エンタープライズ:ニュース 2003/08/18 23:15:00 更新


沈静化へ向かうMSBlastがあぶりだしたユーザーのセキュリティ意識

経済産業省やシマンテックによると、MSBlastの感染は沈静化へと向かいつつあるようだ。

 休暇明けのオフィスにおける感染拡大が懸念されていたワーム「MSBlast」だが、8月18日午後5時過ぎの時点では、ネットワークに大きな影響は出ていないようだ。

 情報処理振興事業協会セキュリティセンター(IPA/ISEC)に寄せられた相談・届出は2080件以上に達するなど、感染被害は引き続き見られるものの、その増加率は目に見えて低くなっている。これを受けて経済産業省も、「マイクロソフト社のサイトに一斉攻撃を仕掛けるプログラムが仕掛けられた問題を回避したことに続き、『第2の山』は越えつつある」とする考え方を公表した。

 セキュリティ企業シマンテックも同様だ。シマンテックによると、同日12時時点までに寄せられたMSBlastの届出件数は全世界で9030件。うち国内からの届出件数は174件に上った。だが日付ごとに内訳を見ていくと、MSBlast発見直後の8月12日に2730件(ワールドワイド)とピークを記録した後は、徐々に減少傾向にある。

 こうした数値を踏まえ、同社Symantec Security Responseマネージャである星澤裕二氏は、引き続き警戒が必要としながらも「MSBlast(Blaster)の感染拡大は沈静の方向に向かっている」という見方を示した。この日は、社員が自宅に持ち帰ったPCがひそかにMSBlastに感染しており、社内LANに接続されたとたんに蔓延するのではという危険性が懸念されていた。しかし幸いなことに同日12時時点では、業務開始に伴う大きな被害報告は寄せられていないという。

 この理由として星澤氏は、MSBlastが「気付きやすい」ワームであることを挙げた。つまり、MSBlastに感染するとかなりの確率で再起動を強いられるなど、PCに不審な挙動が生じる。そのうえ、TCP 135番ポートに対するネットワークトラフィックが増加することから、管理者側も異常に気付きやすい。ネットワークにただつながっているだけで感染するMSBlastは蔓延のスピードも速かったが、収束・沈静化も早く済む可能性は高いと言う。

MSBlastの蔓延を招いた2つの要因

 大きく報道されたMSBlastだが、実のところネットワーク全体に及ぼした影響はCode RedやSlammerよりも小さい。ウイルス本体のプログラムも、Nimdaなどに比べると工夫が凝らされたものとは言えないという。

 「(MSBlastは)これまでの技術を寄せ集めたものに過ぎない。OSのセキュリティホールを突いて感染を広めるワームは過去にもあったし、DoS攻撃を仕掛けるワームも存在した。また、MSBlastのコード自体には欠陥もある」(星澤氏)。

 しかも、MSBlastが悪用するWindows RPC DCOMのセキュリティホール(MS03-026)はほぼ1カ月前に公開されたものであり、マイクロソフトは「緊急」の対処が必要なものと位置づけていた。この脆弱性を悪用する実証コードが公開されたこともあって、セキュリティコミュニティでは速やかなパッチの適用を呼びかけていた。

 にもかかわらず、MSBlastは急速な拡大を見せた。

 この原因を星澤氏は、大きく2つに分けて指摘している。1つは、各クライアントでの対策も含んだトータルなセキュリティ対策の欠如だ。

 過去の単純な「ウイルス」であれば、企業ゲートウェイ部分におけるファイアウォールの設置やサービスプロバイダーによるウイルスメールの検査サービスによってある程度防ぐことができたかもしれない。しかし、感染力を強め、高度化した「複合型の脅威」からシステムを守るには、パーソナルファイアウォールをはじめとするデスクトップ側での対策を組み合わせることが不可欠という。同時に、PCの持込みなどさまざまなウイルスの流入経路を考えた上で、システム設計やセキュリティポリシーを考慮することも重要だ。

 もう1つ星澤氏が指摘したのは、ユーザーのセキュリティ意識である。セキュリティの維持には、関連情報に気を配り、適宜パッチを適用するという継続的な作業が不可欠だ。これはWindowsであろうと他のOSであろうとまったく同じことである。

 しかし残念ながら、「セキュリティホールを修正するためのパッチを当てていなかったのがMSBlast拡大の一番の要因」(同氏)。逆に言えば、問題が公表されればそのつどパッチを適用し、ウイルス対策ソフトウェアの更新も行っていれば、MSBlastに感染してあたふたすることもなかった。MSBlastは多少痛い教訓ではあるが、「これを機会に(パッチの適用を含めた)セキュリティ意識が浸透するよう期待したい」と星澤氏は述べている。

 無論、頻繁なパッチの適用が必要とされるOSそのものの品質についての議論はあるだろう。しかし、マイクロソフトによる情報提供体制やパッチ適用支援の仕組み(Windows Updateなど)の面を見ると、2〜3年前に比べればずいぶん改善されている。確かに、ベンダーにはいっそうの取り組みが求められるし、パッチそのものの安定性向上やデフォルト設定の見直しなど、なすべきことはまだ残されている。だがこれと同時に、ユーザーの側でもセキュリティ意識の向上が不可欠だろう。さもなければ、第2、第3のMSBlastは避けられない。

 事実、MSBlastが広まる根本原因であるWindows RPC DCOMのセキュリティホールに対しては、MSBlastが用いたもの以外にも脆弱性実証コードが公開されている。星澤氏によると、今のところ、他の実証コードを悪用したと見られる形跡は見られないというが、同様のワームが登場してくる可能性は十分考えられるという。

関連記事
▼特集:Windowsを危険にさらすRPCのセキュリティホール

関連リンク
▼シマンテック

[高橋睦美,ITmedia]