ウイルス対策を考える

Robert Lemos(Staff Writer, CNET News.com)2003年02月17日 00時00分

 米国Eビジネスアプリケーションベンダー、Siebel Systemsは、世界中を猛襲したワームを回避できたと考えていた。

 1月最後の週末、別名SapphireやSQL Hellとも呼ばれるSQL Slammerは、各社のネットワークに猛威を振るった。Siebelでは、社内システムがこのワームに感染していないか終日かけて調査し、海外拠点でわずかな影響を受けた以外は攻撃を避けることができたと信じていた。


企業名 被害状況
Bank of America 多くのATM機が土曜日、使用不可能に。その他の金融機関も影響を受けた。
Continental Airlines* オンラインでのチケット発券や、自動チェックインに問題が生じたため、数便が遅延、もしくは欠航となった。
Microsoft Windows XPが起動不能に。また、ロールプレイングゲームサイトAsheron's Call 2への接続が困難となった。MSNへの接続も断続的となる。
シアトル市内* 911番の緊急電話が通話不能となる。
Washington Mutual 月曜日までATM機が使用不可能に。その他の金融機関も影響を受けた。
出典: CNET News.com, *Associated Press

 しかし、ワーム感染の拡大が始まった夜から3日以上経った火曜日、SlammerワームはSiebelのイントラネットに侵入し、そこで大量のトラフィックを発生させた。

 「Slammerは、会社のネットワークをノックアウトさせたのだ」とSiebelの最高情報責任者(CIO)、Mark Sundayは言う。「このワームが作り出すネットワークトラフィックの量は、今までに見たこともないほど強力なものだ」

 今回の攻撃を経験して、いかなる攻撃防御策をとっていたとしても絶対に安全なネットワークは存在しない、という痛い教訓を得た。これまで、情報システムの信頼性に確固たる自信を持っていたBank of AmericaやAmerican Express、Microsoftといった大企業でさえ、Slammer攻撃によって自社ネットワーク上にデータがあふれかえった。ある試算によれば、Slammerによる損害はおよそ10億ドルとも言われるが、最大の損害は、ソフトウェアの修正パッチをあてたり他のセキュリティソフトをアップデートすればネットワークシステムが安全に保てるというあてが外れたことだ。セキュリティの専門家達は、そろそろこういった攻撃を避けられないものと考え、鉄壁の守りを作ることに投資するのではなく、いかにダメージを最小限に押さえるかに注力するべきだと言う。

 米Trend Micro、北米アンチウイルス調査部ディレクター、Joe Hartmannは、「ここ数年の間に、われわれはウイルスを未然に回避することはできないものだと認識するようになった」と言う。

 今回ワームの犠牲者となった企業は、自社のネットワークシステムが脆弱であったことに気づき、また一旦Slammerのようなワームがセキュリティのわずかな隙を突いて社内ネットワークに侵入すると、それを除去するために何日もかかることを実感した。

 Siebelは、米国ユタ州にある2つのデータセンターにそのネットワークインフラの大部分を移していたにもかかわらず、ワームに感染したことで社内は大混乱となった。さらにSlammerワームは、カリフォルニア州サンマテオにある本社のイントラに侵入し、ネットワークを制圧。セキュリティ担当チームが一日以上かけて感染したサーバを探して駆除したが、その間電子メールやサーバのファイルはほぼ使えないも同然だった。

 基幹ネットワークに対する重大な脅威を監視している政府基幹の1つ、IT-ISAC(Information Technology Information Sharing and Analysis Center)の運営統括部長、Peter Allorは、「Slammerの与えた被害は、NimdaやCode Redに匹敵する」と述べている。

 Code Redは約4KB(4,096バイト)、Nimdaは約60KB(61,440バイト)というファイルサイズに対し、SQL Slammerワームはわずか376バイトである。同ワームは半年前にMicrosoftがパッチを発行したばかりのセキュリティホールを突き、インターネットに接続されている数々のコンピュータをそのコピーで埋め尽くした。ワームのファイルサイズが小さいため、送信には1データパッケージあるいは1パケットで済み、また、自動的に標的のメモリーに入り込むことで感染させることができた。

 カリフォルニア大学サンディエゴ校、Lawrence Berkeley国立研究所、およびセキュリティコンサルティング会社のSilicon Defenseによる合同調査団のレポートによると、このファイルの軽さが原因で、最初の10分間に世界中の脆弱なサーバのほぼ90%が感染するという今までに類のないスピードで被害が拡大したのだという。

 これに対してCode Redは、先に脆弱なサーバを探してきてからコピーを送っていた。Code Redの場合、37分間隔で感染したサーバの数が倍増したが、Slammer場合はそれが8.5秒間隔だった。Code Redに感染したサーバの台数は、2001年7月の1ヶ月間で40万台近くに上る。一方、Nimdaの感染力はしぶとく、2ヶ月たっても企業内ネットワークで増殖しつづけた。

 しかし、SlammerはNimdaよりもずっと楽に駆除できる。サーバを再起動すればワームは消えた。Incidents.orgのデータによると、Slammerで感染したマイクロソフトSQLのサーバ数は、Code Redの被害数の約半数の20万台だったという。

 それにもかかわらず、Slammerの与えた影響は、今までのものよりもはるかにたちの悪いものだった。

 「このワームの場合、(ウイルスに感染していることを)顧客が知ってしまった。これは今まで誰も経験したことがない状況だ」とAllorは言う。過去にも、ワームやウイルスによって業務が中断されることはあっても、その事実が外に漏れることはなかった。

