社内の宛先には、事業部長クラスや取締役などが多数含まれていた。これは、感染者のPC内に、これらの人たちから届いた、もしくは宛てたメールが多数保存されていることを意味する。つまり感染者は一般社員というより、たとえば部長クラス以上の管理職ではないかと推測される。
また、同様に発信元メールアドレスのドメインには、特定の取引先メーカーのドメインがいくつか見られた。つまり感染者は、これらの取引先と関係のある部署の所属である可能性が高い。ここまで対象を絞ることができれば、感染者捜しはかなり楽になる。
ほどなく、感染者はある事業部長だと特定された。たまたま自分の部下のメールアドレスを詐称したウイルス付きメールが届いたため、怪しいとは思いつつも開いてしまったらしい。
自社の取引関係がバレる?
やれやれ……と思いながら日常業務に戻ったD氏だが、ふと思うところがあって、ウイルス対策サーバのログを改めて眺めてみた。
折しも世間は新種ウイルス騒ぎの真っ只中。あちこちから大量のウイルスメールが届いている。D氏の会社のメールサーバは以前、やはり大規模にウイルスが蔓延した時に、外部から送りつけられてくるウイルスメールの負荷にたえかねて、大幅な配送遅延を引き起こし、業務に支障が出たことがあった。その後、サーバはより高性能なものに強化されたのだが、今回もかなり負荷は上がっている。
ウイルス付きメールが送られてくるIPアドレスは、いくつかに絞られていた。DNSを使って逆引きした結果得られた名前からは、それらの多くがファイアウォールであることが想像できた。
昨今のメール大量送信型ウイルスは、感染したPCから直接、外部のメールサーバにSMTPで接続する。このため外部から見ると、相手が企業などの場合、発信元はNATを行っているファイアウォールのグローバルアドレスになることが多い。それ以外の多くはプロバイダドメインのアドレスで、この場合はダイヤルアップもしくはブロードバンド接続を行っている個人ユーザーが発信元だと推測できる。
ここでD氏が着目したのは、こうした企業サイトからのメールだ。メールの宛先はD氏の会社なので、当然、これら発信元の企業は自社と何らかの関係がある企業だと考えられる。つまり、発信元企業の社員が、D氏の会社の社員のメールアドレスをPC内に持っているということだ。
D氏は同時に、発信元として詐称されているアドレスに着目してみた。そこにはさまざまなドメインが含まれている。つまりその会社(=感染元)は、D氏の会社だけでなくこれら詐称に使われたドメインの会社などとも何らかの関係があると推定できる。
「待てよ……」とD氏は思った。
「ということは、ウイルス感染が発生した企業は、自社の取引関係を外部に暴露しているようなものじゃないか」。個々のユーザーまでは分からなくても、メールサーバなどのログを集計すれば、ウイルスを送りつけてくる会社のおおまかな取引関係を把握することもできそうだ。
D氏は一瞬にやりとしたが、すぐに浮かない表情になった。というのも、このウイルスに感染した某事業部長も、外部に自社の取引先関係を暴露してしまったことになるからだ。会社的にも大きな「とほほ」である。
D氏はその日のうちに一連の内容をレポートにまとめ、「クライアントPCからメールサーバを経由しないSMTPは自社のファイアウォールで通過禁止とする」という提案を添えて、上司である情報システム部長に提出した。後日この提案が採用され、ただちに実施されたことは言うまでもない。
さて、これらの3つの小話はいかがだっただろうか。教訓としていくつかの項目を挙げてみたが、前回までの話を念頭に読んでいただけたなら、これら「とほほ」の理由と、これから何をすべきかはおわかりのはずだ。
なお実際の現場には、もっと「とほほ」な話も多いのだが、お話しするにはちょっと差し障りがあることばかりなので、ご勘弁願いたい。
以上、運用現場からの視点でウイルス/ワーム対策について書いてきたが、これまでの記事が読者諸氏のウイルス対策に役立つならば幸いだ。ウイルス/ワーム対策に限らず、ITセキュリティの世界は攻める側と守る側との終わりのない競争である。気持ちをひきしめて取り組んでいきたい。
Copyright © ITmedia, Inc. All Rights Reserved.