Zotob発生――そのとき、Microsoftの緊急対策室は（2/3 ページ）

[Ryan Naraine，eWEEK]

　MSRCは、公開された実証コードのテストに取りかかった。このコードは破壊的なワームを作成するための手がかりを提供するものであったため、潜在的危険性に関する新たな警告を含めた最新のアドバイザリを発行することが直ちに決定された。

　Microsoftのアドバイザリは8月11日夜遅くになって発行された。Windows 2000ユーザーを対象としたそのメッセージは、「パッチを適用すること。さもないと……」というぶっきらぼうな内容だった。一方、トゥールーズ氏とその同僚は、テストのための長い週末に備えていた。

　「われわれは実証コードを確認した。Windowsセキュリティ対策チームは、これに対してパッチが有効かどうか検証した結果、攻撃が出現するとわれわれは確信した。それは時間の問題だった」とトゥールーズ氏は話す。

　「われわれはガイダンスと防護情報をMicrosoft.com上で公開することにより、今後予想される危険について人々に警告する必要があると考えた。また、週末にかけて攻撃が発生した場合は、アドバイザリおよびそれとは別にインシデントページを用意する必要もあった。これは、あらゆるインシデントを通じて検証・改良してきたプロセスだ」（同氏）

　「攻撃が発生した場合にどんな問い合わせが予想されるかについて、製品サポートスタッフを交えて議論した。携帯電話を充電し、ポケベルに電池を入れておくよう、あらゆるスタッフに伝えた。長い週末になることを全員に理解させようとしたのだ」トゥールーズ氏は付け加える。「何か起きた場合には迅速に対応する必要があった」

　今回の攻撃は、Windows XPマシンを襲ったネットワークワームのBlasterやSasserとは違って、一般ユーザーに大きな影響を与えるには至らなかった。影響を受けたWindows 2000はコンシューマー向けのOSではなく、しかも既に主要サポートの対象外となっている。

　「Slammerの出現以降、状況は大きく変化した」とトゥールーズ氏は言う。

　「ユーザーはOSのメンテナンスの必要性を強く意識するようになった。Windows 2003 Server SP1（Service Pack 1）を使っているユーザーは、今回の脆弱性の影響を受けなかった。同バージョンでは修正が施されていたからだ。今回の出来事は、攻撃に対する製品の耐性を高め、デフォルトでセキュアにする方法を学ぶのに最適な例だ」（同氏）

　8月13日、MSRCのスタッフが各メーリングリストを再度チェックしたところ、コンセプト実証コードが修正されているのに気づいた。「人々はこのコードを見て、それをさらに危険なものに変更していたのだ。われわれはメーリングリストの議論を監視する一方で、ユーザーに被害が出ていないか把握するために、PSS（製品サポートサービス）への問い合わせも監視した」とトゥールーズ氏は話す。

　8月14日早朝、ある企業ユーザーがMSRCに連絡してきた。後にZotobとして知られることになった攻撃が初めて特定されたのだ。トゥールーズ氏はその企業名を伏せている。

　「彼らは新種の攻撃のサンプルをわれわれに提供した。これはプラグ＆プレイの脆弱性に付け込んだ攻撃であると彼らは考えていた」と同氏は語る。

　「われわれはそのコードを受け取り、独自に調査を開始した。VIA（Virus Information Alliance）のパートナーにもコードを送付し、各社が署名をアップデートして防護対策を提供できるようにした」（同氏）

　MSRCの調査により、MS05-039の脆弱性を悪用した実際の攻撃が進行中であることが確認され、今後状況がさらに悪化することが予想された。

　「8月14日の朝早く、調査担当スタッフはプロセスを開始するようわれわれに告げた。まだ広範な攻撃は見られず、ウイルス対策ベンダー各社も本格的な攻撃をまだ把握していない段階だった。しかしそれまでに収集した情報から判断し、われわれはセキュリティ対応プロセスを実行に移すことを決定した」（同氏）

　8月14日午前10時にはマスコミが騒ぎ始めた。Microsoftのレドモンドキャンパスの27番ビルに緊急対策室が設置された。

　「これは重要なインシデントと見なされたため、すべての関係者を一室に集める必要があった」とトゥールーズ氏は説明する。

　「アップデートの担当者も対策室に入っていた。製品チームのスタッフもいた。徹夜で作業を行った社内の調査スタッフも対策室に入り、コードの仕組みをわれわれに説明した。広報担当スタッフやPSSの連中もいた。全員が一個所に集り、対応プランを検討した」（同氏）

ゲイツ氏とバルマー氏へも連絡

　昼までには、Microsoftのビル・ゲイツ会長やスティーブ・バルマーCEOを含む上級幹部に状況が通知された。この「エグゼクティブeメール」も対応プロセスの重要な一部となっており、上級幹部が必ずメールを読むようにするために、このメールには高い重要度に設定された具体的な内容のタイトル行が含められる。

　攻撃について警告するために最初に発行されたセキュリティアドバイザリは、攻撃の発生が確認されたという内容に変更された。トゥールーズ氏自身も、MSRCのブログに警告を掲載した。独立したZotobインシデントページも作成されたほか、Microsoftのウイルスエンサイクロペディアも新しい脅威を反映する形で更新された。

　「独立したインシデントページは重要だ」とトゥールーズ氏は話す。

　「攻撃が進行中だというニュースを流したからには、何が起きているのか、そしてどうすれば防御できるのかを人々が理解するのに役立つ具体的な情報を提供する必要がある。ウイルスに感染したユーザーには、それを除去するのに役立つ情報も提供しなければならない」（同氏）