ブロードバンド時代のソリューションに挑む この状況を一変させたのは,2001 第 1部● 史上最大の脅威現る 年の夏から立て続けに起きた新種ワー 新種ワームは感染に1 秒,損害は甚大 ムによる騒動である。 まず 7 月に Windows 標準機能の Webサーバー・ソフト 「Internet Infor- Windowsを使用する情報システム に対するセキュリティについてアンケ mation Server/Services(IIS) 」を狙 にとってセキュリティ対策が急務にな ート調査を実施した。その結果,4人 ったワーム「Code Red」が,続いて8 っている。最大の脅威は,Webブラ に3人が,関与しているシステムでウ 月には悪性を強めた「Code Red II」が ウザで読み出したり,メール・ソフト イルスやワームに遭遇した経験を持つ 発見された。いずれもIISのセキュリ で文面を見ただけで感染するなど悪質 ことが分かった (図1) 。3人に1人は感 ティ・ホールを突いて広まる。これで な手口を普通に備えるようになったワ 染も経験している (調査方法などにつ 無差別にWebサイトが狙われるとい いてはp.46を参照) 。 う状況が生じた。 * ーム ・プログラムである。 インターネットの普及を背景に,感 不正アクセスも予想以上に多かっ Code Redの騒ぎが終息したのもつ 染スピードもこれまで以上に速く,被 た。3人に1人が,関与するシステム かの間,9月には極めて強い感染力を 害も甚大だ。 「オンライン・ショッピ で攻撃を受けている。最も多いのは不 持つ「Nimda」が爆発的に広がった。 ング・サービスはやっていないから」 正アクセスの予備行為といえる 「ポー このときは,無差別にWebサイトが * 「盗まれて困る情報がないから」などの ト・スキャン 」だが,実際に不正侵入 狙われることに加え,メールの添付フ 理由で安穏としていられる状況ではな を受けた回答者も1割を占めた。攻撃 ァイルを実行しなくても,感染するこ い。被害を受けないために,そして加 を受けたかどうか不明とする回答も2 とが広く知られるようになっている。 害者にならないために,これまでにな 割を超え,中には無自覚なまま不正ア く徹底したセキュリティ対策が不可欠 クセスを受けたケースがあると考えら になっている。 れる。 被害額が1億円を超える例も 特に Nimda の被害は甚大だ。 つい最近まで,ワームに感染するの Nimdaが爆発的な広まりを見せ始め は,メールの添付ファイルを安易に実 た9月19日に感染したあるインテグレ 本誌はWebサイトで2001年11月下 行する場合で,Webサイトのホーム ータは, 「目に見えるだけでも1億円程 旬,ITプロフェッショナルの方を対 ページ書き換えなどの攻撃も官公庁や 度の損害があった」 と打ち明ける。 象にWindowsベースの情報システム 一部の企業が対象と思われてきた。 4人に3人がウイルス/ワームに遭遇 ウイルス/ワームの被害は? 不明・無回答 3.3% 不正アクセスを受けた経験は? 不明・無回答 21.6% ない 20.2% 感染した 33.2% どんな不正アクセス/攻撃を受けた? ポート・スキャンを 受けた ある 36.7% 発見した 43.3% この会社では,ネットワーク・トラ 27.9% 多量のログイン 試行があった 12.1% 9.8% 不正に侵入された ない 41.7% サービス妨害など 攻撃を受けた 0.0 4.6% (複数回答可) 10.0 20.0 30.0% 図1●ウイルス/ワームや不正アクセスの問題が他人ごとでは済まなくなってきた 4人中3人が関与するシステムでウイルスやワームへ遭遇, うち4割以上が実際に感染被害に遭っている。不正アクセスやその類似行為についても3人に1人が経験してい る。 「不明」 とする回答が2割を超え,この中には自覚のないまま被害に遭っているケースがあると考えられる。 30 日経Windowsプロ 2002年1月(no.58) 狙われるWindowsシステム フィックが異常に増えることで感染が 発覚した。調査でNimdaが原因と判 明すると,直ちに全マシンのネットワ 電子メール 見るだけで感染, 増殖する 普及が進む新しい サービスを媒介 インスタント・ メッセージ Webブラウザ ーク・ケーブルを抜いた。 「対策して いないと1秒で感染する。