「Blasterの感染拡大は容易に防げた」――。あるユーザー企業のシステム管理者から聞いた言葉だ。夏期休暇を返上して対策に奔走した管理者,BlasterがLANにまん延したために復旧に追われた管理者からすれば,反感を覚える言葉かもしれない。
容易に防げたというこの管理者のLANでも,Blasterの侵入自体は防げなかった。夏期休暇明けには,Blasterの侵入を確認したという。ただし,LAN中にBlasterが感染を拡大することはなかった。
メディアが報じるように,Blasterの侵入を許し,LAN中に感染が拡大した企業/組織は少なくなかった。しかしながら,Blasterが侵入しても感染を広げることなく対処できた企業/組織も存在する。両者の違いは,修正プログラム(以下,パッチ)の適用とウイルス対策ソフトの導入を徹底していたかどうかである。
LANの守りを堤防に例えれば,Blasterに感染したパソコンを1台ぐらいLANに接続したとしても,それは,堤防に小さな穴を開けるようなものだ。それだけで堤防が決壊することはない。大きな被害をもたらした本当の要因は,LAN内の対策の“甘さ”である。パッチの適用やウイルス対策ソフトの運用をきちんと実施していないパソコンが次々と感染することで,堤防は決壊する。
Blasterなどを侵入させないことはもちろん重要ではあるが,万全を期することは難しい。今後必要とされるのは,被害を拡大させない対策である。たとえ“アリの一穴”が開いたとしても,それを拡大させないような対策が求められる。難しく考えることはない。対策自体は従来と同じだ。問題は,対策の“徹底度”である。
基本的な対策でウイルスは防げる
マイクロソフトは,Blaster騒動を契機に開始したウイルス対策セキュリティ・キャンペーンで,3つの基本対策を挙げている。(1)ウイルス対策ソフトの導入,(2)セキュリティ・パッチの適用,(3)パーソナル・ファイアウオールの導入――である。
BlasterはWindowsのセキュリティ・ホールを突いて感染を広げるウイルス(ワーム)である。このため,(2)にあるようにマイクロソフトが公開したパッチを適用すれば,感染を防げる。また,ウイルス対策ソフト・ベンダーはBlasterにすぐに対応した。このため,(1)を実施して,最新のウイルス定義ファイルを使用していれば,感染してもすぐに検知できる。
今回のBlasterでは,複数の侵入経路が確認されている。その中で最も多かったと考えられているのが,ノート・パソコン経由での侵入である。ほとんどの企業でこの経路による被害があったというのが,セキュリティ・ベンダーの共通した認識である。ノート・パソコンで持ち込まれた場合には,LANとインターネットの間に設置したファイアウオールは効果がない。現在では,各クライアント・マシンで対策を施す必要がある。そのために有効なのは,(3)の「パーソナル・ファイアウオールの導入」である。
とはいえ,LANで使用するパソコンにパーソナル・ファイアウオールを導入することには賛否両論ある。LANでは様々な通信が行われている。パーソナル・ファイアウオールを導入すると,今まで使用できたアプリケーションなどが使用できなくなる場合がある。かといって,パーソナル・ファイアウオールの設定をむやみに緩めてしまっては,導入した意味がない。LANのパソコンにパーソナル・ファイアウオールを導入する場合には注意が必要だ。
ともかく,(1)と(2),特に(2)の「セキュリティ・パッチの適用」を徹底していれば,Blasterがまん延することはなかった。しかし,言うは易し「徹底」するは難し――なのが現状である。
パッチの適用を強制/確認できる環境を作る
どうすればパッチの適用を徹底できるだろうか。情報処理振興事業協会セキュリティセンター(IPA/ISEC)が8~9月に実施したシステム管理者に対する調査では,約48%の回答者がWindows Updateの実施を「各ユーザー任せにしている」と答えた。「特に行っていない」と合わせると3分の2にも達する。いまだにユーザー任せのところは多い。
社内パソコンへのパッチ適用が重要視されたのは,今回のBlaster騒動が初めてではない。2001年秋に出現して大きな被害をもたらした「Nimda」のときも,パッチ適用の重要性が叫ばれた。Nimdaの教訓を生かせずに,ユーザー任せにした結果が,今回のBlaster騒動といえるだろう。
もちろん,きちんとWindows Updateを実施するユーザーは多い。しかし,すべてのユーザーに徹底することは難しい。NimdaやBlaster騒動がそれを証明している。システム部がメールや掲示板でWindows Updateを実施するように指示しても,従うユーザーは限られる。また,パッチが頻繁に公開される現状では,システム部がパッチを適用するように指示しても,ユーザーはどのパッチを指しているのか分からない。あるシステム管理者に聞いたところ,過去のパッチに関する再度の警告と勘違いして,「自分はもう適用したから大丈夫」と思い,適用しないユーザーがいるという。
ユーザー任せの対策には限界がある。Blasterのようなウイルスに備えるには,管理者が社内パソコンへのパッチ適用をコントロールできる仕組みが必要だ。具体的には,(1)管理者の指示で強制的にパッチを適用できる,(2)適用されたかどうかを管理者が確認できる――仕組みが必要なのだ。
これらは,Windowsの標準機能では実現しにくいのでツールが必要だ。幸い,各種クライアント管理ツールがバージョンアップのたびにパッチ適用機能を強化している。例えば,マイクロソフトの「Systems Management Server(SMS)」やクオリティの「QND Plus」,LANDeskソフトウエアの「LANDesk Management Suite」などは,本来は資産管理ツールであるが,パッチの配布や適用状況の確認が可能である。2003年に入ると,アップデートテクノロジーの「UpdateEXPERT」などのように,パッチ適用に特化したツールも現れた。
こういったツールを利用して,社内パソコンのパッチ適用率を上げれば,たとえウイルスに感染したノート・パソコンが持ち込まれても,恐れるに足りない。侵入は許しても,被害が拡大することはない。日ごろから被害を拡大させない環境を構築しておけば,セキュリティ・ホールが公表されたり,ウイルスが発生したりするたびに慌てる必要はなくなる。
最後に,宣伝を。「日経Windowsプロ」2003年11月号では,今回書いた内容をさらに掘り下げた「ブラスター級のウイルスにも負けない強いクライアント管理のすすめ」と題した特集を掲載している。パッチ適用を重視したクライアント管理を実施する企業の事例と,これらの作業を手助けるツールの最新動向をまとめている。参考にしていただければ,幸いである。
(茂木 龍太=日経Windowsプロ編集)
