、すべての対策を行った後に有効に設定しなおします。
- Windows 2000の場合
- ファイル名を指定して実行/dcomcnfg/既定のプロパティ/このコンピュータ上で分散DCOMを有効にする のチェックを外す。
- Windows XPの場合
- ファイル名を指定して実行/dcomcnfg/コンソールルート/コンポーネントサービス/マイコンピュータ/右クリック−プロパティ/既定のプロパティ/このコンピュータ上で分散DCOMを有効にする のチェックを外す。
- 3. インターネット接続部分のNetBIOSを使用禁止にする。
- ダイヤルアップルータや、ブロードバンドルータ等でインターネットに繋いでいる人は、少なくともポート135、137〜139 が閉じられていることを確認します。Windows Vista/XP/2000の場合は、445、500 も閉じます。現在販売されているルータでしたら、これらのポートは出荷時に閉じてある状態になっていますが、ちょっと古い機種や、一部の高機能機では開いた状態のまま出荷しているものもあります。
別にWindowsに限りませんが、ブロードバンドルータ等の設定変更用パスワードは、極めて難しくてややこしいものに変更しておきます。出荷時設定のまま、単語1個、数字のみというのは、何もしてないのと同じだと思ってください。たとえば、"Y5uP4aQK" のようなものが望ましいです。これをシールに書いて機器の裏に貼っておきます(人の出入りが激しい事務所などでは、もう少し安全な場所を探したほうがいいです)。
直接ダイヤルアップしている人は、ダイヤルアップのプロパティを確認して、Microsoft ネットワーク用ファイルとプリンタ共有を使えないようになっているか、確認してください(通常は使えないように設定してあるはずです)。
ファイヤーウォール機能の無いCATVモデムやADSLモデムをLANポートに直接繋ぐのは危険なので、ルータを設置するのが望ましいのですが、どうしても出来ない場合は、そのLANポートの「Microsoft ネットワーク用クライアント」と「Microsoft ネットワーク用ファイルとプリンタ共有」を無効にします(チェックをはずす)。複数台のコンピュータでファイル共有をする場合は、何らかのファイヤーウォールを設置しないと外部から侵入し放題になりますので、わからない場合は必ず専門家に相談してください。
この部分の詳しい設定は、厚さ5cmの専門書が100冊分くらいの解説が必要になりますので、上記の説明とマニュアル、製品ウェブサイトでの設定解説だけで判らないときは、業者に依頼したほうがいいです。
- 4. 重要な更新。
- まずは、Windows Update の「製品を更新」を使って、「重要な更新」を行います。だいたい10〜80MB程度のダウンロードが必要です。これで、OS自体が持っている大穴の大半が埋まります(全部ではありません。一部の穴は開いたままです)。
なお、Internet Explorer のバージョンアップ(例:5.0→6.0)などの一部の更新は、重要な更新とは別に行われるため、最初の Windows Update では、IEのバージョンアップ/重要な更新×2回、と3回以上行う必要があります。
Windows Update による更新が行われた場合は、最終確認のため Windows Update をもう一度実行して、追加更新が無いか確認します。Windows Update により更新した内容に対しての追加更新が提供されている場合が非常に多くあります。
- 5. Internet Explorer の更新。
- Internet Explorer は、6 SP2 または IE 7 にします。5.01 以前のサポートは終了しました。5.5 SP2 は、既に新規提供が終了し、事実上サポートが打ち切りになっています。そのため、6 よりも前のバージョンでは、バグ情報すら公表されなくなります。よって、IE 6 SP2 にバージョンアップする必要があります。IE のヘルプ − バージョン情報 で、バージョンが 6.00.????.???? となっていれば IE 6です。SPがインストールされていれば、更新バージョン欄に SP1 とか SP2 のように表示されます。
次に、IE用の累積的なアップデートを行います(Windows Update で更新出来ます)。IE は、毎月のようにセキュリティバグの更新がありますので、必ず毎月更新してください。
なお、Mozilla や Opera しか使わないという人も、必ずIEのアップデートをしてください。IE の機能は、Windows のそこらじゅうで使われていますので、知らず知らずのうちにIEを使っているのです。
特に、大抵のメールソフトが、htmlメールのプレビューにIEを利用しているため、Netscape/Mozilla/Opera 以外のメールソフトでhtml形式の表示をしている場合は、IEの更新をしないとウイルスの温床になります。
