2003年の夏は,一般の方や子供たちにとっては,それほど暑さを感じさせることなく終わったようだ。しかし,筆者のようにセキュリティにかかわる者にとっては,とても暑かったといえるだろう。「Blatser」などのワームが出現し,猛威を振るったからだ。
季節も秋になり,Blaster騒動も一応収拾した。Blasterに関しては,既にさまざまな形で報道されているが,今回の記事では,現場で見たBlasterによる被害状況や,それを基にした今後対策を紹介したい。
対策していたはずなのに被害に遭った
既にご存知のように,BlasterはWindowsのセキュリティ・ホール「RPCインターフェースのバッファオーバランによりコードが実行される(823980)(MS03-026)」を悪用するワームである。このセキュリティ・ホールをきちんとふさいでいれば,感染することはなかった。しかし,感染被害に遭ったユーザー企業を筆者らが調査すると,「きちんと対策を施したはずなのに…」と答えるシステム管理者は少なくなった。
対策を施していたのに,なぜ被害に遭ったのか。それは,システム管理者が各社員のPCの利用形態や対策状況を正確に把握できていなかったことが第一の原因である。
「対策を施したはずなのに被害に遭った」という管理者に話を聞くと,確かに対策は施していたようだ。具体的には,
- 社内のマシンにパッチを適用するととも,きちんと適用されていることを,検査ツールなどで確認した
- 社内のマシンにインストールされているウイルス対策ソフトのウイルス定義ファイルが最新のものになっていること(あるいは,対策ソフトがウイルス定義ファイルを自動更新する設定になっていること)を確認した
適切な対策である。問題はないように思える。しかし,上記の対策を施したのは,社員のデスクにあるクライアント・マシンや,サーバー・ルームにあるサーバー・マシンに限られていた。営業マンなどが持ち歩いて社外で使用し,帰社すると社内LANに接続して使用するノート・パソコンは対象外だった。
社内に置かれたマシンと異なり,ノート・パソコンは「パッチを適用していない」「ウイルス定義ファイルを更新していない」という,未対策の状態であったのだ。そのようなパソコンを直接インターネットに接続すれば,Blasterなどに感染することは当然の結果といえる。そして,感染したパソコンをLANに接続すれば,Blasterなどは当然社内に蔓延することになる。
社内のマシンがすべて対策済みならば,それ以上感染が拡大することはない。しかし,LANに接続するノート・パソコンは一台ではないだろう。誰かが持ち込んだBlasterは,LANに接続している未対策のノート・パソコンに次々と感染を広げていく。さらに,Blasterによって,LANのトラフィックが増大し,きちんと対策を施しているマシンも正常に使用できない状態になる。
システム管理者が各社員のPCの利用形態や対策状況を把握していれば,ノート・パソコンによるBlasterなどの持ち込みを防げただろう。もちろん,管理者ばかりを責めることはできない。ノート・パソコンのユーザーが責任を持ってきちんと対策を施していれば,被害を防げた。被害に遭った企業のシステム管理者の中には,「ノート・パソコンのユーザーには,『自分できちんと対策を施すように』と指示を出していた」と言う方もいた。にもかかわらず,対策を施さなかったために,被害が発生したのだ。
技術的な対策は費用対効果を考慮
では,今後どのようにすれば,Blasterで発生したような被害を防げるだろうか。まず,技術面での対応策が考えられる。
現在,社内にどのようなIT資産(マシン)が存在し,LANにどのようなマシンが接続されているのかを把握するには,「IT資産管理ソフト」を導入すると有用である。また,LANに接続しているマシンに最新のパッチやウイルス定義ファイルを適用するソフトや,それらの適用状況を集計するソフトも市場にはいくつか存在するので,それらの利用も有用である。
ただし,これらのソフトでは,LANに接続していないことが多いノート・パソコンの状況を把握することが難しい。そこで,ノート・パソコンそれぞれにパーソナル・ファイアウオールを導入することも望ましい。
また,Blasterなどのワームが社内に持ち込まれた場合に,すぐ検知できるようにIDS(侵入検知システム)を導入したり,リモートからネットワークを監視してもらうサービスを利用したりする対策も考えられるだろう。
上記のような製品やサービスを新たに導入するには当然コストがかかる。導入に際しては,費用対効果を十分考慮する必要があるだろう。
運用管理体制の見直しを
とはいうものの,技術による対策だけでは不十分である。重要なのは,運用管理面での対策である。技術による対策は,あくまでも運用管理による対策を補うものと考えるべきだろう。
運用管理面での対策で不可欠なのは,ノート・パソコンなども考慮したセキュリティ・ポリシーの作成と運用である。既に多くの企業ではセキュリティ・ポリシーを作成し,運用していることだろう。セキュリティ・ポリシーでは,パッチの適用やウイルス対策についても定めていると思う。しかし,システム管理者が比較的管理しにくいノート・パソコンについては,十分な管理規定が記載されていないようである。
ノート・パソコンについて,以下に関する管理規定がない場合には,早急に評価してセキュリティ・ポリシーに盛り込むべきである。
- ノート・パソコンの利用方法と管理方法
- 最新のパッチおよびウイルス定義ファイルの適用方法
- 社内LANへの接続方法および許可/不許可の判断基準
- 自宅での利用方法(例えば,「自宅でのインターネット接続は禁止」など)
ウイルス/ワーム対策ではないが,盗難や紛失による情報漏えいに備えて
- 認証方法やディスクの暗号化
もちろん,以上をセキュリティ・ポリシーに盛り込んでも,それだけでは意味がない。社員全員がその内容を理解し運用しないと,絵に描いたもちである。
セキュリティ・ポリシーを周知させる方法の一つとして,最近ではWebによるオンライン教育を利用する企業が多いようだ。オンライン教育ならば,各社員が都合がよい時間に受講できるし,会社側でも受講状況を確認できるので有用である。
受講後,きちんと理解したことを確認するために試験を実施する企業も増えている。「試験に合格しないと,マシンを利用させない」という企業もあるようだ。
Blasterのようなワームは今後も出現する。Blasterを教訓に,社内のセキュリティ体制やセキュリティ・ポリシーを見直す必要がある。
小杉 聖一 (KOSUGI Seiichi) 
NECソフト株式会社 ITソリューション事業部
iネットソリューション部
IT Proセキュリティ・サイトが提供する「今週のSecurity Check [一般編]」は,セキュリティ全般の話題(技術,製品,トレンド,ノウハウ)を取り上げる週刊コラムです。システム・インテグレーションやソフト開発を手がける「NECソフト株式会社」の,セキュリティに精通したスタッフの方を執筆陣に迎え,分かりやすく解説していただきます。
