特集
» 2005年09月01日 00時00分 公開

特集:ホントに使える? 検疫ネットワーク再入門:検疫ネットワークが必要とされるワケ (1/3)

2003年の夏に発生したBlasterワーム。その苦い教訓を機に注目を集めるようになった検疫ネットワークは、いま、徐々に成熟に向かいつつある。その果たす役割について改めて振り返ってみよう。

[小山安博,ITmedia]

 もう記憶が薄れかけている人もいるかもしれないが、2003年8月に世間を騒がせたBlasterワームは、TCP 135番ポートに対して特殊なデータを送信し、Windowsの重大な脆弱性であるMS03-026を悪用して感染を拡大するタイプのワームだった。発見されたのは8月12日。登場してすぐに急速に感染を拡大し、世界中に被害を与えた(関連記事)

 Blasterに感染すると、Windowsの異常終了や再起動、大量のデータ送信によるネットワーク帯域の消費といった被害が発生、さらにネットワーク内のマシンやインターネット経由で感染を拡大しようとする。

 このワームが爆発的に流行した理由としては、MS03-026の脆弱性を修正していないパソコンがネットワークに接続しているだけで感染してしまったからだ。Webページの閲覧やEメールのプレビューすら必要なく、ユーザー側が何もしなくても感染してしまう。

 MS03-026の脆弱性は、WindowsのRPC(Remote Procedure Call)にバッファオーバーランの脆弱性が存在していたというもので、2003年7月中に修正パッチがリリースされていた。その後インターネット上で実証コードが公表され、そしてその実証コードをほとんどそのまま使ったBlasterワームが登場した。

 Blasterの被害は9月には沈静化したが、Blasterが残した教訓は大きかった。Blasterは、ユーザーが何のアクションをしなくてもネットワークにつないでいるだけで感染し、さらに同じLAN内のマシンに感染を拡大しようとしたため、特に企業では、外部で感染したモバイルパソコンが持ち込まれ、社内LANに接続したとたんにLAN内に感染が拡大した、という例が頻発した。一説には、感染の約4分の1が持ち込まれたパソコンからの感染だったという。

 何より、修正パッチが存在していたにもかかわらず、それを適用していなかったマシンが企業内にあり、それに感染が広がっていったという点で、企業のセキュリティポリシーがきちんと守られていないことが露呈されたのだ。

 同様の被害は、2004年のNetsky、Sasserといったネットワーク感染型と呼ばれるウイルスでも起こり、いずれも大きな被害を出した。

既存のセキュリティ対策の限界

 それまで企業が無策だったというわけではない。むしろ、さまざまなセキュリティ製品が導入されていた。

 たとえばクライアント側であれば、ウイルス対策ソフト、パーソナルファイアウォールソフト、パーソナルIPS(Intrusion Prevention System:侵入防止システム)といった製品があったし、サーバ側であれば、ゲートウェイ型ウイルス対策製品(ソフト、アプライアンス)、ファイアウォール、IPS/IDS(Intrusion Detection System:侵入検知システム)などといった製品が使われていた。

 メールで感染を拡大するタイプのウイルスであればゲートウェイのウイルス対策でブロックできるし、ネットワーク感染型のウイルスも、ファイアウォールを適切に設定していれば防げる。IPS/IDSによってウイルス以外の攻撃も防御できるだろう。

 しかし、Blasterは、これらの対策では防げなかった。

図1 ウイルスに感染した端末が直接ネットワークに持ち込まれてしまったとき、既存のセキュリティ対策は無力だった

 もちろん、本来はクライアント側が適切に脆弱性を解消し、ウイルス対策ソフトやパーソナルファイアウォールソフトを最新の状態にアップデートしていれば、ウイルスの攻撃は防げるはずであった。セキュリティ意識の高い企業であれば、こうした対策をセキュリティポリシーとして明文化しているところも多かっただろう。

 しかしBlasterの流行によって、これが守られていなかったことが明らかになった。企業としてのポリシーは決めてあったが、社員がこれを守るよう強く指導してこなかったのかもしれない。

 複数の対策によってせっかくLAN外からの攻撃は防いでいたのに、外から持ち込まれたパソコンによって内部から感染してしまった――これが、Blasterが残した教訓だ。外からの攻撃を守るだけでなく、内側からの攻撃を未然に防ぐ。このために生まれたのが「検疫ネットワーク」だ。

 また、今年4月の個人情報保護法の全面施行も、検疫ネットワークの普及に影響を与えている。同法によって一定の数の個人情報を取り扱う業者に対して個人情報を保護するための取り組みが義務づけられており、ウイルスに感染して内部から情報が漏えいした、といった被害が発生しないようにするためにも検疫ネットワークに注目が集まっているようだ。

検疫ネットワークの本質

       1|2|3 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ

マーケット解説

- PR -