検疫ネットワークが必要とされるワケ:特集:ホントに使える? 検疫ネットワーク再入門(1/3 ページ)
2003年の夏に発生したBlasterワーム。その苦い教訓を機に注目を集めるようになった検疫ネットワークは、いま、徐々に成熟に向かいつつある。その果たす役割について改めて振り返ってみよう。
もう記憶が薄れかけている人もいるかもしれないが、2003年8月に世間を騒がせたBlasterワームは、TCP 135番ポートに対して特殊なデータを送信し、Windowsの重大な脆弱性であるMS03-026を悪用して感染を拡大するタイプのワームだった。発見されたのは8月12日。登場してすぐに急速に感染を拡大し、世界中に被害を与えた(関連記事)。
Blasterに感染すると、Windowsの異常終了や再起動、大量のデータ送信によるネットワーク帯域の消費といった被害が発生、さらにネットワーク内のマシンやインターネット経由で感染を拡大しようとする。
このワームが爆発的に流行した理由としては、MS03-026の脆弱性を修正していないパソコンがネットワークに接続しているだけで感染してしまったからだ。Webページの閲覧やEメールのプレビューすら必要なく、ユーザー側が何もしなくても感染してしまう。
MS03-026の脆弱性は、WindowsのRPC(Remote Procedure Call)にバッファオーバーランの脆弱性が存在していたというもので、2003年7月中に修正パッチがリリースされていた。その後インターネット上で実証コードが公表され、そしてその実証コードをほとんどそのまま使ったBlasterワームが登場した。
Blasterの被害は9月には沈静化したが、Blasterが残した教訓は大きかった。Blasterは、ユーザーが何のアクションをしなくてもネットワークにつないでいるだけで感染し、さらに同じLAN内のマシンに感染を拡大しようとしたため、特に企業では、外部で感染したモバイルパソコンが持ち込まれ、社内LANに接続したとたんにLAN内に感染が拡大した、という例が頻発した。一説には、感染の約4分の1が持ち込まれたパソコンからの感染だったという。
何より、修正パッチが存在していたにもかかわらず、それを適用していなかったマシンが企業内にあり、それに感染が広がっていったという点で、企業のセキュリティポリシーがきちんと守られていないことが露呈されたのだ。
同様の被害は、2004年のNetsky、Sasserといったネットワーク感染型と呼ばれるウイルスでも起こり、いずれも大きな被害を出した。
既存のセキュリティ対策の限界
それまで企業が無策だったというわけではない。むしろ、さまざまなセキュリティ製品が導入されていた。
たとえばクライアント側であれば、ウイルス対策ソフト、パーソナルファイアウォールソフト、パーソナルIPS(Intrusion Prevention System:侵入防止システム)といった製品があったし、サーバ側であれば、ゲートウェイ型ウイルス対策製品(ソフト、アプライアンス)、ファイアウォール、IPS/IDS(Intrusion Detection System:侵入検知システム)などといった製品が使われていた。
メールで感染を拡大するタイプのウイルスであればゲートウェイのウイルス対策でブロックできるし、ネットワーク感染型のウイルスも、ファイアウォールを適切に設定していれば防げる。IPS/IDSによってウイルス以外の攻撃も防御できるだろう。
しかし、Blasterは、これらの対策では防げなかった。
もちろん、本来はクライアント側が適切に脆弱性を解消し、ウイルス対策ソフトやパーソナルファイアウォールソフトを最新の状態にアップデートしていれば、ウイルスの攻撃は防げるはずであった。セキュリティ意識の高い企業であれば、こうした対策をセキュリティポリシーとして明文化しているところも多かっただろう。
しかしBlasterの流行によって、これが守られていなかったことが明らかになった。企業としてのポリシーは決めてあったが、社員がこれを守るよう強く指導してこなかったのかもしれない。
複数の対策によってせっかくLAN外からの攻撃は防いでいたのに、外から持ち込まれたパソコンによって内部から感染してしまった――これが、Blasterが残した教訓だ。外からの攻撃を守るだけでなく、内側からの攻撃を未然に防ぐ。このために生まれたのが「検疫ネットワーク」だ。
また、今年4月の個人情報保護法の全面施行も、検疫ネットワークの普及に影響を与えている。同法によって一定の数の個人情報を取り扱う業者に対して個人情報を保護するための取り組みが義務づけられており、ウイルスに感染して内部から情報が漏えいした、といった被害が発生しないようにするためにも検疫ネットワークに注目が集まっているようだ。
検疫ネットワークの本質
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 生成AIは検索エンジンではない 当たり前のようで、意識すると変わること
- VPNやSSHを狙ったブルートフォース攻撃が増加中 対象となる製品は?
- 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
- ランサムウェアに通用しない“名ばかりバックアップ”になっていませんか?
- “脱Windows”が無理なら挑まざるを得ない「Windows 11移行」実践ガイド
- 標的型メール訓練あるある「全然定着しない」をHENNGEはどう解消するのか?
- HOYAに1000万ドル要求か サイバー犯罪グループの関与を仏メディアが報道
- 「Gemini」でBigQuery、Lookerはどう変わる? 新機能の詳細と利用方法
- 爆売れだった「ノートPC」が早くも旧世代の現実
- 攻撃者が日本で最も悪用しているアプリは何か? 最新調査から見えた傾向
ITmediaはアイティメディア株式会社の登録商標です。