実録? セキュリティ管理者の嘆き特集 いま、ウイルス対策を再考する:運用編(3/5 ページ)

» 2004年12月28日 18時58分 公開
[二木真明(住商エレクトロニクス),ITmedia]
前のページへ 1|2|3|4|5 次のページへ

 それは、ファイアウォールのライセンス上許された同時利用セッション数が限界に近づいたという警告だった。このアラートによれば、同時に6000セッションという大量の通信が行われているという。

 ラボの、しかも朝の始業前にそれはないだろう……とC氏は思った。きっとファイアウォールで何か問題が発生しているに違いない。そう思ったC氏はラボへと走った。

 ラボには、すでに数人のエンジニアが出社していた。「ファイアウォールがおかしいな」と彼が言うと、慌ててファイアウォールを担当しているエンジニアが状態を調べはじめた。

 「ICMPが異常に出てますね。何でしょう?」その言葉に、彼はちょっと背中が寒くなった。「『Nachi』じゃないっすか?」誰かがすかさず言う。

 そう、彼もまさにその可能性を直感していた。しかし、こうしたウイルスに関する知識は、人に教えるくらい熟知している技術チームの面々である。まさか自分たちが……と焦りにも似た思いを抱くと同時に、C氏は思わず「誰だ!!」と叫んでいた。

意外な犯人

 ファイアウォールのフィルタ設定で、外部との通信はすぐに遮断されたが、問題は内部だった。

 もちろん、ファイアウォールのログから、感染しているとおぼしきPCのIPアドレスはすぐわかる。ラボ内には、実験や検証目的のためパッチが適用されていないサーバも存在する。その前提でラボのネットワークは分離されているのだが、ではいったい誰がウイルスを持ち込んだのだろうか。アドレスの一つはDHCP割り当ての範囲だったので、ノートPCが疑われた。

 持ち込んだ犯人はすぐに判明した。昨日まで出張に出ていたエンジニアが、出張先でNachiウイルスに感染し、それをラボネットワークに持ち込んだのだ。彼は忙しさにかまけてパッチの適用を行っていなかったのである(Case1の例に通じるものがある)。

 当然、部長たるC氏の立場としてはお灸を据えなければならない。これは周囲への見せしめでもある。ひとしきりクドクドと説教を垂れ、哀れなエンジニアをヘコませたC氏だったが、事故はまだ終結していない。持ち込まれたNachiに感染してしまったサーバがあと2台あったからだ。

 1つは、既に担当エンジニアが感染に気が付き、ネットワークから切り離されていた。しかし、残る1個のアドレスには誰も心当たりがない。

 これもまた問題である。誰も管理していないアドレスが存在していること自体、好ましいことではないからだ。とにかく、そのサーバを探すように指示したC氏は自分の席に戻った。

 しばらくしてC氏のところに部下から電話がかかってきた。問題のサーバを見つけて切り離したという。早速そのサーバを立てた人間に説教を垂れようと、C氏はラボに向かった。しかし、エンジニアたちの様子がおかしい。みんな笑いをこらえている様子だ。不思議に思ったが、とにかくC氏は犯人を知りたい。

 「どのサーバだ?」と聞いたC氏に、1人のエンジニアが黙って1台のサーバを指さした。C氏は一瞬絶句した。それは、C氏自身が夏休み前にインストールしたサーバだったからだ。

 C氏は休暇明けにパッチを当てるつもりでいて、サーバそのものはネットワークに接続した状態で、すっかりその存在を忘れてしまっていたのだった。C氏と彼の技術チームの間にしばらく気まずい雰囲気が漂ったことは言うまでもない。

 紺屋の白袴、灯台もと暗し……まさに「とほほ」な話である。

教訓

・専門家ほど自分の行動には注意しよう

・実験目的のサーバは、安易にネットワークに接続し放置しない

・出張先で自分のPCをネットワークに接続する必要がある時は、あらかじめ最新パッチの適用とウイルス定義ファイルの更新を確認しておこう

・ファイアウォールのログ、アラームからワーム侵入がわかることもある

Case3:饒舌な侵入者

 最近、他の会社のウイルス対策サーバから、出した覚えのないメールについてのウイルス感染警告がよく送られてくる、という人も少なくないだろう。これは、その人がメールをやりとりしている誰かがウイルスに感染し、その人のアドレスを詐称したウイルス付きのメールが大量にばらまかれたからである。迷惑な話だが、顔の広い人ほどこうしたリスクも大きくなるから、有名税だと思ってあきらめるしかなさそうだ。

 筆者も時々、同僚からウイルス付きメールをもらうことがある。といっても、同僚が感染したわけではなく、同僚がメールをやり取りしている誰かが感染したということなのだが、親しい相手からのメールだと、ついつい添付ファイルを開いてしまいそうになるから危険だ。実際に、友人や同僚からだと思って感染してしまった人も多いから、メール自体が怪しいと思ったら開くのはやめて、本人に確認した方がいい。

 このような送信者メールアドレスの詐称は、昨今のメール送信型のウイルスでは一般的になっているが、単に自分のメールアドレスを詐称されるということにとどまらず、場合によっては深刻な問題を誘発する。次は、そんな話だ。

前のページへ 1|2|3|4|5 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