ウイルス感染を許す「魔の時間」とは
~脆弱性の公表から1ヶ月が勝負~
ダウンアド感染端末500台!ウイルス感染から安全宣言まで
2009年は、「MAL_OTORUN(オートラン)」、「JS_GUMBLAR(ガンブラー)」といったウイルスが猛威を奮い、これらのウイルスは、今年に入ってもいまだその衰えを見せていません。特にガンブラー型攻撃で脆弱性への対策の必要性を感じた方も多いかと思われますが、そこで忘れてはならないのが、「WORM_DOWNAD(ダウンアド)」。ダウンアドも脆弱性を狙って感染しますが、さらに恐ろしい点は、社内の脆弱性を狙って、全社に感染を拡大する点です。今回は、ダウンアドの感染被害に遭い、トレンドマイクロの特別サポートチームが介入・収束した実例をもとに、ウイルス感染に潜む問題点と対策方法をご紹介します。
昨年、約8,000台のPCを有し、複数の拠点を持つある大規模企業がダウンアドに感染しました。この企業では、すべてのPCにウイルス対策が施されており、さらにゲートウェイ対策としてファイアウォールやIDS/IPSを導入していました。しかしその一方で、システム管理者が本社にしかおらず、複数ある拠点は本社からリモートで管理されていました。そんな中、システム管理者の目に留まったのが、ポート445を使用した異常な量のトラフィックです。ログを分析したところ、1ヶ月前に突然の不審なトラフィックの発生を確認、ダウンアドに感染したことがわかったのです。早速、管理者は駆除ツールを使用して対応したものの、感染はその後も拡大、拠点が全滅するという事態に陥り、感染発覚から1ヶ月が経った時点で、依頼を受けたトレンドマイクロの特別サポートチームが沈静化に乗り出しました。
トレンドマイクロのサポートチームは、次の考え方をお客さまに理解していただきながら、問題の解決に当たりました。
- 感染の情報を整理
- ウイルスの動きや駆除方法を確認
- どこから手をつけるのか優先順位の決定
まず「感染の情報の整理」として、ログの確認とリアルタイム分析の結果、感染原因がUSBメモリであったことを突き止め、さらにPCはウイルス対策製品のパターンファイルが古いままであったことや、設定が本社や拠点でバラバラだったこともあわせて判明しました。
また今回のケースでは、「優先順位」として、まず企業活動の根幹となるミッション・クリティカル・システムから着手、ダウンアドが感染に利用するマイクロソフトの「MS08-067」の脆弱性に対するパッチ適用を行って、駆除ツールを一斉展開する方法に決定しました。
この考えに基づき、トレンドマイクロのサポートチームでは、駆除用パターンの適用と、作成した駆除ツールによって事態を沈静化させるとともに、このパターンが引き続き有効であるかどうか、経過を観察しました。そして、6日後にはほぼ終息、チームの最初の訪問から1週間後には安全宣言を出すことができました。しかし、結果としてウイルス感染から1ヶ月、復旧までには1週間の計5週間かかったことになり、被害総額としては、感染した端末約500台、システムの停止と業務の一時停止を含めて数千万円の被害が出たと想定されています。
実例から見る、レガシーシステムが抱える問題点とは
今回の感染実例の発端は、外部から持ち込まれたUSBメモリでした。そして、企業内PCに脆弱性対策としてのセキュリティパッチが適応されていなかったことや、インストールされていたウイルス対策製品のパターンファイルも最新の状態でなかったため、感染したUSBメモリの社内PCへの接続を許してしまい、結果として社内全体に感染が拡大してしまったと思われます。
ここで特に注意が必要な点として、あらためてシステムの脆弱性対策の重要性が浮き彫りになってきました。脆弱性は、不正プログラムの作成者など、攻撃者にとっては格好のターゲットです。システムの開発ベンダーが提供するセキュリティパッチの適用を迅速に行っておかないと、攻撃には対処できません。
しかしこの企業同様、セキュリティパッチを迅速に適応できない企業や、また重要なシステムの移行が難しく、結果として「レガシー」と呼ばれるサポート切れのOSを利用している企業は、決して少なくありません。特にレガシーOSについては、提供元のサポート終了がセキュリティパッチの提供の終了を意味しており、利用者は脆弱性を自力で解消しなければならない、という課題に直面することになります。
企業システムを守るための「3つの課題」
ここまでの事例、また脆弱性の観点から、2010年の企業システムのセキュリティにおける課題をまとめてみましょう。
セキュリティの3大課題としては、以下が挙げられます。
