実録? セキュリティ管理者の嘆き特集 いま、ウイルス対策を再考する:運用編(4/5 ページ)

» 2004年12月28日 18時58分 公開
[二木真明(住商エレクトロニクス),ITmedia]

メールサーバ管理者の日常

 D氏は、ある会社のメールサーバ管理者である。彼の会社のメールトラフィックは、さほど多くないため、サーバ管理者としての彼の仕事はけっこう暇だ。時々ログを調べて、滞留したりエラーを起こしたりしたメールがないかどうかを調べたり、メールサーバ上に大量にメールを「保管」しているユーザーを探して注意したりするのが主な仕事である。

 ただし、ウイルスが大量発生した時だけは話が別だ。

 D氏の会社でも、メールサーバやクライアントPC上のウイルス対策が施されてはいる。けれど昨今のウイルスは蔓延のスピードが速く、パターンファイル更新が間に合わず社内に感染が広まってしまうこともままある。

 そのような時、メールサーバのログは、感染者に関する情報を提供して役に立ってくれることが多い。

 もちろん、最近のウイルスは自分のドメインのメールサーバを使用したりせず、自ら備えるエンジンを用いて直接相手方にメールを送信するものがほとんどだ。したがって一般的な話として、ウイルス感染者を探すならば、メールサーバよりもファイアウォールのSMTPログを調べるほうがよい。

 けれどたいていの場合、ユーザーがPC内に保存しているアドレスは、社内のものが圧倒的に多い。したがって誰か社内の端末がウイルスに感染したとすると、社外だけでなく社内に対しても大量にメールが送信される。これならば、自社のメールサーバのログから「ウイルス感染」の状況を捕捉できるわけだ。

人間関係から感染元を類推

 ある日、パターンファイル更新直後のウイルス対策サーバから、社内からウイルス付きのメールが発信されたという警告が届いた。D氏の戦闘開始である。

 発信元のメールアドレスは詐称されているから全くアテにならない。けれど、SMTPでメールを送り込んできた相手方のアドレスがプライベートアドレスならば、ほぼ確実に感染者は社内にいると判断できる。あとは社内のアドレス割り当てリストを参照して該当するものを調べ、事業所、フロアなどを特定し……と、しらみつぶしに探していくことになる。

 しかし、フロアまでは絞れても、そこから先が大変だ。何十人もの社員に当たり、一台ずつPCを調べていこうにも、情報システム部の人員や時間は限られている。担当者個々のがんばりで対応するにも限界がある。こうした事故が起こるたび、「なんとかしてうまく感染者を特定できないだろうか」とD氏は思うのだった。

 この日も、感染者の特定はなかなか進まなかった。

 D氏の会社ではこうした場合に備え、各PCのネットワークインタフェースのMACアドレスを集中管理しようという動きが進んではいる。けれどそれには規定の改定が必要とかで、そんなに大きな会社でもない割にこのような稟議には多数のハンコが必要で、具体的な動きは進んでいなかった。

 その日、メールサーバのログを見ていたD氏はあることに気がついた。メールの発信元や宛先に「ある傾向」が見られたのだ。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