すっかり秋めいてまいりました。暑かった夏の日が懐かしく思われる今日このごろです。みなさんは夏休み(お盆休み)をいかがお過ごしでしたか。たくさんの思い出を作られたことでしょう。筆者の夏の思い出は「Blaster」です・・・
「いまさらBlaster?」と思われる方は多いだろう。筆者自身,Blasterについては,IT Proをはじめとする弊社メディアに書き尽くした感がある(書籍(「コンピュータ・ウイルス 脅威のメカニズム」)にも書いた)。そこで今回の記事では,“Blaster事件”をちょっと違う角度からつづってみたい。関係者の方々の努力を記した「Blasterと闘った不眠不休の1週間」という記事と併せて,息抜き(?)のつもりでお付き合いいただければ幸いである。なお,Blasterの詳細については,記事末に関連記事を時系列でまとめたので,そちらを参照していただきたい。
マスメディアの報道が奏功
Blasterが特徴的だったことの一つは,一般紙やテレビといったマスメディアで報道されたことである。ウイルスやワームが報じられることはそれほど珍しくない。ただし,今までは,「××ウイルスでこれだけの被害が発生した」といった,結果的に生じた被害を伝えるものがほとんどだった。しかしBlasterの場合には,当初から一般メディアによって報じられた。
これについては,経済産業省(経産省)が警告したことが大きかった。経産省の商務情報政策局情報セキュリティ政策室では,8月12日の時点で個人ユーザーを中心に感染が広がっているとの情報を得て,8月13日の朝には同省のWebで注意を喚起し,午後には記者クラブでプレス発表を行った。
Blasterはネットに接続しているだけで感染する。しかも,その“副作用”として,感染マシンが再起動を繰り返す場合がある(関連記事)。ネットで情報を提供することは難しかった。「マスメディアの力を借りて,個人ユーザーに知らせないと食い止められない」(商務情報政策局 情報セキュリティ政策室 課長補佐の山崎琢矢氏)
そこで,Blasterによる「windowsupdate.com」へのDoS(サービス妨害)攻撃を控えた8月15日,記者会見を実施した。同省では発表の重要度は「Webでの告知」「プレス発表」「記者会見」の順で高くなる。ウイルスやワームについて,記者会見やプレス発表をしたことは過去にはなかったという。その甲斐あって,「一般紙の社会部などの記者に興味を持ってもらえた」と山崎氏は振り返る。
筆者は自分の仕事で手一杯だったために観ている時間がなかったが,テレビでも頻繁に報じられた。あるアンチウイルス・ベンダーの担当者は,ほとんどのチャンネルに登場したそうだ。もっとも本人はあまり本意ではなかったらしく,「テレビをはじめ,新聞や雑誌などの取材にばかり時間を取られて,本来の業務がこなせなくて困った」と後日打ち明けてくれた。
IT Proの読者の中には,新聞およびテレビが報じるBlasterに関するニュースを何回も目にして,「騒ぎすぎだ」と思った方もいるだろう。しかし,大騒ぎしたおかげで,被害をあの程度に抑えられたと筆者は考えている。
今回のマスメディアの報道で,「Windowsにはセキュリティ・ホールが見つかっている」「Windows Updateという機能があって,それを使うとセキュリティ・ホールをふさげる」ということを知ったユーザーは少なくないのではないだろうか。実際,筆者のまわりには,「あの騒ぎで,生まれて初めてWindows Updateを実施した」というユーザーが複数いる。
筆者だけではない。Blaster騒動が一段落した後,関係者に取材をして回ったところ,マスメディアの効果は大きかったとの言葉は随所で聞かれた。
説明不足の報道がミスリード
ただし,説明不足あるいは内容が誤っている報道もあった。例えば,8月16日のDoS攻撃だけを強調している報道がいくつかあった。あるベンダーの方が8月17日にパソコンの量販店に行くと,お客からのBlasterに関する質問に対して,店員が「もう8月16日は過ぎたので大丈夫です」と力強く答えていたそうだ。それを聞いて,「Blasterは時限式ではない。休み明けの明日(8月18日)のほうが危ないんだ」と心の中で叫んだという。
