特集 いま、ウイルス対策を再考する:運用編実録? セキュリティ管理者の嘆き (5/5)
社内の宛先には、事業部長クラスや取締役などが多数含まれていた。これは、感染者のPC内に、これらの人たちから届いた、もしくは宛てたメールが多数保存されていることを意味する。つまり感染者は一般社員というより、たとえば部長クラス以上の管理職ではないかと推測される。
また、同様に発信元メールアドレスのドメインには、特定の取引先メーカーのドメインがいくつか見られた。つまり感染者は、これらの取引先と関係のある部署の所属である可能性が高い。ここまで対象を絞ることができれば、感染者捜しはかなり楽になる。
ほどなく、感染者はある事業部長だと特定された。たまたま自分の部下のメールアドレスを詐称したウイルス付きメールが届いたため、怪しいとは思いつつも開いてしまったらしい。
自社の取引関係がバレる?
やれやれ……と思いながら日常業務に戻ったD氏だが、ふと思うところがあって、ウイルス対策サーバのログを改めて眺めてみた。
折しも世間は新種ウイルス騒ぎの真っ只中。あちこちから大量のウイルスメールが届いている。D氏の会社のメールサーバは以前、やはり大規模にウイルスが蔓延した時に、外部から送りつけられてくるウイルスメールの負荷にたえかねて、大幅な配送遅延を引き起こし、業務に支障が出たことがあった。その後、サーバはより高性能なものに強化されたのだが、今回もかなり負荷は上がっている。
ウイルス付きメールが送られてくるIPアドレスは、いくつかに絞られていた。DNSを使って逆引きした結果得られた名前からは、それらの多くがファイアウォールであることが想像できた。
昨今のメール大量送信型ウイルスは、感染したPCから直接、外部のメールサーバにSMTPで接続する。このため外部から見ると、相手が企業などの場合、発信元はNATを行っているファイアウォールのグローバルアドレスになることが多い。それ以外の多くはプロバイダドメインのアドレスで、この場合はダイヤルアップもしくはブロードバンド接続を行っている個人ユーザーが発信元だと推測できる。
ここでD氏が着目したのは、こうした企業サイトからのメールだ。メールの宛先はD氏の会社なので、当然、これら発信元の企業は自社と何らかの関係がある企業だと考えられる。つまり、発信元企業の社員が、D氏の会社の社員のメールアドレスをPC内に持っているということだ。
D氏は同時に、発信元として詐称されているアドレスに着目してみた。そこにはさまざまなドメインが含まれている。つまりその会社(=感染元)は、D氏の会社だけでなくこれら詐称に使われたドメインの会社などとも何らかの関係があると推定できる。
「待てよ……」とD氏は思った。
「ということは、ウイルス感染が発生した企業は、自社の取引関係を外部に暴露しているようなものじゃないか」。個々のユーザーまでは分からなくても、メールサーバなどのログを集計すれば、ウイルスを送りつけてくる会社のおおまかな取引関係を把握することもできそうだ。
D氏は一瞬にやりとしたが、すぐに浮かない表情になった。というのも、このウイルスに感染した某事業部長も、外部に自社の取引先関係を暴露してしまったことになるからだ。会社的にも大きな「とほほ」である。
D氏はその日のうちに一連の内容をレポートにまとめ、「クライアントPCからメールサーバを経由しないSMTPは自社のファイアウォールで通過禁止とする」という提案を添えて、上司である情報システム部長に提出した。後日この提案が採用され、ただちに実施されたことは言うまでもない。
・「怪しいメールの添付ファイルは開かない」「不用意にリンクをクリックしない」ということは繰り返し繰り返しユーザーに啓蒙する
・知り合い、同僚からのメールでも怪しいものは別途確認する
・一般のPCから外部SMTPへの直接発信は禁止したほうがよい
終わりに
さて、これらの3つの小話はいかがだっただろうか。教訓としていくつかの項目を挙げてみたが、前回までの話を念頭に読んでいただけたなら、これら「とほほ」の理由と、これから何をすべきかはおわかりのはずだ。
なお実際の現場には、もっと「とほほ」な話も多いのだが、お話しするにはちょっと差し障りがあることばかりなので、ご勘弁願いたい。
以上、運用現場からの視点でウイルス/ワーム対策について書いてきたが、これまでの記事が読者諸氏のウイルス対策に役立つならば幸いだ。ウイルス/ワーム対策に限らず、ITセキュリティの世界は攻める側と守る側との終わりのない競争である。気持ちをひきしめて取り組んでいきたい。
Copyright© 2012 ITmedia, Inc. All Rights Reserved.
オンラインムック Special
- PR -Special
- PR -Special
- PR -ITmedia転職・求人 今週の特集
新着記事
- 最新プロセッサ対応のPowerEdgeシリーズ9種を発表 デル(5月24日 18時57分)
- PCI Express機器をイーサネットでつなぐ「ExpEther」、NECが商用化(5月24日 18時21分)
- 「Googleは特許侵害していない」 Android−Java訴訟、Oracleに不利な陪審員評決(5月24日 18時17分)
- Windows 8は起動が速過ぎてブートオプションメニューを出せない?(5月24日 17時37分)
- 油圧機器大手のKYB、堅牢さ求めIT基盤をデータセンター移行(5月24日 16時03分)
- 全プラットフォームでマルウェアが急増、日本はボットネット感染も増加――McAfee報告書(5月24日 15時54分)
- Oracle、ソーシャルマーケティングツールのVitrueを買収(5月24日 15時43分)
- SAPPHIRE NOW 2012 Orlando Report:多彩なゲストスピーカーも 写真で振り返るSAPPHIRE(5月24日 15時42分)
- バッファロー、Xeonプロセッサ搭載のハイエンドNAS製品を発売(5月24日 14時27分)
- 日本HP、北九州にデータセンターを開設(5月24日 14時16分)
- ケーズHD、基幹システム統合にOracle Exadataを採用(5月24日 13時55分)
- Facebookの下方修正を隠した? 株主がIPOをめぐって提訴(5月24日 13時19分)
- 人生はサーフィンのように:ストレス社会との付き合い方(5月24日 12時00分)
- 米Yahoo!、“検索ブラウザ”の「Axis」をPCとiOS向けに公開(5月24日 11時20分)
- iOS向けGoogle検索アプリがアップデート iPhone版もデザイン刷新(5月24日 09時26分)
- 松岡功のThink Management:「思いやり経営」のススメ(5月24日 08時00分)
- ホワイトペーパー:全日本空輸(ANA)など大手8社に学ぶ、全社の課題解決事例(5月24日 08時00分)
- Microsoftの月例更新プログラムで一部に不具合の報告あり(5月24日 07時31分)
- HP、2万7000人のリストラを発表 3期連続の減収減益(5月24日 07時25分)
- Google、検索結果でマルウェア感染マシンに警告(5月24日 07時15分)
アクセストップ10
節電お役立ち情報(スマートジャパン)
ITmediaはアイティメディア株式会社の登録商標です。