News 2001年8月9日 11:51 PM 更新

Code Red拡散の責任は“管理者の不注意”だけではない?

Code Redウイルスでは,IISサーバを放置した“管理者の不注意”が指摘される。しかしながら,根本的には,現場の担当者だけに責任を押しつけるのは問題があるかもしれない。

 「対策を講じることはできたのに,それを実践した企業が少ない」。IIS(Internet Information Service)サーバのバッファオーバーランを利用した「Code Red」ウイルスについて,こう指摘するのは米Network AssociatesのプロダクトマネジャーであるCarl Mannering氏だ。

 IPA/ISEC(情報処理振興事業協会)やアンチウイルスベンダー各社が,IISの脆弱性をチェックするよう呼びかけていたにもかかわらず,Code Redの被害は拡大。IPA/ISECによれば,国内では数千サーバが感染している恐れもある(8月6日の記事参照)。「セキュリティ関係の仕事をしている人たちは,こうした状況にフラストレーションがたまっている」(Mannering氏)。


米Network AssociatesのCarl Mannering氏

 「確かに,Code Redの感染方法はこれまでとは違う。従来のウイルススキャンは,“コンテナ”の中に入ってくるトラフィックを選別する方法だった。だが,Code Redではコンテナ自体が感染してしまうようなもの。しかしながら,ウイルス対策ソフトが効かない状況とはいえ,IISサーバにパッチさえ当てておけば問題なかったはずだ」(同氏)。

システム管理者の責任は?

 では,全ての原因は“管理者の不注意”にあるのだろうか。Mannering氏は,「ウイルス対策という意味で捉えれば,それだけではない」と強調する。

 「Code Redの場合は管理者の不注意が指摘されることが多いが,根本的には,企業自体がセキュリティについて真剣に考えていないと思われる。米国でも役員会の議題にセキュリティ関連の内容が取り上げられることはあまりない」(Mannering氏)。

 またMannering氏は,システム管理者に責任があるとしたら――セキュリティについて全く考えていない“職務怠慢”な管理者は除くとして――「役員会のメンバーに論理的にウイルス被害の可能性を報告していないことだ」と指摘する。

 「ウイルスに感染してHDDの内容が消えてしまったり,ネットワークを遮断することになったら,どれだけの被害額になるのか。それを明確にし,セキュリティの取り組みを強化することを訴えるのが,システム管理者の役目ではないだろうか」(同氏)。

関連記事
▼ Code Redの活動状況と傾向を探る
▼ 危険度はオリジナルを超える新種「Code Red II」
▼ Code Redの攻撃でルータも悲鳴
▼ Code Redでも問題に――頭の痛いバッファオーバーラン

関連リンク
▼ 日本ネットワークアソシエイツ

[中村琢磨, ITmedia]

Copyright © ITmedia, Inc. All Rights Reserved.