■元麻布春男の週刊PCホットライン■ rootkit入り環境で各種セキュリティソフトを試す

●最新セキュリティソフトはrootkitを検知するか

　前回まで、何回かにわたってSony BMGのrootkit問題について取り上げてきた。しかしそこには、rootkitによる被害を受けないためにはどうすれば良いのか、もしXCPが含まれたCCCDを再生したことのあるユーザーはどうすれば良いのか、という極めて重要なポイントが抜けていた。いつまでもXCPを非難しているだけでは何も解決しない。今回は、この点を考えてみたいと思う。

　まず最初に思うのは、いわゆるセキュリティソフト、あるいはその販売会社は、今回の問題について何をしてくれるのだろう、ということだ。事件が発覚した10月31日の時点において、PCに最新のセキュリティソフトを入れてあっても、XCPの被害を防ぐことができなかったのはもう分かっている(8カ月もの間、誰も気づかなかった)。

　問題は、今なら防げるのかということと、すでにXCPの被害を受けてしまったPCを救えるのか、ということだ。すでに事件の発覚から3週間ほどが過ぎている。この種の問題について、セキュリティソフト会社が対策を施すには十分な時間ではないだろうか。これだけ話題に上った悪意あるソフトウェアへの対応が、3週間経ってもできていないというのであれば、それはちょっと問題である。

　というわけで、筆者はテスト環境とXCP CDに加え、各種セキュリティソフトの最新体験版を用意した。選択した基準は、個人ユーザーが誰でも無償でダウンロードできること、体験版が基本的にフル機能で、体験版であるが故の重大な機能制限(たとえば更新ができない、など)がないこと、の2点である。用意したのは次の9本だ。

・Microsoft AntiSpyware Beta 1
・キヤノンシステムソリューションズ NOD32
・トレンドマイクロ ウイルスバスター2006
・Symantec Norton Internet Security 2006
・McAfee VirusScan 2005
・ソースネクスト ウイルスセキュリティ
・日本エフ・セキュア F-Secureアンチウイルス クライアントセキュリティ
・デジターボ ウイルスドクター
・インテリジェントウエイブ ウイルスチェイサー

　手順としてはまずテスト環境にWindows XP SP2をインストールし、Windows Updateにより最新の状態にする。ここに各種セキュリティソフトの体験版を1本インストールし、さらにオンラインアップデートを行なって、セキュリティソフトを最新の状態にする。この環境でXCP CDを再生し、何が起こるのかを確かめた。テストを実施したのは11月21日から24日にかけてであり、すべてのソフトウェアを同時にテストしたわけではない。最大で4日程度の時差があることになるが、これは筆者が1人で作業を行なっている関係上、どうしても避けられないこととして了承していただきたい。

1) Microsoft AntiSpyware Beta 1
　最初は現在Microsoftが将来の商品化を目指してテスト配布しているAntiSpywareのベータ1版だ(画面1)。現時点で入手は無料だが、例のGenuine Microsoft Windows認証(Windows Genuine Advantageプログラム)をパスする必要がある。Web上でSony BMGのXCP rootkitに対する対応を11月17日付けのシグネチャファイルで行なったことが明記されている。

　早速XCP CDをドライブにセットし、XCPのEULAに合意すると、画面2のような警告が表示された。すなわちCD Proxyアプリケーションがサービスとして自動実行されるよう登録されているが良いか、というものである。どうやらAntiSpywareは、rootkit(コピープロテクション保護を隠すためのもの)ではなく、コピープロテクションソフト本体を感知したようである。XCPそのものが望まれないソフトウェアであるため、Blockのボタンを押したのだが、そのままXCP CDの専用プレイヤーが起動してしまった。どうやら、Blockはうまくいかなかったようだ。