Nimdaは メールに自分自身を 添付して多重に発信 様々なファイルを置き換えるので単な る駆除では安心できない。すべて再イ Webブラウザに対し て自分自身を送付 インスタント・メッセー ジのファイル送信機 能で自分自身を送付 ンストールした」 と担当者はその恐ろ 感染した コンピュータ しさを語る。 修復のため最新のパッチやブラウザ ローカル・マシン上で 自分自身をコピー と,アンチウイルス・ソフトの最新 ストールできるCDを作成,徹夜で複 トワークは麻痺しているのでやり取り 当たる約400台,感染したサーバーは 同30%に当たる約120台に達した。 その他のネットワーク・ アプリケーション Webサーバー ローカル・ ディスク は電話とファクスに頼った。感染した クライアントは社内全体の約10%に 多重のリクエストによる サービス妨害や, セキュリ ティ・ホールからの感染 共有フォルダに自分自 身をコピー, アクセス 制御情報の書き換え 版,および駆除ツールをまとめてイン 製して各地の事業所へ配送した。ネッ その他, データの流れ るあらゆる場面で感 染する可能性がある 共有フォルダ 高速なネットワーク 環境などを使って 猛烈なスピードで増殖 図2●多様化,複合化するワーム/ウイルスの感染経路 ウイルス/ワームはあの手この手で感染を広げていく。Nimdaはこれらを複数組み合わせることで,極めて強い 感染力を得られることを実証してしまった。 完全な復旧には丸1週間を要した。 復旧作業は連日朝8時から夜の12時に し直す羽目になったユーザーもいた」 という。 および,対策本部の人員はのべ141人。 (荒瀬氏) ティ対策に関する 「常識」を覆した。最 大のきっかけはやはりNimdaである。 1億円という損害額は,対策本部の人 被害はマイクロソフトが運営するポ このワームは2つの点で極めて大きな 件費だけである。エンドユーザーの作 ータル・サイト「MSN」にも及んだ。 インパクトを与えた。1つはメールの 業費用なども考慮すれば被害額はさら ホームページが不正に書き換えられた ような特定の感染経路を重点的に守る に増える。 結果,未対策のInternet Explorerで 手法に限界がある点。もう1つはサー マイクロソフトもNimdaの被害に MSNのトップページにアクセスした バーとともにクライアントを厳重に守 遭った。 「感染したクライアントをル 一般のユーザーが次々に感染する前代 らなければならない点である。 ーターの設定で強制的にネットワーク 未聞の事件になった。 ウイルスやワームの感染経路は多様 から切り離し,再インストールするま このインテグレータとマイクロソフ 化の一途である。データのやり取りが で使えないようにした」 (マイクロソフ トは現在対策に万全を期していること あるおよそすべての経路が利用されて トアジアリミテッド Regional ITG, で被害の様子を公表してくれたが,氷 いるといってよい (図2) 。 Asia荒瀬達也シニア・アカウント・ 山の一角に過ぎない。多くの場合,被 通常はこれらの経路でワームを送っ マネージャ) 。Regional ITG,Asiaは 害にあったことさえ隠される。それで ても,受け取った側のコンピュータで アジア地域のマイクロソフト社内のネ も数百台規模で感染した会社の存在を 実行しない限り感染することはない。 ットワークを管理している。 「やっと 取材の過程で複数漏れ聞いたほどだ。 そこでワーム作成者は受け側のプログ の思いで再インストールしてつないだ ところ,適用し忘れたパッチがあった ためにまた感染し,再度インストール ラムにあるセキュリティ・ホールを突 もう古い常識は通用しない 一連のワーム騒動は企業のセキュリ く,ユーザーの不注意を誘う装飾を施 すなどあの手この手でプログラムを実 31 日経 Windowsプロ 2002 年 1月 (no.58) ブロードバンド時代のソリューションに挑む 行させようとする。 数の対策で厳重に守る一方,社内のネ 今後も多彩な感染方法を備えたワー Nimdaはそうした手法の集大成と ットワークはファイアウオールで隔絶 ムが出現する可能性は高い。そればか いえる。具体的には①感染した電子メ する。