昨年11月ころに出始めた「Conficker」ウイルスの被害が,いまだに収まらない。日本ではむしろ今年4月以降の感染台数の方が多いように感じる。筆者が所属する緊急対応チームにも4月以降,Conficker退治の依頼が後を絶たない。その深刻度は,Conficker専門の対策サイトの登場や駆除ツールの充実度などから一目瞭然だ。
深刻化している要因の一つは,ユーザーが適切に駆除できていないことである。数千~数万人規模の組織となると,駆除作業は思うように進まない。駆除し切れずに感染マシンが残ってしまうと,せっかく駆除したマシンがすぐにまた感染する。Confickerによる大きな被害を受けた組織は,この「再感染」によって“終わりの無いモグラたたき”を繰り返していた。
サーバーからの感染が被害を拡大
Confickerの感染の仕組みは比較的単純だ。OSのぜい弱性(MS08-067)を悪用する,ネットワーク共有のパスワードをクラックする,自動実行/自動再生(Autorun)機能を悪用するという三つの方法が使われる。最初の1台の端末を三つの方法のいずれかにより乗っ取る。その後,主にOSのぜい弱性悪用やパスワード・クラックによって感染を広げていく。
これらはいずれも既知の感染方法であり,対策済みであると思い込みやすい。ここで駆除し切れていないまま油断してしまうと,再感染によってウイルスがまん延することになる。再感染の例として多く見られるのは,(1)ネットワーク共有しているファイル・サーバーなどを媒体とする,(2)駆除用に用意したUSBメモリーなどの外部記憶媒体を経由する,(3)外部に持ち出したパソコンを組織内ネットワークに接続する,といったパターンである(図1)。
一般に,感染したマシンからConfickerを駆除する場合,駆除ツールやウイルス対策ソフトを実行した後,パッチを適用する。企業のシステム管理者なら,Domain Adminアカウント(管理者アカウント)によりサーバーにログオンし,作業するかもしれない。
ところがConfickerはドメイン管理者の情報を悪用し,他のマシンに攻撃を仕掛ける可能性がある。ログオンしているユーザーを偽装して,そのユーザーの資格情報を使ってネットワーク・リソースにアクセスし,ウイルスを拡散させる。これを避けるには,管理者がローカル・アカウントでサーバーにログオンするよう,徹底する必要がある。
ネットワーク共有に関して言うと,ID/パスワードの管理を徹底することも重要である。パスワードを変更すれば再感染は避けられるが,対象が数千~数万台規模で,ローカル・アドミニストレータのパスワードとなるとすぐには対処できない。あらかじめ,容易に推測できないパスワードの設定を浸透させておくべきである。
対策用USBメモリーにも注意
(2)のUSBメモリーなど外部記憶媒体を介することも多い。セキュリティ対策用として駆除ツールを格納した記憶媒体がConfickerに感染してしまうケースだ。感染端末にUSBメモリーなど接続したときに,それ自体がConfickerに感染し,次に装着した別のクリーンな端末に感染を広げてしまう。渡されたUSBメモリーであっても,中身を確認してから利用したい。
セキュリティ対策用ではなく,通常使っている外部記憶媒体にも注意が必要である。特に,外付けハード・ディスクとのデータのやり取りだ。セキュリティ対策用ならリードオンリーの媒体を使えば再感染はないが,個人が使う外付けハード・ディスクはリードオンリーというわけにはいかない。最初に駆除する際に,外付けハード・ディスクが対象から漏れないよう,ユーザーに注意を促す必要がある。
社外に持ち出したパソコンからの再感染も目立つ。社外でモバイル・ブロードバンドを使ってインターネット接続すると,グローバルIPアドレスが割り振られ,外部から直接攻撃を受ける可能性がある。利用時にはセキュリティ・パッチの適用,パーソナル・ファイアウォールや検疫ネットワークの導入,OSの適切な設定など,基本的なセキュリティ対策は必須である。
駆除ツールはダブルチェックで
もう一つ注意しておきたいのが,駆除ツールの使い方だ。Conficker専用の駆除ツールは,ウイルス対策ベンダーが次々にリリースしている。これらの専用駆除ツールをすべての端末で実行すればConficker退治は終わり,そう考えるのが普通だろう。
ただし,それは駆除ツールが正しく動く場合だ。実際には,駆除ツールを作成しているベンダーにもミスは生じ得る。信用できるとは限らない。
表1は,一般的なセキュリティ対策実施済みのパソコンに対して2種類のConficker.Bを感染させ,ツールを使って完全に駆除できるかどうかをテストした結果である(4/14現在)。ツールによっては,そもそも検出に失敗したものさえある。それぞれのツールの製品名は伏せておくが,駆除ツールによっては確実に駆除できる保証はない。駆除の際は2種類以上のツールを併用することを推奨する。
サーバーでの駆除はさらに慎重に進める必要がある。ある組織では,ファイル・サーバーを通常通り稼働させたままConfickerを駆除したために,駆除直後に再感染した。重要なサーバーは,Windows停止状態で駆除作業を進められる駆除ツールを利用することを推奨する。例えばDr.WEBの「LiveCD」などがある(図2)。
組織的なインシデント対応計画を立案している組織は意外に少ない。その理由の一つは,ウイルス対策や検疫ネットワークの導入,USBメモリーの利用禁止といった予防策に安心していることだ。
ただ,ウイルスやボットはいつの間にか入り込んでいる可能性があるし,USBメモリーの利用禁止は必ず守られているとは限らない。予防策を過信すること自体が本当の脅威と言える。
そこで,この機会に考えてほしいのが組織内緊急対応チーム(CSIRT:シーサート)の概念である。このような緊急時の組織としての対応を計画し,実践する組織だ。Confickerの大規模感染を経験した組織の大半は,これらの機能を持ち合わせていなかった。思い付いた対策を手当たり次第に打ったことで,かえって状況の悪化を招き,業務停止に陥った例さえある。今こそ,組織的なインシデント対応が可能な体制を構築し,適切な対応を実施できるようにすべきである。
ラック コンピュータセキュリティ研究所 所長