【画面1】AntiSpyware Beta1の起動画面	【画面2】CD Proxyアプリケーションがサービスとして登録されようとしていることに対する警告

　さらにシステムをRootkitRevealerで調べると、aries.sys(rootkit本体)を含め、XCDがフルインストールされている。リアルタイム保護もうまく働かなかったらしい。そこで、AntiSpywareのスキャンを手動で実行すると、今度はただちにFirst 4 Intenet製のrootkitが発見された。そこで削除(Remove)を実行すると、とりあえずaries.sysは消えたようだが、XCPのインストールされたフォルダ(system32\$sys$filesystem)は見えないままだ。それではということで、システムを再起動すると、今度はちゃんとフォルダが見えるようになった。どうやらAntiSpywareで加えた変更の効力を発揮させるには、システムの再起動が必要なようだ(露出したXCPフォルダの扱いについては後述)。

【画面3】AntiSpywareはようやくrootkitのシッポをつかんだ	【画面4】rootkitがFirst 4 Internet製であることも明らかにされた(危険度は上から2番目のHigh)

2) キヤノンシステムソリューションズ NOD32
　キヤノンシステムソリューションズが販売するNOD32は、ウイルスだけでなくスパイウェアやアドウェアにも対応した総合セキュリティソフトだ(画面5)。入手は誰でも可能だが、更新を可能にするには個人名と有効なメールアドレスの入力が必要になる。セキュリティソフトを何も持たない人が、体験版のダウンロードをすることを考えれば、個人情報の入力は極力避けたいところだが、やむを得ないのだろうか。

　インストール後、XCP CDをドライブにセットしてEULAに合意すると、早速画面6のような派手な警告が表示される。rootkitの本体であるaries.sysを検知し、隔離した旨のメッセージだ。調べてみるとXCPのコピープロテクション部(DRMServer.exe等)はインストールされているものの、確かにrootkitはインストールされていなかった。したがって、最初からXCPのフォルダが丸見えとなる。

【画面5】NOD32の初期画面(左)と更新画面(右)	【画面6】とても派手なrootkitの侵入に対する警告ダイアローグ

3) トレンドマイクロ ウイルスバスター2006
　この種のソフトの大手の1社に数えられるトレンドマイクロは、特にわが国でシェアが高いとされている。起動画面(画面7)も英語ソフトを日本語化したものとは一味違ったデザインで、このあたりに人気の一端があるのかもしれない。体験版の入手に際しては、個人情報は全く必要なく、クリック1つで誰でも入手可能だ。

　XCP CDをセットしてEULAに合意すると、画面8のようなダイアローグが表示される。rootkitであるaries.sysを検知し、隔離した旨のメッセージで、発見したことより、安全に処理されたことに重点が置かれている。PCに不慣れなユーザーでも、これなら慌てないで済むだろう。もちろんXCPフォルダはちゃんと見えるようになっている。画面9でも分かるように、このウイルスバスター2006ではスパイウェア対策の向上がテーマとなっている。今回のテストでその片鱗がうかがえた。

【画面7】ウイルスバスター2006の起動画面	【画面8】rootkitを安全に隔離した旨を伝えるダイアローグ。落ち着いた雰囲気で好感が持てる	【画面9】最新の2006版ではスパイウェア対策に力を入れている

4) Symantec Norton Internet Security 2006
　SymantecのNorton Internet Security(画面10)も、総合セキュリティソフトとして定評あるものの1つ。ウイルスバスター同様、スパイウェア対策の強化が最新版のテーマの1つだ。体験版の入手に際しても、これまたウイルスバスター同様、個人情報は全く必要ではない。

　XCP CDのEULAに合意すると、rootkit本体をウイルスとして検出するものの、ファイルへのアクセスが拒否されてしまったという(画面11)。つまり除去できなかったわけだ。そこで、自動起動したXCPの専用プレイヤーを終了させると、その時点で消去ができたらしく、処理が完了した旨のメッセージ(画面12)が表示された。特に手動でスキャンする必要もなく、結果を見ればNOD32やウイルスバスター2006と同等だが、処理のプロセス(あるいはメッセージ表示)にもう一工夫あっても良いように思う。

