もうすぐお盆ですね。来週お盆休みを取られる方は多いでしょう。お休みされる方はぜひよい休暇をお過ごしください。
さて,お盆というと思い出されるのが,昨年の「Blaster」騒動だ(関連記事)。お盆時期に出現したBlasterは,関係者(筆者を含む・・・)の夏期休暇を奪い,お盆休み明けの企業ネットワークを混乱に陥れた。Blasterに限らず,今まで日本特有の休みがよく狙われてきたように思える。
専門家によれば単なる偶然だそうだが,今年のお盆は違う。この期間にマイクロソフトがセキュリティ情報を公開予定ということもあり,例年より危険だと考えられる。万全の体制で備えよう。
日本の休みが狙われる?
2000年のゴールデン・ウィークには「LoveLetter」ウイルスが出現して大きな被害をもたらした。最近では,昨年のお盆にBlaster,今年のゴールデンウィークには「Sasser」が出現している。
長期の休み中は,管理者が不在になり,監視が手薄になる。加えて,修正パッチの適用やウイルス定義ファイルの更新をしないので,休み明けにパソコンの電源を入れると,休み中に出回ったウイルス(ワーム)に感染する恐れがある。
「休み中,自宅に持ち帰っていたノート・パソコンにウイルスが感染。休み明けにそのノート・パソコンを社内ネットワークに接続してウイルスを持ち込む」といったシナリオも十分考えられる。実際,昨年のBlasterによる被害も,このパターンが多かった。長期の休みは,攻撃者やウイルス作者に狙われる可能性が高い。
とはいえ,日本に限らず多くの国で長期休暇に入る年末年始には,それほど凶悪なウイルスは出現していない。日本特有の休みが狙われている気がする。もちろん偶然だろう。LoveLetterやBlaster,Sasserのいずれにも,日本をターゲットとしている特徴はない。日本をターゲットにしているのなら,ウイルス・プログラムの中に,何らかのメッセージのようなものが含まれているはずだが,いずれのウイルスにも含まれていない。
Sasserが出現したゴールデンウィーク明けの5月6日,アンチウイルス・ベンダーのシマンテックは緊急記者会見を実施した。その席上,ある記者から「日本の休みが狙われているのでしょうか」という質問が発せられた。それに対する答えは「偶然です」(Symantec Security Response星澤裕二マネージャ)。お盆休みやゴールデンウィークをつぶされている関係者の一人として,このお盆こそは偶然の一致がないように祈りたい。
8月11日はセキュリティ・ホール公開日
しかしながら,今年のお盆は特に危険だと筆者は考えている。というのも,お盆休みに入っている企業が少なくないと思われる日本時間8月11日は,マイクロソフトが“月例”セキュリティ情報を公開する日なのだ(マイクロソフトの「セキュリティ情報リリース スケジュール」)。
7月31日にInternet Explorer(IE)のセキュリティ情報とパッチが公開されたばかりだが,これはあくまでも“緊急公開”(関連記事)。8月11日には,予定通りセキュリティ・ホールとパッチが公開されるだろう。その時点で休みに入っている企業では,パッチの適用は休み明けになる。
もしも,8月11日に公開されるセキュリティ・ホールが,BlasterやSasserが突いたような“超特大”のセキュリティ・ホールだった場合,とても危険なシナリオが考えられる(関連記事)。具体的には以下のようなシナリオだ。
(1)マイクロソフトからセキュリティ情報とパッチが公開される
(2)セキュリティ・ホールの発見者が公開した詳細情報や,パッチの解析結果を基に,セキュリティ・ホールを突くコード(Exploit)が作成され公開される
(3)Exploitを基に,ウイルス(ワーム)が作成されてインターネットに撒かれる
(4)インターネット上にウイルスが飛び交う
(5)パッチを適用しようと思ってインターネットに接続したパソコンが,ことごとく感染する
