先週に韓国で発生した大規模サイバー攻撃は、非正規なOSを用いたことにより、パッチ配布サーバーであるWindows Server Update Services(WSUS)から、不正な情報(標的型ロジックボム)が送り込まれ、それを受け取った正規のOSが不正な情報により、同時刻にシステムを停止したと筆者は推測している(関連記事)。

 今後、日本国内で同じような状況が発生する可能性については、正規のOS及び正規のパッチ配布サーバーを用いている限り、このような状況は発生しにくいと考えられる。しかし、非常に古いOSを用いている場合、まれに正規のOSでも不正な情報を送り込まれる可能性が残っており、非常に古いOSの排除が早急に求められる事案でもある。

 なお、日本国内においても、楽天やYahoo!のオークションサイトなどで、多数の非正規なOSが流通していることを複数確認している。こうしたサイトで購入したOSの場合、何が入っているかわからないため、決して購入してはならない。

 今回の事件の原因がWSUSであれ、一部で報道のあるアンチウイルスの管理システムであれ、システム全体を掌握しているシステムが乗っ取られたことに起因している可能性が高い。おのおののシステムにに対して、司令塔としての役割を担う管理システムが乗っ取られてしまった場合、クライアントは司令塔からの指示に従って、標的型マルウエアを受け入れざるを得ない。クライアントをそれぞれ保護する必要もあるが、システム全体を掌握しているような重要ポイントを最も保護する必要性があることが今回の教訓であろう。

片山 昌樹
某社セキュリティ対策チームに所属。日頃よりウィルス解析及び各種インシデント対策の研究に従事。研究結果において、危険なものについては、判明した時点で、FacebookやTwiter、各種報道機関に対してアラートを出す日々が続いている。過去、日経BP社の雑誌やムック、IPAなどへの寄稿多数。ブログはこちら