【画面10】Norton Internet Security 2006のポータル画面	【画面11】XCPのインストール時に、rootkitを検出するも、削除できないという	【画面12】プレイヤーを終了すると、問題が解決した旨のメッセージが表示された

5) McAfee ウイルススキャン
　McAfeeは、ウイルス対策ソフトの会社としては歴史が古く、世界的には大手の1つに数えられる。が、わが国では過去に販売代理店が変わった経緯などもあり、たとえば米国ほどの知名度はないように思われる。体験版の入手に際しては、個人情報の入力が必要となる。インストールもWeb上のActiveXコントロールベースで、何のセキュリティソフトも持たないユーザーが行なうのに不安を感じる。メリットとしては、常に最新版の導入ができることで、インストール後、更新を必要としなかったのは本ソフトだけであった。

　EULAに合意してXCPのインストールが始まると、このVirusScanもスパイウェアを検出した(画面14)が、テンポラリ名(cpfBC.tmp)のままであることが他のソフトとの違いだ。削除を選ぶと、画面15のようなダイアローグが表示される。合意したEULAの一部である可能性があり、EULA違反になるかもしれませんよ、という警告である。

　今回の事例にあてはまるかどうかは別にして、もっともな警告ではある。構わずOKを押して削除しようとすると今度はウイルスを駆除できないことを告げる画面16のダイアローグが表示された。それでも、XCPのプレイヤーを終了させると、rootkitは削除されていたから、Nortonと同じ現象ということらしい。間違ってはいないのだろうが、もう少しメッセージを工夫しないと、初心者には分かりにくいのではないかと思う。

【画面13】McAfeeウイルススキャン	【画面14】rootkitを検出した際に表示されるダイアローグ

【画面15】削除行為がEULA違反になる可能性を指摘するダイアローグ	【画面16】ウイルスの駆除ができないことを告げるダイアローグ

6) ソースネクスト ウイルスセキュリティ

7) 日本エフ・セキュア F-Secureアンチウイルス クライアントセキュリティ

8) デジターボ ウイルスドクター

9) インテリジェントウエイブ ウイルスチェイサー

　　これら4本のセキュリティソフトは、最新状態にした体験版で、XCPのrootkitに関して、インストール時に検出すること、インストール後の手動スキャンで発見することのいずれもできなかった。中にはスパイウェアへの対応を謳っていないものも含まれているが、この種のソフトウェアを複数併用することが望ましくないとされていることを考えると、やはりスパイウェア対応が望まれるところだ。そうでなければ、組み合わせても安全なスパイウェア対策ソフトを明記するべきだろう。

●古いセキュリティソフトの更新に伴う疑問

　さて、最新版のセキュリティソフトウェアの中にはXCPに含まれるrootkitに対応できるものがあることが分かった。が、最新版でないセキュリティソフトの最新状態はどうなのだろうか。要するに、Symantecの場合なら、Norton Internet Security 2006より前のバージョンで、契約更新によりアップデートしたものはどうか、ということである。実を言うと、筆者のノートPCにはNorton Internet Security 2004(NIS2004)がインストールされており、更新期を迎えている。これを更新しておけば、rootkitのようなスパイウェアに対しても有効なのか、ということである。

　早速、上と同じテストを手持ちのCD-ROMからインストールし、アップデートしたNIS2004でも行なってみた。するとNIS2004は、rootkitを全く検出できなかった。rootkitのようなスパイウェアへの対応は、最新版(NIS2006)の目玉機能として紹介されている。言い換えれば、古いバージョンではスパイウェアへの対応は十分ではない、ということになる。