- 新しいセキュリティパッチが出ても、適用する時間がない
- レガシーOSで構築されているシステムが残っている
- パターンファイルでは防ぎきれない未知の脅威への対応の必要性
1つ目のセキュリティパッチについては、ソフトウェアの深い部分にも修正を加えるものが多いため、適用前に他への影響を検証する必要があり、結果として迅速な適応ができない、パッチの適用が個人にゆだねられていて適用が進まないという背景もあるようです。あるアンケートによれば、新しいセキュリティパッチが提供された際に、パッチを当てるまでの時間が「1ヶ月以内」という回答は53%、「1ヶ月以上」は46.7%という結果が出ています。この1ヶ月という期間は重要で、たとえばダウンアドが感染に利用したマイクロソフトの「MS08-067」のパッチ公開は2008年10月24日であったにもかかわらず、実際に日本企業で最初にダウンアドの感染被害が報告されたのは2008年11月25日でした。つまり、ダウンアドの例から見ると、1ヶ月以内にパッチを当てないと感染の危険性が急激に高くなるのです。しかし現実には、パッチを当てるまでに時間がかかるばかりか、そもそも「パッチを当てられない」という回答が21.0%と、2割以上にも上っています。
2つ目のレガシーシステムにおける課題は、本年夏に大きな転機を迎えることになります。サポート終了により、Windows XP SP2およびWindows 2000に対するセキュリティパッチが提供されなくなるのです。しかし現状では、企業におけるWindows 2000サーバのシェアは63.6%もあり、しかもそのうち43.4%はサポートが終了してもそのまま使い続けると回答しています。こういったレガシーな環境は、今後も残り続けると予測されますが、脆弱性を解消できないシステム上で業務を続けていくのは非常に危険であるといえます。
3つ目はパターンファイルでは防ぎきれない未知の脅威への対応です。ウイルスの登場サイクルは加速度的に早くなっており、パターンファイル更新の遅れによって感染の危険が高まる可能性があります。またウイルスの増加に伴いパターンファイルの容量が増加することで、企業ネットワークやストレージを圧迫したり、PCへのインストールなどに時間がとられたりといった弊害も顕著になっていくと考えられます。実際に、2009年9月に公開されたパターンファイルの容量は、2005年1月のものから約5.3倍に増加しているのです。
このように昨年から脅威が続いているウイルスに対して、セキュリティパッチが当てられない期間を「魔の時間」と呼んでいます。この「魔の時間」に対して、サポート切れのレガシーOSを保護するシステム、また未知の脅威に対する対策を早急に整えなくてはなりません。
トレンドマイクロのソリューション、そして対策の正しい理解
まず、クライアントおよびサーバOSの脆弱性に対する攻撃を防御する「Network VirusWall Enforcer(NVWE)」は、セキュリティパッチの適用が遅れているPCやサーバはもちろん、サポートの終了したレガシーOSの脆弱性も保護します。外部と内部の脅威に対応するため、万一社内で感染が発生しても被害を最小限に食い止めることが可能です。さらに検疫機能も搭載するため、持ち込みPCなどをネットワークに接続した際に、セキュリティポリシーに合致しないPCの接続を制限できます。
このNVWEは、「Threat Management Solution(TMS)」と連携することで、未知の脅威への対策を行うこともできます。TMSではこのほか、脅威を「見える化」できるレポート機能などを提供するほか、専門家からアドバイスやサポートを受けることもできます。ともにアプライアンス製品のため、容易な導入が可能です。なお、ホストコンピュータにインストールするタイプのインテリジェントファイアウォールで、多くの機能を実装するワンパッケージセキュリティ製品「DeepSecurity」にも「仮想パッチ」機能が搭載され、未パッチのシステムを保護することが可能です。
そして、大規模感染などの際、立場を超えて対応することができる、柔軟な組織を作ることも必要です。ウイルス収束に要する時間は、駆除などの作業時間より、むしろ組織間調整に使われることが多いため、専門的なチームを配置しておくことで、駆除ツールやパターンファイルの一斉展開が容易となり、ダウンタイムを短縮することもできます。
総合的なシステムセキュリティ実現に向けて、効果的なシステム、サービスを導入・活用するだけでなく、対策の正しい理解の促進、ウイルスに強い組織を作ることを強くお薦めします。