上記の(2)が休み明け以降なら,大きな問題はない。休み明けに出社した各人が,まずはWindows Updateを実施すればよい。ところが,8月15日以前に(4)まで事態が進行している場合にはとても危険だ。昨年のBlasterと同様,あるいはそれ以上の被害が出る恐れがある。
休み中にセキュリティ情報が公開されることの危険性は,「今週のSecurity Check」の執筆者である山下眞一郎氏が,2003年11月の時点で警告している。休み中は,パッチ適用などの対策が遅れる。そのため,休み中に公開されたセキュリティ・ホールが特に狙われる可能性があるというのだ。マイクロソフトは2003年10月から,緊急時を除き,セキュリティ情報とパッチを月一回まとめて公開するようにしている。その公開スケジュールも事前に明らかにしている。
スケジュールが明らかになっていることで,システム管理者はパッチ適用の計画を立てられる。裏を返せば,攻撃者も計画を立てやすい。かねてより「日本を攻撃してやろう」と思っている人物にとっては,8月11日の公開日はうってつけだ。“万全の体制”を整えて,その日を待っているかもしれない。
休み明けに慌てないために
では,管理者やユーザーはどう備えればよいのか。たとえ“超特大”のセキュリティ・ホールが公開されても,それを突くウイルス(ワーム)が出現したとしても,一般的なセキュリティ対策をしっかり施していれば問題ない。
休み前,休み中,休み明けの具体的な対策については,JPCERTコーディネーションセンター(JPCERT/CC)が公開する「長期休暇を控えて」が参考になる(関連記事)。JPCERT/CCでは,ゴールデンウィークやお盆,年末年始の前には,メールやWebで注意を呼びかけている。内容は以下のようなもので,毎回ほとんど同じである。
まず,休み前には,
・最新のセキュリティパッチが適用されているか
・不要なサービスを無効にしているか
・各種サービスへのアクセス制御が適切に設定されているか
・休暇中に使用しない機器の電源を切る手順が明確になっているか
・休み中に何かあった場合の,社内の連絡体制は整っているか
を確認する。
休み中には,
・不審なアクセスの監視を継続する
・問題が発生したら,休み前に決めた手順に従って,対応および連絡をする
休み明けには,
・導入している機器やソフトウエアについて,休暇中にセキュリティ上の問題が発見されていないかどうかを確認する
・休暇中に持ち出していたPCをLANに接続する前に,ウイルスやワームに感染していないかどうかを確認する
ユーザーとしては,休み前にパッチの適用やウイルス定義ファイルの更新をして,自分のパソコンのセキュリティを最新の状態にしてから休みに入る。休み明けには,持ち帰ったノート・パソコンを社内ネットワークに接続する前に,管理者などに確認する。もし,休み中にニュースなどで「ウイルスがどうした」「セキュリティ・ホールがどうした」という話題を耳にしていたら,パソコンの電源を入れる前に,あるいはインターネットに接続する前に,管理者の指示を仰ぎたい。
管理者としては,休み前には各ユーザーにセキュリティ対策を徹底されるとともに,「何か起こること」を前提に休み中の対応手順などを決めておく。休み中には,社内ネットワークを適宜監視するとともに,インターネットで起きているインシデント(セキュリティに関連した出来事)などにアンテナを高くしておく。
大規模なウイルス感染といった重大なインシデントが発生して,休み明けに,ユーザーに何らかの対応(例えば,「指示があるまでパソコンの電源を入れない」)をさせたい場合には,オフラインでの告知が有効だ。具体的には,「館内放送で伝える」「張り紙をしておく」――などが有効であるとの話をいろいろなところで聞いている。
管理者の方々は,休み中も心が休まらないかもしれない。だが,休み明けにつつがなく業務を開始できるようにするために,大変だが頑張っていただきたい。IT Proでも,8月9日から8月13日まではコラムの定期更新やメール配信を一時中止するが,ニュースについては適宜更新する。重大なインシデントが発生すれば報じるので,休み中もたまにはのぞいていただきたい。
(勝村 幸博=IT Pro)