　ここで疑問を感じるポイントが3点ある。実施しても最新版と同じ機能にならない更新を、お金を払ってまで継続する意味がどれだけあるのか、というのが最初の疑問だ。現在使っているNIS2004のウイルス定義ファイルとファイヤーウォール規則の更新を1年延長するのに必要なコストは4,200円もする。これだけ支払っても、スパイウェア対策にはほとんど無力であることが分かったのである。少なくとも筆者はここで4,200円払う気にはなれない。

　NIS2004のユーザーに対してSymantecは、最新版であるNIS2006をアップグレード価格で販売している。この価格はダウンロード、パッケージとも5,565円となっている(Symantec Store価格)。しかし、誰でも買えるダウンロード版は5,400円で売られている。これではさすがに悲しい。これが2番目の疑問だ。

　3番目の疑問は、NIS2006へのアップグレードが、あまり快適な作業でないと予想されることだ。実は筆者はこの夏、デスクトップPCで使っていたNIS2004をNIS2005へアップグレードした。その時はあまり考えず、1,000円の違いなら新しい方にしておくか、と思ったのである。そして分かったことは、アップグレード作業をしても、NIS2004の設定はNIS2005には引き継がれない、ということだ。たとえば、1つ1つ入力したスパムの登録単語は、NIS2005になるとすべて再入力を迫られる。Mortgage、Rolex、さらにはとてもここでは書けないような単語を、全部入力し直すという、屈辱的な作業である。

　これでは、Symantec製品からSymantec製品にアップグレードする意味がない(このことは、NIS2006の発表会において、筆者は質問という形で改善を要求したので、次のバージョンでは改善されるかもしれない)。とりあえず更新期限が来てしまったノートPCについては、今回、割と印象の良かったNOD32でも入れてみようかと思っている。Symantec、トレンドマイクロ、McAfeeのいわゆる御三家は、いずれも使ったことがあるが、NOD32はまだ継続的に使ったことがない、ということもあるし、何より価格が比較的安い(新規4,200円、更新料が2,625円)。

　今回はNISについてしか検証できなかったので、他のソフトウェアでは異なる可能性もあるし、そうでないことを期待したい。しかし、NISに関して言えば、古いセキュリティソフトを更新しても、新しいセキュリティソフトと同等の機能にはならない、新しい脅威には対応できない可能性があることも分かった。そういう可能性もあるということを踏まえて、更新するか、新しいセキュリティソフトをインストールするのかを選ぶ必要がある。

●XCPの完全な除去は現時点では不可能

　話を元に戻すと、有効なアンチスパイウェアソフトを用いれば、rootkitを除去することが可能である。この状態で、特定のファイルをシステムから見えなくするという効力は失われるが、ほかのXCPがクリーンとは限らない。実際、テスト中にPlayer.exeが外部のDNSサーバーと接続しようと試みたことをNorton Internet Securityが捉えた(画面17)。rootkit以外に、XCPには怪しい部分があるとしか思えない。できればrootkitだけでなく、XCPを丸ごとアンインストールしたい。

　幸い、rootkitを除去したことにより、XCPはsystem32フォルダに露出している(画面18)。これを取り除くというのは、誰もがすぐに思いつくアイデアだ。そこで、エクスプローラーからそのまま削除しようとすると、画面19のようなエラーに遭遇する。これはXCPのプレイヤーを実行しているかどうかには関わらない。

【画面17】Player.exeが外部のDNSサーバーへ接続しようとしたところがNorton Internet SecurityのFirewallにより捉えられた。推奨が接続を許可するになっているのが気に入らないが、捉えた点は評価したい	【画面18】system32フォルダ内の$sys$filesystemフォルダにインストールされたXCPソフト。コピー保護を行なう本体が$sys$DRMServer.exe	【画面19】起動中のシステムからXCPを削除することはできない

　ここで思い出して欲しいのが画面2の警告である。AntiSpywareは、CD Proxyプログラムがサービスとして実行されようとしていることについて警告を発していた。そこで、システム構成ユーティリティを使って、起動されているサービスを調べてみた。

