コンピュータ・ウイルスの感染被害が絶えない。2009年も多くの企業がウイルスに感染し,そのお詫びが各企業のWebページに掲載された(図1)。

図1●ウイルスに感染した企業のお詫びページの例。ウイルス感染が原因で業務に悪影響が出たことや,自らがウイルス感染によってウイルスを広げる側になったことを謝罪している
ウイルスに感染した企業のお詫びページの例
ウイルスに感染した企業のお詫びページの例
ウイルスに感染した企業のお詫びページの例
[画像のクリックで拡大表示]

 2009年に大流行したのは,「Gumblar(ガンブラー)」(別名「JSRedir-R(ジェイエスリダイクレトアール)」,「GENO(ジェノ)ウイルス」)と呼ばれるウイルスである。図1に挙げた企業の被害は,すべてGumblarによるものだ。

 Gumblarは,アドビシステムズのソフトウエアのぜい弱性を悪用して感染する。2009年3月下旬に見つかり,4月下旬~6月の間に猛威を振るった(参考記事)。一時は収束に向かったように見えたが,亜種と呼ばれるプログラムの一部を変更したウイルスや攻撃手法を模倣したウイルスが登場し,9月以降も感染被害を広げている(参考記事)。

 筆者が担当した日経NETWORK2009年12月号の特集記事「総括! 2009年のセキュリティ脅威」では,Gumblarを含めたウイルスによる被害とその対策,新しいタイプの偽ソフトや不正アクセスのしくみを紹介している。ウイルス対策は,従来の記事だと「ぜい弱性を無くすようにシステムを最新の状態にしておく」を一番に挙げていた。しかし,今回の記事ではあえてぜい弱性を残したままどう対策すればよいかを説明している。

 以下,なぜぜい弱性を残すのかという点と,残したまま運用するときのお金のかからない有効策を紹介したい。なお超低価格な有効策は,筆者の思いつき程度のもので,採用を勧めるわけではない。アイデアの一つとしてご覧いただきたい。

ぜい弱性を無くしたくても無くせない

 GumblarやDownadup(ダウンアドアップ)といった2009年に流行したウイルスの多くは,マイクロソフトのWindows Updateやアドビ システムズのAdobe Updaterでソフトウエアのぜい弱性を早めに無くしておけば,流行初期の感染を防げた。それらのウイルスは亜種や模倣によって攻撃手段を増やしたため,最終的にはそれだけでは不十分である。それでも,被害の拡大をある程度食い止められたはずだ。

 そのため,セキュリティ・ベンダーはメディアを通じてぜい弱性を早く解消するように促し,そうしなければ感染被害が広がると説明した。ところが説明した担当者に対し,顧客から続々と苦情が寄せられた。これらの顧客はぜい弱性を無くしたくても無くせない状態にあったからだ。

 顧客はその理由として,「ソフトウエア・ベンダーが提供する修正プログラムによって,業務システムが動かなくなる可能性がある」「適用するためにシステムを止めるのは不可能」「検証するための管理者のリソースが不足している」などを挙げる。こうした状況を理解せずに,ぜい弱性を放置しているような言い方は気に入らないということだ。

 2009年にウイルス被害に遭った企業の中でも,「24時間稼働し続ける業務システムで,修正プログラムの検証と適用の時間はとれない」と断言したところもあった。つまり企業の管理者は,ぜい弱性を残した状態でウイルスの脅威からシステムを守る術を考えなければならないのである。

プロキシで業務に不要な接続を止める

 では,ぜい弱性を残したまま運用を続ける場合,どんな対策があり得るのか。正攻法の対策は,日経NETWORKの特集記事をご覧いただきたい。ここでは裏技というほどではないが,思い切った方法を考えてみた。ドメイン・ベースのアクセス制御を行うというものだ。

 アクセス制御とは,極端な言い方をすれば,インターネットに接続する必要がないならインターネットにつながなければよいというもの。今回はそこまでの話ではなく,業務に必要なドメインだけ接続できればよく,不要と思われるドメインにはアクセスできないようにすることで,かなり有効な対策になるということだ。

 これは,前述したGumblarやその亜種,模倣したものなどの感染経路を調べていくうちに思いついた。まずは,Gumblarの感染経路や感染後の動きを見てほしい(図2)。

図2●Gumblarによるウイルス感染のしくみ。図はトレンドマイクロが作成。セキュリティ・ベンダーによっては,正規サイトに埋め込んだ不正なコード自体をGumblar(図内はJS_GUNBURL)と呼ぶ。本文の説明では,一連の流れをGumblarとした
図2●Gumblarによるウイルス感染のしくみ。図はトレンドマイクロが作成。セキュリティ・ベンダーによっては,正規サイトに埋め込んだ不正なコード自体をGumblar(図内はJS_GUNBURL)と呼ぶ。本文の説明では,一連の流れをGumblarとした。
[画像のクリックで拡大表示]

 Gumblarの感染は,攻撃者が正規のサイトを改ざんして,不正なコードを埋め込むことから始まる。このサイトを運悪く見てしまったユーザーは,不正なコードによって攻撃用サーバーにリダイレクトされてしまう。すると,攻撃用サーバーからソフトウエアのぜい弱性を悪用するプログラムがダウンロードされ,ウイルスに感染する。

 リダイレクト以降の動きはバックグラウンドで処理されるため,ユーザーには見えない。これが,Gumblarの感染を気付きにくくし,その後,別の攻撃用サーバーからダウンロードされた別のウイルスによって,個人情報などが盗聴される被害を生んだ。

 では,これをどうすれば防げるのか。実は,Gumblarの攻撃用サーバー(図2の不正なWebサイト(1))は一部の亜種を含め,「gumblar.cn」「martuz.cn」「zlkon.lv」の三つのドメイン名しか使われていない。つまり,この三つのサーバーにアクセスできなければ,感染せずに済むのだ。

 Gumblarを模倣したといわれるウイルスの多くは,上記以外のサーバーを利用し,何度もリダイレクトさせて最終的な攻撃用サーバーへ誘導していた。ところが,「最終的に到達する攻撃用サーバーは,ほとんどがcnドメイン」(ラック コンピュータセキュリティ研究所の岩井博樹所長)だという。

 Gumblarと,その亜種や模倣ウイルスのケースでは,企業ネットワークのプロキシでcnドメインとlvドメインへのアクセスを制限していれば,感染を防止できた可能性が高いのだ。

 各コンピュータのぜい弱性を残したまま運用しなければならず,予算の関係などでシステムを守るための効果的な対策を採れないのであれば,このようなアクセス制御を検討してみてはいかがだろうか。ただ,極端なアクセス制御をすることはお勧めできない。あくまで暫定的な処置として考える必要があるだろう。