エンタープライズ:ニュース 2003/08/21 18:19:00 更新


周知徹底は周知されていなかった――MSBlastからベンダーが学んだこと

MSBlastの蔓延によって、対策法やパッチ配布に関する告知は、まだまだ限られた範囲にしか及んでいないことが明らかになった。

 目の前に缶詰がある。この缶詰を何とかして開けて中身を食べないと大変なことになるのだが、そのために必要な缶切りも缶詰の中に入っているのだ。いったいどうしたものだろう?

 Windows RPCインタフェースの脆弱性(MS03-026)を悪用して蔓延した「MSBlast」を前に、多くのユーザーが直面した問題がまさにこれだった。そしてこれは、MSBlast対策に不可欠なパッチや駆除ツールを提供するベンダー側の最大の反省点の1つでもある。

 既に報じられているとおり、MSBlastはMS03-026の脆弱性を狙って感染を広めるワームだ。電子メールの添付ファイルをクリックしたり、特定のWebサイトにアクセスしたりせずとも、MS03-026の脆弱性が残ったままのPCでインターネットにアクセスしているだけで感染するおそれがある。

 MSBlastに感染すると、PCの挙動が不安定になり、再起動を繰り返すケースがある。これはどちらかといえばMSBlastの副作用であり、作者がもともと意図した挙動ではないと分析されているが、感染した本人にとってはそんなことはどうでもいいはずだ。インターネットに接続できない限り、根本的な対策である「パッチの適用」と「ウイルスの駆除」(駆除ツールおよび最新定義ファイルのダウンロード)ができない。

 中には、とにかく対策しなくてはとウイルスを削除したものの、Windows Updateからパッチをダウンロードし、適用するまでのわずかの間に2度目の感染を受けてしまったユーザーもいる。

パッチを適用する手段が遮断

 MSBlastの蔓延を受け、トレンドマイクロやマイクロソフトがそれぞれ開催した説明会でも、このことが反省点として挙げられた。

 「MSBlastに感染すると、RPCサービスのエラーメッセージが表示されるために気付く人も多い。しかしおかげで、問題を修正しようとしてもネットワークに接続することができない。一連の対応で最も苦労した部分だ」(トレンドマイクロアンチウイルスセンター、ウイルスエキスパートの岡本勝之氏)。

 また、マイクロソフトの経営戦略担当取締役、東貴彦氏も、「電子メールやWebといったネットワーク経由の告知に偏りすぎていた。ユーザーがネットワークにつなぎたくてもつなげない中では(この告知手法は)有効ではなかった。それが最大の反省点だ」と述べた。

 この背景には、企業システム内で利用するユーザーよりも、自宅などでPCを利用する一般コンシューマーが多くMSBlastの被害を受けたことが挙げられるだろう。自宅に1台きりしかないPCがワームに感染してしまい、ネットワーク接続ができなくなってしまうと、パッチを適用するための手段が閉じられたことになり対策が困難だ。またこれとは別に、一時Windows Updateサービス自体が混雑し、アップデートしたくともできない状態が生じたことも事実である。

まだまだ認知度は低い

 そもそも、マイクロソフトのセキュリティレスポンスチームマネージャの奥天陽司氏によると、MS03-026に関しては、7月中旬の脆弱性情報の公開以来多くの問い合わせがあり、Webへのアクセスやパッチのダウンロードもこれまでとは桁違いに多かった。同社としても、特設ページを設けるほか、140万通を超えるメールを配信して警戒を呼びかけており、「問題についての告知が進んでいるという安心感があった」(奥天氏)という。

 にもかかわらず、MSBlastは蔓延した。つまりこれは、普段からマイクロソフトのWebサイトにアクセスし、Windows Updateのメッセージに注意を払い、パッチを適用するユーザーがいかに少ないかを示すものだ。同社のセキュリティ情報に関する告知体制が、数年前に比べると改善されているのは事実だ。しかしユーザー全体から見ればまだまだ局地的な告知に過ぎなかったといえるだろう。

 マイクロソフトはこうした現状を踏まえ、電話やFAXに加え、新聞広告などを活用したオフラインでの情報告知を展開するとともに、CD-ROM媒体で最低限のパッチ配布を行う方針を表明している。このCD-ROMは、ひとまずMSBlastやNachiの影響から免れ、ネットワークに接続するまでのところをサポートするためのものという。というのも、「CD-ROMに焼きこまれた時点のパッチと最新の状態とでは、鮮度に差が生じてしまう。このCD-ROMは、ネットワークにつなぎ、最新の状態を確認できるよう支援する『緊急避難策』という位置付け」(東氏)からだという。

 さらに長期的な取り組みとして、Windows Updateを改良し、その重要性を広く呼びかけていくということだ(別記事およびマイクロソフトの情報参照)。

 同社はMS03-026とMSBlastをめぐる一連の情報の伝え方と内容に問題があったと反省しているが、それとともに、あまねくユーザーに情報を伝えるための新たな体制作りにも期待したい。

 なお、この「缶詰と缶切り」の問題は、ネットワーク管理者にもヒントを与えてくれるだろう。MSBlastに限らず新種のウイルス発生時には、オンラインはもちろん、オフラインで適切に情報を告知する手段を考えておく必要があるだろう。本当の「掲示板」でもいいし、館内放送をかけるといったやり方もある。また、広範に影響を及ぼすウイルスが発生すると、それに便乗したデマウイルスやデマメールが出回ることも多いので、ユーザーがそうした情報に惑わされることのないよう「正規の告知手段」を確立し、周知しておく必要があるだろう。またMSBlastのときに頻繁に呼びかけられたとおり、ウイルスに感染したPCを水際で検出するとともに、感染マシンは隔離し、オフラインで修復させるための方法を用意しておくことも重要だ。

デフォルト設定の強化

 さて、マイクロソフトのもう1つの取り組みとしては、OSのデフォルト設定の見直しが挙げられる。これまでも、同社言うところの「Trustworthy Computing」で進められてきた取り組みだが、これをいっそう強化する計画だ。

 同社マーケティング本部のシニアプロダクトマネージャ、古川勝也氏は、デフォルト設定の見直しに関連して、「マイクロソフトとしては、利便性よりもセキュリティ(を優先する)という考え方に沿って取り組んでいく」と述べている。この考え方は既にWindows Server 2003で示されたものだが、同様にWindows XPに関しても、年内をめどに、デフォルトでファイアウォール機能がオンになるような変更を検討しているということだ。具体的な実現方法はまだ未定だが、新たなService Packに織り込むといった形が考えられるという。

 なお、パッチの適用に関しては、「パッチの適用によってかえってシステムが不安定になったり、今まで動いていたサービスが停止してしまう」といったユーザーの声が寄せられているのも事実だ。古川氏はこの点を認識し、特にService Packなどの重要な更新については既存サービスとの互換性を検証し、その結果をまとめたドキュメントをプログラム本体とともに公開することも必要と考え、検討を進めているということだ。

関連記事
▼特集:Windowsを危険にさらすRPCのセキュリティホール

関連リンク
▼マイクロソフト
▼トレンドマイクロ

[高橋睦美,ITmedia]