そして社内のクライアントは主 りか, 「インスタント・メッセージ*の ールを見たユーザーに感染,②感染し にメールの添付ファイルやWebサイ ように新しいネットワーク・アプリケ たWebページにアクセスしたユーザ トからのダウンロード・ファイルにな ーションを媒介とした感染方法も次々 ーに感染,③ローカル・マシンからア っているウイルス/ワームをアンチウ に編み出されるだろう」 (星澤氏) とい クセス可能なすべてのフォルダ(共有 イルス・ソフトで取り除く方法だ。 う予測さえある。 メールなどを見るだけで実行される セキュリティを提供すべきインテグ ④IPアドレスを総当たりしてIISを探 ワームに備えて「クライアントにパッ レータやマイクロソフトまでが感染し し,セキュリティ・ホールを突いて感 チを当てるなどは必要とはされていた たのはなぜか。対策が甘かったせいだ 染,⑤Code Red IIが残したバックド が実際にはほとんど行われていない」 と片付けるのは簡単だが,むしろそこ フォルダを含む) に自分自身をコピー, * ア を使って感染,と5通りある。実 (NECソリューションズ インターネッ まで危険が高まったと考え自らのシス 際はもっと複雑で,例えば「IISへは トソフトウェア事業部 セキュリティ技 テムのセキュリティを改善するきっか 16通りの方法で攻撃することが確認さ 術センター長の木村道弘氏) とセキュ けにしたい。インテグレータやセキュ れている」 (シマンテック セキュリティ リティの専門家は指摘する。 リティ製品/サービスのベンダー各社 「クライアントはウイルス対策中心 も異口同音に「Nimdaは情報システム でよい」 という常識もNimdaで完全に のセキュリティ対策を根本から見直す 覆った。インターネット・サーバーか 契機になった」 という。 レスポンスの星澤裕二マネージャ) 。 クライアントも放置できない クライアントを巻き込んだ点でも らクライアントへ,そしてクライアン Nimdaの恐ろしさは際だつ。これま トからイントラネット・サーバーへ形 でサーバーとクライアントは別々に守 を変え,セキュリティ・ホールを突き るのが一般的だった。例えばインター ながら広がるNimdaはクライアント 対策はすぐ始められる。攻撃手法が ネットに公開するWebサーバーやメ に対しても厳重な対策が必要であるこ 多様化しても,基本はインターネット ール・サーバーはパッチの適用など複 と再認識させた (図3) 。 上のサーバーに対して実施するものと Webサーバー Code Red/Nimda 以後の対策 従来の対策 インターネット ファイアウオー ル でトラフィックを制 限 す るととも に, D M Zに置い たイ ンター ネット公開 サーバーを重点的 に守る メール・ゲートウエイ ファイアウオール DMZ LAN LAN上では主にウ イルス対策に重点 を置く クライアント 32 日経Windowsプロ 2002年1月(no.58) クライアント グループウエア/ ファイル/プリント・ メール・サーバー サーバー 対策はすぐ始められる 基本はこれまでと同じ ファイアウオールや公 開サーバーの管理と 併せて, LANについて もトラフィックの制限 や不要なサービスの 除去, セキュリティ・パ ッチの適用などより範 囲の広い部分への対 策が必要になる 図3●総合的な守りが不 可欠になる 従来はファイアウオールを厳 重に管理することで,Web サーバーなどの公開サーバ ーに目を光らせ,LAN上の マシンではもっぱらウイルス 対策を施せば済んだ。とこ ろがイントラネット上で猛烈 に増殖するワームの登場で, クライアントやイントラネット のサーバーに対してもセキ ュリティ・パッチの適用など 厳重な対策が必要になって きた。 狙われるWindowsシステム 対策が十分に可能な時期 対策が難しい時期 MS01-020 メールのプレビュー操作で添付 ファイルが実行される MS00-078 Webサーバーの任意のフォル ダへ侵入される 公表 Aliz警報 Aliz発見 Badtrans.B警報 Nimda警報 公表 MS01-033 IISの拡張モジュール経由で任 意のコードが実行される 公表 10月 11月 12月 2000年 1月 2月 3月 4月 5月 Code Red警報 Code Red2警報 6月 7月 2001年 8月 9月 10月 11月 12月 1月 2月 3月 2002年 図4●NimdaやCode Redも十分に防げた NimdaやCode Redが利用するセキュリティ・ホールは,アンチウイルス・ベンダー各社が警報を出すよりも1カ月以上前に「重大なセキュリティ・ホール」 として対策とともに情 報が公開されている。