企業で多発するマルウェア騒動から学ぶもの：Webと結び付く最近の脅威（1/3 ページ）

Downad（Conficker）ワームやUSBメモリウイルス、Web改ざんなど、企業システムでの大規模なセキュリティ騒動が後を絶たない。これらの事象からセキュリティ対策に生かせるポイントとは何だろうか。

[國谷武史，ITmedia]

　1990年代後半から2000年代前半にかけて、「Blaster」や「Nimda」「Sasser」といったワームによる大規模被害が企業システムを中心に発生した。2008年以降、「Downad」（別名Conficker）ワームによる大規模な感染被害が再び発生。同ワーム以外にも、リムーバブルメディアを通じて感染する「Autorun」ウイルスや、Webサイトの改ざんを狙うウイルス「Gumbar」（別名JS-Redir、Geno）、アプリケーション開発環境Delphiで感染を広げるトロイの「Induc」といった被害が続いている。

　企業システムを中心に相次ぐ脅威から、現在のセキュリティ対策にはどのような課題が残され、攻撃者はどのような目的を達成しようとしているのだろうか。トレンドマイクロでウイルス解析や脅威分析を担当する平原伸昭氏に、これらの脅威からそれぞれ読み解くことができる傾向と対策のポイントを聞いた。

トレンドマイクロの東京リージョナルトレンドラボ（ウイルス解析施設）で脅威分析を担当する平原氏

結果的に露呈した企業の課題

　まず、2008年後半から2009年春ごろまで猛威を振るったWindows Serverサービスの脆弱性（MS08-067）を悪用するDownadワームの特徴を再確認してみよう。なお、Downadワームの感染被害は下火になったものの、今なお新規の感染報告は続いている。

　Downadワームは当初、感染するとシステム復元ポイントを削除してWindows Update Serviceを無効化する。また、辞書攻撃によってローカルネットワークの共有パスワードを破り、近隣のマシンに感染を広げる仕組みだった。2008年末に登場した亜種以降、Autorun機能を使ってリムーバブルメディアでも感染を広げるものや、外部サーバに接続して自身をアップデートする機能を持つようになった。

　さらに、4月1日には指定された外部サーバに接続して何かしらの新機能をインストールする設定になっていたことが判明した。結果的に4月1日にこの機能が実行されても大きなトラブルは発生しなかったが、一部の感染マシンではその後、セキュリティ対策ソフトを装ってユーザーに金銭を要求したり、スパムを大量配信したりするなどの動きが確認された。4月以降の亜種には特定の日に自身を消滅させる機能も追加されたが、その後は新たな機能実装などが見つかっていない。

　Downadワームによる感染被害は、ピークとなった2009年1〜3月に企業のPCやサーバを中心に数千万台規模に広がったとみられる。一方、個人ユーザーでの感染被害は小規模にとどまった。

　企業を中心に被害が発生した点について、平原氏は画一的なセキュリティ対策の運用が原因の一部になった可能性があると指摘する。「Confickerワームの手口は攻撃者が意図的に狙ったというよりも、どのマシンに対しても同じような対策を実施している企業のクライアント環境に合ってしまったようだ」（同氏）

　企業のセキュリティ対策では、多数のクライアントPCやサーバに対するウイルス定義ファイルの配信やパッチ適用などの作業を管理者が一元的に行うのが一般的だ。大企業ならば数万台規模にもなるマシンの1台1台へ、迅速に定義ファイルやパッチを適用するのはほぼ不可能であり、効率性やコスト面からも集中管理方式が広く受け入れられている。

　しかしDownadワームのケースでは、攻撃者側が短期間のうちに次々に手口を変えたため、企業によっては定義ファイルやパッチの適用に対する検証が終えないうちに大規模感染につながってしまったケースが目立ったという。

　こうした状況は、かつてのBlasterやNimda、Sasserなどによる被害と類似している点も多い。画一的なセキュリティ対策において脆弱な部分が見つかった場合の対応が難しいことや、システム運用における慎重すぎるほどのセキュリティ対策が被害拡大を招くといった可能性がある。

　平原氏は、「最近ではベンダーのセキュリティ対応も良くなっており、アドバイザリーやパッチが迅速に提供されている。自社のシステムに対して正しいリスク評価とポリシーの整備を行い、優先的に保護すべき部分には最新の情報を積極的に活用していくことが望ましいのではないか」とアドバイスしている。