実録？ セキュリティ管理者の嘆き：特集 いま、ウイルス対策を再考する：運用編（2/5 ページ）

[二木真明（住商エレクトロニクス），ITmedia]

　だからこそB氏は早めに出社して、始業時刻前にパターンファイルを更新しようと考えたのだ。そうすれば、社員が出社してPCを起動すると直後に更新が行われる。24時間稼動のサーバ類については、その後、手動で更新してやればよい。

　B氏は手際よくパターンファイルの更新作業を行った。「やれやれ、これで一安心」と彼は自分の机に戻ると、PCを立ち上げてメールを読もうとした。メールソフトを起動してメールサーバに接続しようとした彼は、いつもより接続時間がかかり、重たいことを少し不思議に思った。そして、メールを開いた彼は唖然とした。

　そこには、社内サーバから例のワームの感染を警告するメールが大量に届いていたのだ。B氏は遅かった。パターンファイルを更新した時点でワームは既に社内に入り込んでおり、パターン更新とともに、あちこちのサーバから警告が山のように発生したのである。しかし、いったいなぜ……B氏はしばし頭をかかえた。

ダイヤルアップ接続が仇に

　読者の皆さんには、すでに原因はおわかりだろう。そう、犯人はA氏である。

　A氏がPCを社内ネットワークに接続した時点では、社内ウイルス対策管理サーバ上のパターンファイルはまだ更新されていなかった。また、不幸にもA氏は出張がちで、一週間前に配布されたセキュリティパッチをまだ適用していなかったのだ。さらに追い討ちをかけたのが、彼のダイヤルアップ接続だった。彼はダイヤルアップ接続の際、社内ネットワークへの接続をそのままにしていた。これが最も致命的なミスだった。

　ダイヤルアップした先はインターネットである。当然、そこにはすでにワームが手ぐすねを引いて待ち構えていた。1分とたたないうちに、A氏のPCはワームに感染してしまったのだ。そして社内ネットワークに接続されていたA氏のPCを経由して、社内ネットワークで稼動していたサーバが次々とワームに感染していった。

　これは、実際にどこかであった（かもしれない……）「とほほ」な話である。

教訓

• モバイル接続やワイヤレス接続をLAN接続と併用しない
• ウイルス対策パターンファイル定期自動更新のタイミングは、社員の出社前、かつできるだけ最新の状態を保てる時間という意味で、始業時間の2時間程度前に設定した方がよい
• 長期に渡ってPCを持ち出す場合は、社内管理サーバ意外にもウイルス定義ファイルの更新手段を用意する。また、帰社後はLANに接続する前に、いったん感染の有無を確認する

Case2：灯台もと暗し

　こんな話もある。

　あるシステムインテグレータに勤めるC氏は、腕利きの技術チームを率いる技術部長である。彼の技術チームは、社内ネットワークとは独立したラボネットワークを持ち、すべての環境を独自に整えている。これは、ラボ内でウイルスや攻撃ツールのたぐいについて実験を行う際、誤ってそれらが社内に入り込まないようにという配慮からだった。

　C氏自身、新しい製品の技術検証を自ら行うこともあって、ラボ内にいくつかのサーバを保有していた。ラボのネットワークの出口にはファイアウォールがあり、独自の回線でインターネットに接続されている。ファイアウォールを含めたラボ内のセキュリティシステムは部内で自主管理されている。C氏も管理者の一人としてファイアウォールへのアクセス権限を持っていた。

　ある夏の朝、C氏は自分の机でメールを読んでいた。色々なメーリングリストに参加している彼のアカウントに日々届くメールの数はかなりの数に上る。彼はいつも、朝は少し早めに出社して、夜の間に届いた米国関係のメーリングリストからのメールやシリコンバレーの取引先からのメールを読むのが日課だった。

　当然、スパムらしきメールも多い。米国ではスパムはかなり深刻な問題になっている。これに比べて国内では、まだあまり大規模なスパムは少ない。それでも、彼のように米国と頻繁にメールの交換を行うような場合、そのメールアドレスが米国側のスパム業者に捕捉されてしまい、大量の英文スパムメールが舞い込むことになる。

　特に、米国のメーリングリストへの投稿は要注意だ。いつでも閉鎖してもよい別アカウントを作り、それを投稿専用アドレスとして用いるほうがいいだろう。

それはファイアウォールのアラートから始まった

　ちょっと脱線してしまったが、話を続けよう。

　昨日までの夏休みで大量にたまっていたメールをほとんど読み終わった頃、新しいメールが着信した。そのメールを見てC氏は「おや？」と思った。それがファイアウォールからのアラートメールだったからだ。その内容を見てC氏はさらに首をひねった。「セッション数超過の警告だって？」