情報を読み解く体制のあった企業はこれらのワームにも対処できた。 同じである。ソフトウエアのセキュリ (NECソリューションズの木村氏) 。 このAlizやBadtrans.Bも同じMS01- ティ情報に目を光らせ,バグや設定ミ しかしこれまでのワームが用いる主 020のセキュリティ・ホールを用いて スなどで生じるセキュリティ・ホール なセキュリティ・ホールはいずれも十 いる。Alizにいたっては発見が2001 に迅速に対応していけばよい。 分な対策を実行する時間があった。 年5月だ。いずれもまん延は対策の遅 違いは,社内LAN上のサーバーや 例えばNimdaのメールでの感染に れが原因に過ぎない。 クライアントに対象を広げることだ。 はInternet Explorerのセキュリテ 続く第2部ではみすみす既知のセキ Nimdaですら,既知のセキュリティ・ ィ・ホールが利用されている。これ ュリティ・ホールを突かれないために ホールを数種類ふさげば「見るだけで は,2001年3月にマイクロソフトがセ もう一度チェックしたいポイントを紹 感染する」ことは防げる。これに従来 キュリティ・サイトに情報番号 介する。マイクロソフトも情報提供の 通りのアンチウイルス・ソフトによる 「MS01-020」 として対策とともに公表 体制改善やツールの配布などWin- していたものだ (図4) 。 対策を組み合わせる。 dows環境のセキュリティ対策に本腰 を入れ始めている。これらを利用する 通常,セキュリティ・ホールはそれ 11月下旬,ほぼ同時期に広がった をふさぐ修正プログラム (パッチ) とと 大量のメール送信で広がるタイプのワ もに公表される。パッチを稼働中のシ ーム「Aliz」や「Badtrans.B」 も同様で ステムに適用するまでには,テスト環 ある。トレンドマイクロによると,ブ それだけではケガの手当てをした程度 境でのパッチの有効性と既存システム レークからわずか2週間あまりの2001 の効果しかない。ケガの原因となって への影響の検証などで1カ月程度かか 年12月4日時点で,Badtrans.Bの感 いる構造的な問題を取り除いて持続的 ることが多い。 「セキュリティ・ホー 染報告数の累計がNimdaの990件を上 にセキュリティを向上させる必要があ ルが公表され,1週間でそこを突くワ 回り,1048件に達した。Alizの報告 る。3部ではこの仕組みの構築につい ームが出たらとても間に合わない」 数も846件と多い。 て述べていく。 ことで基本的な対策を実施できる。 ただ,最新のパッチを適用しても, 用語解説 *ワーム ネットワークに接続している機器に自分 自身のコピーを作ることで増殖するプロ グラム。単純に増殖する機能だけを持 つワームでもまん延するとネットワーク・ トラフィックを圧迫し,システムに深刻な 被害を及ぼす。ファイル削除などの破 壊的な動作をするものも発見されてい る。広い意味のウイルスである。 *ポート・スキャン *バックドア *インスタント・メッセージ ネットワーク機器に対して総当たり的に サービス・リクエストを送り,その機器で 動作しているサーバー・プログラムを調 べる行為。サーバー・プログラムによっ ては自分自身のバージョン番号を返し たりするため,セキュリティ・ホールを発 見する手がかりにされやすい。 ネットワーク攻撃者が一度侵入に成功 した機器に対して仕掛ける 「裏口」 。繰 り返しその機器に侵入したり,別のプ ログラムから攻撃しやすくするために仕 掛けられる。初めの侵入で使われたセ キュリティ・ホールをふさいでも,このバ ックドアを取り除かない限り何度でも侵 入を許すことになる。 メモ程度の短いメッセージを交換する サービス。相手が在席中かどうか調べ たり,メッセージを自動でポップアップ表 示するなどの工夫がされており,チャッ ト・サービスに近い感覚で利用できる。 一部のサービスはメモにファイルを添付 する機能を持ち,この仕組みを使った ワームも登場した。 33 日経 Windowsプロ 2002 年 1月 (no.58)
© Copyright 2024 Paperzz