あと、複数のコンピュータを持っていて、何回もIEをダウンロードするのがわずらわしいという人は、こちらにIE本体(約80個のファイルで約78MBあります)のダウンロード方法が載っています。IE5.5を題材にしていますが、IE6でも同じ方法が使えます("5"と書いてある部分を"6"に変えて同じ事をします)。
- 6. Media Playerの更新。
- Microsoft Media Player なんて使わないという人もいるでしょうが、非常に危険です。IE や Mozilla でウェブサイトを見ているとき、音楽やビデオが再生されることがありませんか? この時、裏では Media Player が働いているのです。
あまり知られていませんが、Media Player には、複数のメディアファイルを連続再生する機能があり、その途中に全く無関係な任意のプログラムを実行できる機能が組み込まれています。ビデオ再生コマンドの中に、ハードディスクの初期化コマンドを紛れ込ますことも可能なわけです。
通常は Windows Update で更新します。なお、Media Player 6.4 以降であれば、バージョンが古くてもセキュリティ上の大きな問題はありません。最新の Media Player が嫌いならば旧バージョンを使っていてもOKです。
その次の対策
- ウイルス対策ソフトを導入します。
- ウイルスバスターとかNorton AntiVirusとかMcAFEE VirusScanなどのウイルス対策ソフトを購入して、メールを受信する全てのコンピュータにインストールします。ウイルスの9割以上が、メールを通じて感染するタイプです。そのため、ここを重点的にチェックすることが非常に大きな意味を持ちます。
ウイルス対策ソフトが3,000〜8,000円程度。次年度からは1,000〜5,000円程度の費用がかかります。そのため、コンピュータを複数持っている場合、全部のコンピュータに入れるだけの費用を捻出できない人も多いと思います。そういう場合は、メールを受信したり、ウェブサイトを見に行ったりするコンピュータを1〜2台に限定して、そこにだけウイルス対策ソフトを入れることを考えてください。
現時点では、1本買うと3台までインストールできるウイルスバスターをお勧めします。McAfree internet security suite 3ユーザー版や、シマンテック Norton 360 でも3台まで使えます。
Windows XP や Vista の x64 Edition を使っている場合や、Windows Server 2003 Standard を使っている場合は、キヤノンシステムソリューションズのNOD32がお勧めです(というか、他に選択肢が無い)。
Microsoft Windows Live OneCareというサービスもありますが、お勧めできません。ウイルス検出能力が低く、導入しても効果が薄いです。前記4社から選択するというのがポピュラーです。
なお、企業などで一括導入する場合は、別の会社の対ウイルスソフトを使うPCを何台か用意しておくことを強くお勧めします。特定の会社の製品だけすりぬけるように対策を施したウイルスが実在したため、そういう時の復旧作業用です。
- ファイアウォールソフトウェアを有効にします。
- ファイアウォールとは、通信を遮断するためのハードウェアやソフトウェアの総称です。許可の無いアクセスを禁止したり、内部データが外部に漏れるのを防ぎます。通常は、ルータやプロキシサーバなどを組み合わせて設置します。ここで言っているファイアウォールソフトウェアは、LANカードとOSのあいだに入って、通信を適切に遮断するソフトウェアです。Windows XP以降には、OSの機能として標準装備されています。
ウイルス対策ソフトを導入した場合は、それに添付されているファイアウォールソフトを使います。ほとんどのウイルス対策ソフトが、ファイアウォール機能を持っています。Windows XP や Windows Vista には、簡易型のファイアウォールソフトウェアが標準装備されていますので、それを使ってもいいですが、ウイルス対策ソフトに含まれている物に比べて、あまりにも低機能のため、どうしてもウイルス対策ソフトを導入できない場合にだけ標準品を使うと考えてください。
ファイアウォールソフトウェアは、ウイルス対策ソフトと違い、全てのコンピュータに導入することが望ましいです。これはMS-Blasterタイプのウイルスへの対策です。
ですが、これについては過信しないでください。ファイアウォールソフトは、OSの起動が完了した「後」に実行開始されますので、起動直後の数秒間は無防備のままです。また、ファイアウォールソフト自体にもセキュリティホールが見つかる可能性があります。