 「今回は顧客に影響を及ぼしてしまった」とAllorは続けて言う。「電話がつながらず、飛行機が飛べなくなった。銀行のATMも機能しなくなった。」

 また、この世界を席巻した終末劇は、自己繁殖プログラムという特徴だけで引き起こされているものではなかった。企業システムの弱点である、データベースが標的となったことで被害は増長した。

 「データベースにアクセスする必要のあるユーザーは何百万人もいるものだ」と、FBIセキュリティ関連部門執行委員のPhyllis Schneckは言う。「各ユーザーに脆弱な点がなくても、データベースにアクセスすることで影響を受けてしまった。」

 それはまさにBank of Americaで起こった。1月25日の朝、Bank of AmericaのATM機は一切現金を引き出すことができなくなってしまった。理由は、Slammerに感染したサーバから莫大な量のデータが発生し、社内ネットワーク上にある複数のデータベースへのアクセスをさえぎったことによる。

 同行の広報担当Lisa Gagnon氏によると、「ATM機使用時、機械は社内ネットワーク上にあるデータベースと通信を行うのだが、このワーム攻撃でネットワークが混み合ってしまったため、通信が行えなかった」と言う。

 このプログラムの分析結果によれば、確かにサーバ一台が感染し、ワームのコピーを大量生産することで、100Mbpsのイーサネットをパンクさせることは論理上可能であるという。

 同日夜遅く、ほとんどのATM機は元通りにサービスを提供できるようになった。同行は、ワームの侵入口を突きとめたと言うが、セキュリティ上の理由からその詳細についての説明は行わないとしている。

 Gagnon氏は、「修正パッチに隙があったにせよ、パッチ適用を忘れたサーバがあったにせよ、二度と同じ事が起こらないよう今後の対策を立てていく」と述べた。

 言うは易し、行うは難しだ。業界大手のMicrosoftでさえ、企業内システムやソフトウェアセキュリティに関する長年の取り組みにもかかわらず、このワームに対処する防御策は完璧ではなかった。

 Microsoftの社内情報技術グループ内を巡った一連の電子メールを見れば、SQL Slammerの猛襲に対抗すべく情報をかき集めようと混乱する現場を容易に想像することができる。

 Microsoft情報技術グループのデータセンター運営部門ディレクター、Mike Carlsonは、現地時時間の1月25日午前8時4分に送ったEメールで、「われわれの提供する全てのアプリケーションとサービスが(ワームの)影響を受ける可能性があり、パフォーマンスは断続的に稼動している」と述べ、「ネットワーク上に大量のトラフィックが発生したため、現在起こっている事件に関する詳細情報を集めることがほぼ不可能に近い状態にある」と伝えている。

 今回の事件でMicrosoftは厳しいレッスンを受けた、と言うのは同社最高情報責任者(CIO)のRick Devenutiだ。

 アプリケーション同士がデータを通信するときに使われるソフトウェアアドレスをポートと呼ぶが、Microsoftは社内ネットワークシステムのセキュリティ強化に注力していたにもかかわらず、ビル間における通信については全てのポートを開放していたのである。Slammerはポートの入り口を見つけ、切り離しのできないネット体系のためにシステム内を駆け巡ってしまう結果となった。

 先のインタビューの中でDevenutiは、「たった1台のサーバの感染で、攻撃をもろに受けてしまう」と語っている。「すべてのコンピュータを常に100%完璧な状態に保つことはとても困難だ。われわれは修正パッチ管理を簡便にしようと努めているが、完璧を目指すことは非常に難しい。また今回の事件で、そのレベルに全く到達していないことがわかった」

 企業に在籍するネットワーク管理者の多くは、セキュリティホールを完全にふさぐことができると主張する。しかし、現在急増中のセキュリティ専門家らは、企業のシステム防御戦略標語とも言える「修正パッチの完全適用」について、本当に続ける意味があるのかと疑問を投げかけている。

 「どんな人物であれ、次々発表される修正パッチを継続的に管理していくことは至難の技だと言うことをSlammer襲撃は教えてくれた」と米Oracleのセキュリティ最高責任者、Mary-Ann Davidsonは語る。

 MicrosoftやOracleは、次から次へと増えつづけるパッチの中で最も深刻度の高いものから対応できるよう、優先順位付けに奮闘している。ただでさえ労働負荷の高いシステム管理者にとって、優先度がわかることは重要だ。また、優先順位をつけることでシステムのどの部分が重要で、そこに時間をかけてパッチをあてる必要があるかどうかの判断材料にもなる。

 「修正パッチを適用するときに、システムとそのパッチの相性をテストする時間が取れなかったという理由で、自社の注文管理システムが稼動直前にダウンするという最悪の事態は誰も迎えたくない」とDavidsonは言う。

 Microsoftは、修正パッチの配布で痛い経験をしている。Code Redによる攻撃の1ヶ月ほど前、同社の製品Exchangeサーバソフトウェアのアップグレード版に対する修正プログラムを2度リリースしたが、2つ目の修正パッチをリリースした直後、パッチを適用したサーバがクラッシュしているとの報告をうけ、あわてて引っ込めたことがある。

 セキュリティベンダーCitadel Security SoftwareのCEO、Steve Solomonは、「みな時間がないのだ」と言う。Citadel Security Softwareでは自動修正パッチ適用システムを開発しており、通常業務に追われているネットワーク管理者の間でとても評判がいいのだという。

 現状、働きすぎのシステム担当者の心情をSolomonはこう語った。「修正パッチの適用作業は単調なわりに手間隙のかかる作業で、もはや彼らは手動での維持管理をする気はない」と。

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画広告

企画広告一覧

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]