国内企業のお盆休みを襲った「Blaster」ワーム。多くの企業やユーザーが被害に遭ったものの,最悪の状態には至らずに済んだ。その裏にはセキュリティ組織やベンダー,ISPの不眠不休の1週間があった。特に有効だったのは,業種を越えた情報交換とマスメディアを利用した注意喚起だった。

図1●Blasterワームに関する出来事
図2●Blaster対策に奔走した関係者
ここで紹介した方々はあくまでも一例。関係者のほとんどは業種を越えて情報を交換し,Blaster対策に奔走した。その結果,当初予想されたよりも,Blasterの被害を抑えられた
 すべての始まりは,7月17日に公開されたWindowsのセキュリティ・ホール(図1[拡大表示])。これを悪用すると,細工を施したパケットを送信するだけで,攻撃対象のマシン上で任意のコード(プログラム)を実行できてしまう。しかも,セキュリティ・ホールが見つかったRPCサービスは,Windows NT 4.0/2000/XP/Server 2003では,デフォルトで有効になっている。

 つまり,「パッチを適用する」「(パーソナル)ファイアウオールを利用する」「Windowsの設定をセキュアにする」といった対策を施していなければ,サーバーであろうと,クライアントであろうと関係なく攻撃を受ける。関係者の多くは,この重大なセキュリティ・ホールが公開された時点で,悪用するコード(ツール)やワームが必ず出現すると予想,Webなどで注意を呼びかけた。

悪用可能なコードが出現

 事態は,心配した通りに推移した。7月26日前後には,セキュリティ・ホールを悪用するコードがインターネット上に公開され,ワームの出現が一層現実味を増した。

 8月4日になるとツールを利用したと思われる攻撃が確認され始めた。ラックは,同社の顧客に対する攻撃を検知し,8月6日に公表した。「実環境での攻撃が確認されたことで,緊張は高まった」(コンピュータセキュリティ研究所の新井悠グループリーダー)。

 同社に限らず,他のベンダーや組織も“臨戦体制”に入った。具体的には,異常なトラフィックが見られないかを観測するとともに,業種を越えた緊急の連絡体制を整えた。

新聞やテレビを使え

 そして日本時間の8月12日,Blasterが出現した。“準備期間”があったため慌てることはなかったが,ここから関係者の不眠不休が始まった。

 「Blasterはそれほど複雑ではないので,大まかな動きはすぐに解明できた」(トレンドマイクロ トレンドラボ・ジャパン アンチ・ウイルスセンターの岡本勝之ウイルスエキスパート)。「ベンダーや組織がそれぞれ個別に解析し,内容を確認し合った」(マイクロソフト グローバルテクニカルサポートセンター セキュリティレスポンスチームの小野寺匠テクニカルリード)。事前に作った連絡体制が,まずここで有効に働いた(図2[拡大表示])。

 解析の結果,その日のうちにBlasterの中身が明らかになる。「パソコンをインターネットに接続するだけで感染する」「8月16日以降,マイクロソフトの『Windows Update』へアクセスするURLの一つ『windowsupdate.com』に,DoS(サービス妨害)攻撃を仕掛ける」――といったことだ。ユーザーには一刻も早く対策を施してもらう必要があった。

 経済産業省(経産省)は「一般紙やテレビで報道してもらわないと,被害を抑えることはできない」(商務情報政策局 情報セキュリティ政策室の山崎琢矢課長補佐)と判断。8月13日の朝,同省のWebで注意を呼びかけ,同日午後2時にはプレス発表をした。さらに,8月15日午後4時には記者会見を実施した。同省では「重要度は『Webでの告知』『プレス発表』『記者会見』の順で高くなる。ウイルスやワームについて,プレス発表や記者会見まで実施したのは今回が初めて」(山崎氏)だった。これが奏功し,15日と16日には,テレビなどの報道が続いた。

 マイクロソフトも8月15日に新聞で注意を呼びかけた。通常の広告として掲載するには時間がかかるので,緊急の社告として掲載した。

DoS攻撃を回避せよ

 ユーザーへ注意を促す一方,関係者は8月16日以降のDoS攻撃に備えた。「バックボーンは十分耐えられると思ったが,DoS攻撃がインターネットにどういう影響を及ぼすのか分からない部分があった」(インターネットイニシアティブ 事業推進本部 サービス統括部の齋藤衛課長)。

 結論から言うと,DoS攻撃は回避することができた。対象URLのアドレス解決をできないようにすることで攻撃を防いだもよう。Windows Updateへアクセスする際は通常「windowsupdate.microsoft.com」を使うので,攻撃対象のwindowsupdate.comを無効にしてもほとんど問題ない。記者が確認したところ,8月16日午前0時の数十分前はwindowsupdate.comのアドレスを解決できたが,午前0時を過ぎるとアドレス解決はできなくなった。

 しかし,具体的な対策について,マイクロソフトの口は重い。「対策方法を話すと,(同社の)サイト構成や規模などがある程度分かってしまう。これらはコンフィデンシャルな情報なので話せない。また,対策方法が明らかになると,それを回避するワームの出現を招くことにもなる」(小野寺氏)ためだという。

休み明けの18日が次のヤマ

 8月16日を乗り切った関係者の心配は,すぐに8月18日に移った。というのも,国内の多くの企業でお盆休みが終わるからだ。「社員が,休み中に自宅でノート・パソコンをインターネットに接続してBlasterに感染。そのノート・パソコンを社内ネットワークに接続して,社内にまん延」というシナリオが十分に考えられた。実際,「8月12日の時点で,社内から感染が拡大しているケースが報告されていた」(ラック JSOC事業本部 IRT部の岩井博樹グループリーダー)。

 経産省では,8月16日午後4時に,Webで再度注意を促すとともに,各紙各局の記者に直接連絡した。その結果,8月16日夜のテレビや8月17日の朝刊で大きく取り上げられた。

 「8月18日の朝,企業からの被害報告は何件かあったが,当初予想していたほどではなかった」(経産省の山崎氏)。「マスメディアの効果は大きかった。一般ユーザーだけではなく,企業のシステム管理者などにも周知徹底できた」(ラックの新井氏)。これは,今回取材した関係者のほとんどから聞かれた感想である。

 とはいえ,マスメディアができるのは,注意を促して情報を提供するまで。「多くの企業では,土日に“対策会議”を実施したようだ。システム管理者はお盆休み返上だったとも聞いている」(ラックの新井氏)。被害が出なかった企業や組織においては,システム管理者やセキュリティ担当者が最大の功労者だったといえる。