内閣官房情報セキュリティより発行された「第二次情報セキュリティ基本計画(案)」を見ると,事故を前提とした内容が盛り込まれている。予防的セキュリティ対策の限界が表面化していることを踏まえると,至極真っ当な計画だ。
特に近年は,多発しているSQLインジェクション攻撃からもうかがえるように,セキュリティ機器の回避技術や攻撃コードの難読化,膨大過ぎるボットの亜種などセキュリティ担当者の頭を悩ますキーワードがてんこ盛りである。これらの脅威すべてに対して策を講じるのは,正直なところかなり難しい。今後は,事故発生時にいかに被害を軽減させるかがポイントとなってくると予測される。
そんな中,従来の攻撃手法に類似しているにもかかわらず,あるウイルス/ワームが世界的にブレイクしている。日本でも2008年末から感染企業が数多く確認されている「Downadup」である。被害に遭っている企業を見ると,まさに事故を前提とした体制が整備されていなかった点で共通している。感染経路,感染時期を特定できず,なかなか処理が完了しないケースが大半だ。そこで本稿ではDownadupの被害を題材に,事故を前提とした体制整備の重要性について考えてみたいと思う。
今ごろになって「Blasterの再来」
ここでDownadupの特徴を解説しておこう。Downadupは2003年に大流行したBlasterやWelchiaの再来と言われ,感染方法は基本的に次の3通りである。
(1)MS08-067のぜい弱性への攻撃
(2)ネットワーク共有(Admin$)へのブルートフォース(総当たり)攻撃
(3)USBメモリーなど外部記憶媒体経由
Blasterなどの再来と言われるのは(1),(2)の感染方法が共通しているためである。ただ実際ところ,(1)に関しては2003年以降,多くの企業がパッチ管理に注力したために,直接的な攻撃を受けて感染している企業は少ない。むしろ問題となっているのは,(2)や(3)の,攻撃成功率が個人のITリテラシーに依存する攻撃である。
(2)に関しては,Downadupの持つ攻撃用辞書には,文字数は最長で13文字の単語が登録されている。このため,長さはあまり関係なく,いかに推測可能なパスワードを設定しているかが問われる。ただ,登録されているのはシンプルな英数字の単語だけで,記号を含んだ文字列は見当たらない。このためメール・アドレスをパスワードにしている(決して推奨できるパスワード文字列ではない)ユーザーでも破られていないことになる。
(3)の外部記憶媒体からの感染は,自動生成機能を悪用する方法で,特に厄介だ。USBメモリーはデータの受け渡しの用途ではすっかり浸透している。USBメモリーの利用を制限していなければ,相当引っかかりやすい。Downadupの感染被害の拡大にも明らかに影響している。企業によっては,セキュリティ・ツールを使ってUSBメモリーの利用を制限するなど工夫している。ただ,今回のDownadupはこれだけではすり抜けてしまう。
自動再生機能の無効化の落とし穴
USBメモリーからの感染を防ぐには自動再生機能を無効にするのが定石である。設定方法はGpedit.msc(グループポリシーの設定,図1)からセキュリティ・ポリシーを変更したり,レジストリキーの値を変更したりする(http://support.microsoft.com/kb/155217)。
レジストリの変更による対策は,ドメイン管理している企業なら実施しているケースは多いかもしれない。しかし,ここに落とし穴がある。セキュリティ・ポリシーを変更しても,USBメモリーは図2のようにエクスプローラに表示される。これではUSBメモリーをクリックした段階でウイルスが動作してしまう可能性がある(図3はAutorun.infのサンプル)。