　すると、画面20にあるように、2つの見知らぬサービスが登録されている。早速、この2つのサービスのチェックボックスをクリアし、サービスを止める。そして再起動すると、今度はXCPのファイルを取り除くことができた。

　しかし、これには重大な副作用がある。Russinovich氏のBlogにもあった通り、CD-ROMが利用できなくなるのだ。利用できなくなるというか、システムからデバイスとしてのCD-ROMドライブが消えてしまう。そうであるがゆえに、セキュリティソフト会社も、rootkitの削除は行なっても、XCP本体には手をつけないのであろう。

　そこで考えたのが、消えてしまったのなら、もう1度追加すればどうだ、ということである。早速、手持ちのUSB DVDドライブを接続すると、システムはUSBデバイスの追加を認識し、ドライバを組み込もうとする。が、ドライバの一部(消去したXCPのこと)が見つからないため、画面21のようなエラーとなってしまう。

【画面20】Windowsに登録されてしまった見知らぬ2つのサービス。画面一番上(反転表示)のPlug and Play Device Managerと、7番目のXCP CD Proxyが問題のサービスだ	【画面21】XCPを取り除くと、もはやCD-ROMドライブを利用したり、追加することさえできなくなる

　他に何か手はないのか。Windowsにはシステムの復元という手段が用意されている。これで元に戻すことはできないだろうか。

　これもやってみたが、システムの復元は、XCPの再生前と後に違いが生じていることさえ分からぬ様子。Windows APIからファイルやレジストリを見えなくしてしまうrootkitには、システムの復元は無力なようだ。

　こんなことになるくらいなら、各セキュリティソフトのリアルタイム保護機能が、rootkitだけでなく、XCP全体のインストールを阻止してくれれば良いのに、とも思わないでもない。しかし、そんなことをすれば、ユーザーはセキュリティソフトのために、購入したCDを聴けない、という問題が生じる。

　そもそもXCPのインストールについては、ユーザーがEULAで合意してしまっているのだ。それをセキュリティソフトがかってに取り除いては、今度はセキュリティソフトが法的な問題を抱え込むことになるかもしれない。rootkitは、取り除いても運用に差し支えない(良くも悪くも)からこそ、取り除くことができたのだろう。

　結局、システムを元の状態に戻すには、XCP CDを再生する前の状態のバックアップイメージを持っていない限り、OSを再インストールするしかない、というのが今のところの結論である。Microsoftは、XCPをアンインストールする(これはXCPによって書き換えられた部分を元に戻すオリジナルコードの提供も含まれる)パッチを提供するよう準備中であるとも伝えられている。

　もしXCP CDを再生してしまったユーザーは、とりあえずrootkitを削除して(上に示した無償の体験版で可能)、MicrosoftによるXCPアンインストーラーの提供を待ってみた方が良いだろう。それを待てない、というのであれば、リカバリCDを使うなり、Windows XPのCDを使うなりして、OSを再インストールするしかない。

　このようにシステムの復元にMicrosoftのコードが必要という事態が多発するようであれば、アンチスパイウェア、アンチウイルスソフトウェアを提供できるのはMicrosoftだけ、ということになってしまうかもしれない。

□関連記事
【11月21日】【元麻布】交換に追い込まれたコピープロテクションCD問題
http://pc.watch.impress.co.jp/docs/2005/1121/hot395.htm
【11月16日】【元麻布】続・コピープロテクションCDが招く災い
http://pc.watch.impress.co.jp/docs/2005/1116/hot394.htm
【11月15日】【元麻布】コピープロテクションCDが招く災い
http://pc.watch.impress.co.jp/docs/2005/1115/hot393.htm
【11月14日】米Microsoft、SONY BMGのDRM技術について削除ツールで対応を表明(INTERNET)
http://internet.watch.impress.co.jp/cda/news/2005/11/14/9837.html

□バックナンバー

(2005年11月25日)

[Reported by 元麻布春男]