ニュース
» 2010年01月07日 16時23分 UPDATE

「DOWNAD」ワーム被害の99%が企業――対策の穴が拡大要因に

トレンドマイクロは、2009年の不正プログラム動向を総括し、企業に求められるセキュリティ対策を実施してほしいと呼び掛けた。

[國谷武史,ITmedia]

 トレンドマイクロは1月7日、2009年の不正プログラムの動向を総括する記者説明会を開催し、企業に求められるITセキュリティ対策の実施を徹底してほしいと呼び掛けた。

 同社が2009年通期でユーザーから報告を受けた不正プログラムのランキングは、以下の通り。

順位 検出名 通称 種別 件数 前年順位
1 MAL_OTORUN オートラン その他 3617件 1位
2 WORM_DOWNAD ダウンアド ワーム 1538件 圏外
3 BKDR_AGENT エージェント バックドア 784件 2位
4 TSPY_KATES カテス トロイの木馬型 470件 New
5 TSPY_ONLINEG オンラインゲーム トロイの木馬型 467件 6位
6 JS_IFRAME アイフレーム Java Script 405件 3位
7 TROJ_VUNDO ヴァンドー トロイの木馬型 347件 7位
8 TROJ_SEEKWEL シークウェル トロイの木馬型 342件 New
9 MAL_HIFRM ハイフレーム その他 326件 4位
10 TROJ_FAKEAV フェイクエイブイ トロイの木馬型 240件 圏外

 トップの「MAL_OTORUN」は、USBメモリなどのリムーバブルメディアを通じて感染を広げるもので、2008年に続いて報告数のトップとなった。2位の「WORM_DOWNAD」(別名『Confiker』)は2008年秋に報告されたWindowsの脆弱性を突いて拡散するワームで、MAL_OTORUNと同様にリムーバブルメディアでも感染を広げる。

 同社の脅威監視センターを担当する飯田朝洋氏は、リムーバブルメディアが不正プログラムの主要な感染経路として定着し、また、WORM_DOWNADの被害では企業でのセキュリティ対策が十分ではない現状が明らかになったと指摘する。

 WORM_DOWNADは亜種が出現するごとに機能が追加されたのが特徴。当初は脆弱性のあるマシンだけを標的にしていたが、ネットワーク上にあるコンピュータをスキャンして脆弱性が解消されておらず、また、強度の弱いパスワードが設定されたマシンを標的にして感染を広げるようになった。

 さらにはリムーバブルメディアでの感染機能を持つようになり、企業でゲートウェイ部やネットワーク、クライアントマシンなどで多層的にウイルス対策を実施していても、WORM_DOWNADが潜むリムーバブルメディアをコンピュータに直接つないでしまうことで、多層型の対策をすり抜ける状況を生じることになった。

 同社に寄せられたWORM_DOWNADの感染報告は99%を企業ユーザーが占め、個人ユーザーは1%だった。対策には、Microsoftが提供する修正パッチの適用やウイルス対策ソフトの利用、USBメモリの自動実行の禁止などが提唱されたが、企業環境ではこうした対策が十分に生かされなかったと推測される。

 飯田氏は、「個人ユーザーはすぐに修正パッチを適用できるが、企業では事業活動に影響が出るとして簡単にできない事情もある。特にオンラインビジネスを展開している場合、パッチ適用で万が一システムに不具合が出れば収益に直接影響するだろう。しかし、WORM_DOWNADの発生で対策を考え直すべきだろう」と話した。

trendmicro01.jpgtrendmicro02.jpg WORM_DOWNADがリムーバブルメディアを悪用するためのファイルや、脆弱なパスワードを効率的に発見するための辞書(左)。2010年は2009年にみられた脅威が続くとして「システム」「運用」「ユーザー」の三位一体の対策がますます求められるという(右)

 WORM_DOWNAD被害の教訓として、飯田氏は最新のセキュリティシステムの利用と、セキュリティポリシーやルールの見直し、ユーザーへの教育・啓発を徹底してセキュリティレベルを高めるべきと提唱する。

 システム面では、未知の不正プログラムが数秒に1種類のペースで出現する現状があるといい、定義ファイルを利用するだけの従来型対策が限界に近づいているという。近年の不正プログラムはインターネットを通じて攻撃者が設置する外部システムと連係している場合が多く、飯田氏はセキュリティ企業などのデータベースを利用してコンピュータが接続する先のWebサイトの安全性をリアルタイムに評価する「Webレピュテーション」技術を使えば、こうした脅威を低減できると説明した。

 また、ポリシーやルールの見直しでは、リムーバブルメディアを安全に利用する方法や、修正パッチの適用計画、パスワード設定などを脅威の状況に照らして柔軟に運用していくべきだという。ユーザーへの教育・啓発は、個人によって関心度の合いやITスキルが異なるために、企業や組織全体で効果を徹底させるのが難しい。同氏は、「セキュリティ脅威がどうなっているかを知っているか、知らないかだけでも違いは大きい。ユーザーが不審な事象を感じ取れるレベルに高めていただきたい」と同氏はアドバイスした。

 最後に飯田氏は、企業でのセキュリティトラブル対応の経験から、組織間の発言力の違いといった企業内文化にも注目すべきと指摘した。

 「多くの企業では収益を上げる事業部門の発言力が強く、システムやセキュリティの運用は事業部門の都合が優先されてしまいがちになる。しかし、セキュリティを統括するのはIT部門であることが多く、セキュリティレベルを高めるにIT部門が主導できる風土にしていくべきだろう」(飯田氏)

企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

過去のセキュリティニュース一覧はこちら

関連ホワイトペーパー

トレンドマイクロ | 運用管理 | USBメモリ | 脆弱性


Copyright© 2017 ITmedia, Inc. All Rights Reserved.

ピックアップコンテンツ

- PR -

注目のテーマ

マーケット解説

- PR -