Conficker騒動はセキュリティ対策を見直すきっかけに：感染手法は古典的

4月1日に予想されたConfickerワーム騒動は平穏な結果に終わったが、これをきっかけにセキュリティ対策を見直す必要がありそうだ。

[國谷武史，ITmedia]

　4月1日に予想されたワーム「Conficker.C」（別名Downadup）の新たな行動は、結局ことなきを得たが、ワーム感染を防ぐための対策を考え直すきっかけにはなったようだ。

　Windowsの脆弱性を突くConfickerの被害は昨年後半から増加し始め、フィンランドのセキュリティ企業F-Secureによれば最盛期には世界で1000万台以上が感染した。特に亜種のConficker.Cは、4月1日に5万以上のIPアドレスの中から任意のアドレスにアクセスするよう設定され、この日に機能追加などの新たな行動に出ることが予想された。

　米国ではCNNニュースが特集を組むなど、個人や企業を問わず多数のPC利用者を巻き込む騒ぎとなったが、F-SecureやMcAfeeの解析からConficker.Cは事前に予測された以外の行動は見せず、結局新たな被害は確認されなかった。

　セキュリティ企業各社によれば、Confickerの感染被害の大半を企業のPCが占めていた。各社が指摘するのは、Confickerが突く脆弱性のセキュリティパッチがMicrosoftから提供されているにもかかわらず、企業側で適用が遅れたためであるという。一方、個人ではMicrosoft Updateが自動適用しているユーザーが大多数とみられ、Confickerの感染報告は企業に比べて圧倒的に少なかったとしている。

　企業側の対応が遅れる理由については、一般的にパッチ適用に伴うシステム運用への影響を懸念する声が根強い。パッチ適用でシステムが停止するなどの万が一の事態を避けるため、検証に可能な限り時間を費やすのがというのがシステム管理者の「常識」でもある。

　こうした声に対し、マイクロソフトセキュリティレスポンスチームの小野寺匠氏は、4月1日の公式ブログの中で疑問を投げかけている。現在の企業システムでは高可用性を重視しているため、システムが冗長化されていればメインとサブのシステムへ順番にパッチ適用をすれば、大きな問題にはならないというのが同氏の見解だ。また、月例のパッチ提供がすでに定着し、リリース品質も向上しており、クライアント環境で再起動による業務中断などの影響は大きな問題にならないのではないかという。

　また、エフセキュア技術主任の荒川悟史氏は、Confickerの別の亜種である「Conficker.B」が実装したUSBメモリ経由による感染へ対策が遅れたことが被害拡大の原因だと指摘する。

　「USBメモリによる感染は、かつて見られたCDやFDD経由で感染を広げる方法と同じ古典的な方法。近年のマルウェア感染はインターネット経由が主流で、その対策は進んでいたが、Confickerはその盲点を突いて広がった」（同氏）

　国内の同社顧客からは最盛期で1日あたり20〜30件のConfickerの検体提出があったが、被害拡大や対策方法が周知されるにしたがって減少し、現在では同1〜2件程度だという。

　今回のConficker騒動で、「特に企業側にはセキュリティ管理のあり方を見直すきっかけになるのではないか」と荒川氏は提起する。「例えばUSBメモリの対策では情報漏えい対策として情報の保存を規制するなどの方法が広まっているが、マルウェアが持ち込まれる可能性もあり、USBメモリを利用する場合にウイルスチェックを必ず行うなどのルールが必要になる」（同氏）

　アプリケーションの脆弱性を突く攻撃がますます増える中で、今後はセキュリティパッチの適用作業も含めたセキュリティ管理のあり方を見つめ直す必要がありそうだ。

過去のセキュリティニュース一覧はこちら