マイクロソフトの情報ポータル「MSN」は9月18日午後11時ころ,新型ウイルス「ニムダ(Nimda)」に感染した。このあとMSNにアクセスした多数のユーザーに対して,感染を広げてしまった可能性が高い。ニムダは,マイクロソフト製品のセキュリティ・ホールを利用して感染するウイルス。このようなウイルスに感染したことは,MSNのセキュリティ対策によほどの落ち度があったと考える読者は多いだろう。しかし,MSNのWebサイトのセキュリティ対策は,決して低いレベルではなかった。それでもニムダに感染したのは,その感染能力があまりに強力だったためだ。
ニムダは,マイクロソフトのWebブラウザ「Internet Explorer(IE)5」とWebサーバー「IIS(Internet Information Server)4以上」が持つ複数のセキュリティ・ホールを攻撃して感染を広げる。どのセキュリティ・ホールも2カ月以上前に発見されたもので,修正ソフト(パッチ)が配布されている。MSNのWebシステムでも当然,これらのパッチは適用済みだった。それでもウイルスが混入したのは,マイクロソフト社内から,MSNにアップロードしたWebコンテンツに,ニムダが埋め込まれていたためである。
ニムダはパソコンに感染すると,Windowsネットワーク上のすべてのマシンを検索し,書き込み権限があれば,自分自身をコピーして感染を広げる。今回は,マイクロソフト社内のどれかのパソコンが,IEやIISのパッチをあてていなかったためにニムダに感染し,社内の多くのマシン(ファイル・サーバーなど)に一気に広がった可能性が高い。ニムダは感染すると,アクセス可能なすべてのディレクトリを検索して,すべてのHTMLファイルに自分自身を埋め込む。こうしてMSNにアップロードするコンテンツがどこかで感染してしまった。
現在なら,ニムダに対抗する有効な手段がある。最新のパターン・ファイルを導入したウイルス対策ソフトを稼働させておけば,ニムダを検知し,感染を防ぐことができる。しかし,ウイルス対策ソフト・ベンダーがニムダの存在に気付いたのは18日深夜ころ。ニムダに対応したパターン・ファイルを配布したのは,MSNが感染したあとだった。当時はどうしようもない状況だったといえる。
マイクロソフトはニムダの感染を放置していたわけではない。感染してから30分ほどたった午後11時半ころには,コンテンツをアップロードするマシンなどの挙動が不安定であることに気付き,Webコンテンツに見知らぬファイルが埋め込まれていることを発見した。そこで,インターネット上の多くのWebサイトを調べ,新しいウイルスの情報を見つけ,その対策法を見つけ出した。そこで,トップ・ページなどアクセスの多いページから順に手作業でウイルスを駆除していった。
しかし,調べていくうちに,アップロードした100以上のWebページのほとんどに,ウイルスが埋め込まれていることが分かった。手作業による対策を短時間で終えることは不可能だった。そこで,すでに集まっていた主要メンバーで会議を開き,MSNをいったんインターネットから切断することを決定。午前3時半にデータセンターに依頼し,LANケーブルを抜くことで,MSNのサービスを止めた。ユーザーからはまったくアクセスできない状態にしたのである。「『メンテナンス中です』といったページを表示させる余裕もなかった」(マイクロソフト パブリッシンググループ兼ビジネスオペレーショングループ部長の斎藤 玲紀氏)。そのあと,ウイルスを徹底的に駆除し,19日午前9時ごろにはサイトの再開にこぎつけた。再開後も,コンテンツをアップロードする経路を1つにしぼり,ウイルス・チェックを確実に実行してから手作業で更新するというように,万全を期した。「コンテンツの更新頻度を落とす必要があったが,セキュリティ対策を優先した」(斎藤氏)。
ニムダのように感染スピードがあまりに速いウイルスから,社内システムやWebサイトを守るのは容易なことではない。実際に今回のニムダは,MSN以外にも多数のサイトに感染を広げた。しかし,対策のポイントはいくつかある。地道な作業ではあるが,ウイルス対策ソフトのパターン・ファイルを確実に素早く反映させることや,IEやIISのパッチを確実にあてるといった対策は欠かすことができない。(K.A.)