なお、ファイル共有を有効にしてあると、ウイルスもファイル共有にアクセスできます。ファイアウォールソフトウェアは、ファイル共有へのアクセスが、正規のものかウイルスによるものかを判断できないため、無条件で通過させてしまいます。
- アプリケーションのセキュリティ対策。
- マイクロソフトが、Windows の一般ユーザー向けに出している、絵でみるセキュリティ情報というページがあります。ここでは、マイクロソフトの主だった製品のセキュリティ更新情報が、まとめられています。Office 製品なども含まれているので、一度見てみましょう。インストールされている製品があったら、その機能を使わなくても、対策を施しておかないと、裏で犯罪者に勝手に使われる危険があります。
- セキュリティ 警告サービス を申し込む。
- マイクロソフト プロダクト セキュリティ 警告サービス 日本語版のご案内ページを見て、セキュリティ警告メールを送ってもらう無料サービスを申し込みます。色々と難しいことを書いてあるメールが送られてきますが、対象システム欄に自分が使っているものがあったら、対策プログラムをインストールしないといけない、と考えればいいです。どうしたらいいかわからない場合は、わかる人に質問して解決してください。わからないから放置するというのは、玄関の鍵が壊れたからそのままにしておく、というのと同じです。
2007年6月現在、セキュリティ情報は、基本的に毎月第2火曜日の翌日にリリースされることになっています。
日常的な対策
上記の対策を行えば、今までに見つかったセキュリティ障害は、ほぼ回避できます。しかし、新しい障害が見つかったり、新しい攻撃方法が考案されたりして、従来の対策では不十分になります。
過去の実績を見ると、セキュリティ障害が見つかってから2週間〜2ヶ月後くらいに、その障害を狙ったウイルスや攻撃が流行しています。つまり、未対策のコンピュータを狙ったものです。世間を大騒ぎさせたウイルスは、事前にセキュリティ対策を行っていれば、ほとんど問題にならなかったものが大部分です。そのため、日常的なセキュリティ維持のための対策を継続することが重要になります。
- 毎日1回以上行う。
- ウイルス対策ソフトによる自動チェック。リアルタイム検索などによる自動チェックを逃れたウイルスを捕まえるために、1日に1回は自動的に主要ファイルのウイルスチェックをするように、設定しておきます。
- 1週間に1回以上行う。
- ウイルス対策ソフトの更新を行います。大抵のソフトウェアが、1週間に2〜3回程度の更新を行っています。そのため、更新作業を自動的に行わせるか、少なくとも1週間に1回は手動で更新するかが必要です。
また、可能であれば、1週間に1回は全ファイルのウイルスチェックをお勧めします。私の場合、約50万個のファイルのチェックに2時間程度かかっていますが、安全のためには仕方ないと思っています。
- 1月に1回以上行う。
- 新しいセキュリティ対策情報が出てないかチェックして、必要な対策を行います。少なくとも、次の3点をチェックします。
1. 全ファイルのウイルスチェックを行います。週1回が無理な人も、1ヶ月に1回は完全チェックをしましょう。
2. Windows Update の重要な更新を行う。現在、マイクロソフトからのセキュリティ障害情報は、毎月第2水曜日に出ているので、この直後に実行するのが効果的です。
3. 新しい対策が必要な情報が出てないか、ここをチェックする(^^;)。
Windows Update は、どの程度の頻度で行うべきか?
現在、マイクロソフトからのセキュリティバグ情報や更新プログラムは、毎月第2火曜日の翌日に提供されています。そのため、毎月、この日の直後に Windows Update を実行することをお勧めします。
MS03-026: RPC インターフェイスのバッファ オーバーランによりコードが実行される (823980) や MS04-007: ASN .1 の脆弱性により、コードが実行される (828028)のように、ネットワークに繋いだだけでウイルス感染する可能性の有る、極めて危険なセキュリティバグもありますが、この文面だけから危険かどうかの判断を出来る人は少ないと思います。そのため、毎月1回、Windows Update の重要な更新を全て行うと決めてください。
リンク集
マイクロソフト セキュリティ ホーム
マイクロソフト プロダクト セキュリティ 警告サービス 日本語版のご案内
マイクロソフト ダウンロードセンター
Internet Explorer Product Downloads
Internet Explorer 6 Service Pack 1
Windows Media Player
ネットワークのお話 のトップに戻る
Copyright (C) 2001-2007 Ryu1 All rights Reserved.