「よく分からないが,8月16日は大変なことがあるらしい」という認識が,一部では広まっていたようだ。実は筆者にも,あるラジオ局から取材の申し込みがあった。「8月16日には大変なことが起きるそうですね。もし起きたら,8月18日の早朝のニュースに電話で出演してほしい」というものだった。とりあえず引き受けたものの,幸いなことに,8月16日の攻撃は回避できたので,筆者の出番はなくなった。
「ウイルス対策ソフトさえ使っていればBlasterを防げる」という報道もあった。このため,一時は店頭から消えるほど対策ソフトが売れた店もあるという。確かに,Blasterはパソコン内にファイルを作るタイプのワームだったために,対策ソフトを使っていれば検出できる。しかし,根本的な対策ではない。セキュリティ・ホールをふさがない限り,何度でも感染してしまう。
報道のせいで,休日出勤を余儀なくされたシステム管理者も少なくなかったようだ。あるユーザー企業の管理者からはこんな話を聞いた。「社内のパソコンすべてにパッチを適用して対策を施した。後は休み明けの8月18日に早く出勤して注意を呼びかければOK,のはずだった。しかし,テレビの報道を見た上司から『(お盆休み中も)とりあえず出勤しろ』と言われた」。この人に限った話ではないだろう。
ネット媒体の限界を知る
8月16日を乗り越えた関係者の多くは,国内の多くの企業でお盆休みが終わる8月18日の朝を心配していた。ノート・パソコンによる,Blasterの持ち込みが予想されたからだ。自宅で使用してBlasterに感染したノート・パソコンをLANに接続すると,LANに接続している未対策のマシンに一気に感染は拡大する。
「8月18日の朝が勝負」――。これは関係者の一致した考えだった。筆者も同様である。ノート・パソコンを接続する前,未対策のマシンに電源を入れる前に注意を呼びかけなくては,と考えた。しかし,ちょっと待て。IT Proはネット媒体である。IT Proの記事でいくら注意を呼びかけても,その記事を読んだときには,LANに接続した後か,電源を入れた後である。記事で「まずは接続しないで・・・」などと書いても遅いのだ。
悩んだ。しかし答えはでない。当然である。結局,「たとえ感染マシンをLANに接続してしまっても,ネットワークからすぐに切り離せば,被害は最小限度に抑えられる。一秒でも早く感染しているかどうかをチェックしてもらえるように,冒頭で注意を呼びかける記事を書こう」ということで落ち着いた(その記事へ)。
IT ProでBlasterのようなワームを警告するには,どうするのが一番効果的だろうか。Blasterが突く「MS03-026」と同程度に危険な「MS03-039」を突くワームはいつ出現しても不思議はない(関連記事)。早く妙案を考えなくては・・・。
だが結局のところ,ワームが発生してしまってから打てる手は限られている。筆者にできる最善のことは,「MS03-026」の時と同様に,危険なワームを誘発する可能性のあるセキュリティ・ホールが発生した時点で記事を書き,警告を呼びかけることなのだろう(関連記事1,関連記事2,関連記事3)。
みんな寝てない一週間
最後に,Blaster騒動を振り返ると,どうしても考えずにはいられないことがある。それは,「Blaster騒動にかかわった人たちは代休をきちんと取れているのだろうか」ということだ。8月12日から18日ごろまで,セキュリティ・ベンダーや組織の方にメールで質問を送ると,深夜にもかかわらず,すぐに回答が返ってくることが多々あった。「今夜は徹夜です」「ここのところ,きちんと寝てません」「家に帰ってません」などの話も聞いた。仕事といってしまえばそれまでだが,関係者の多くは不眠不休の一週間だった(関連記事)。
そして,8月18日を乗り切った関係者を,後続の「Welchi」ワームが襲った(関連記事)。後日聞いた話では,WelchiはBlasterよりも挙動が悪質だったこともあるが,それよりも「やっと休める」と思ったところに出現したという,精神的ダメージのほうが大きかったという。筆者も,Welchiに対して「もういいよ!」とツッコまずにはいられなかった。
セキュリティ・ベンダーや組織,ISPなどの方々だけではなく,企業や組織のシステム管理者の方の多くも,お盆休み返上で対策に奔走したことだろう。その方々が,代休をきちんと取られたこと,あるいは今後取られることを切に願わずにはいられない。
(勝村 幸博=IT Pro)
