松本市、かくBlasterと戦えり(1/2 ページ)
先日開催された「PCネットワークの管理・活用を考える会 2004」のセッションで、Blasterの感染被害に遭った松本市の対策が紹介された。
2003年8月19日、朝8時25分。松本市情報政策課主任の宮尾穣氏が受けた1本の電話が、それから数日間に渡ったBlaster(MSBlast)ワームとの戦いの始まりだった――。
昨年夏、WindowsのRPC DCOMの脆弱性を悪用して感染するBlasterワームが猛威を振るったことは記憶に新しい。松本市はその被害者の1人である。宮尾氏は、先日開催された「PCネットワークの管理・活用を考える会 2004」のセッションにおいて、「われわれの体験を通じてPC管理とセキュリティ対策の重要性を感じてほしい」と述べ、感染前後の経緯とその反省を踏まえて行われた対策を紹介した。
1人1台体制で増加した端末
政府のe-Japan構想を受け、各地の地方自治体ではIT化が進められてきた。松本市も例外ではない。情報化の推進拠点として「まつもと情報創造館」を整備したほか、本庁舎、東庁舎および支所、出張所など約150カ所の拠点を結ぶネットワークを構築するといった取り組みを行ってきた。このネットワークは、ホストコンピュータを核とした業務系ネットワークと情報系ネットワークに分かれている。
松本市はさらに、2002年度より、職員1人1台のパソコン導入に着手した。これは予定を上回るペースで整備され、3年余りのうちに、従来より利用してきた業務オンライン用パソコンに加え、新たに約1000台ものPCが導入された。だがこれは、情報システムの運用やサポートを担う情報政策課の職員にとっては、業務負担の増大を意味した。
というのも、PCが1人に1台配られるということは、さまざまな人がPCを利用するということ。中には、操作に不慣れなため「ささいなことでも周りの人に聞くのではなく、情報政策課に電話してくる人がいた」(宮尾氏)。150カ所に上る出先機関のあちこちから問い合わせが寄せられるため、時間的にも、また物理的にも情報政策課職員の負荷は高まったという。
もう1つの問題は、急激に増加したパソコンの管理だ。同課ではPC管理ツール導入に向け予算要求を行ってきたというが、その試みはうまくいかず、「Excelを使って約1400台に上るパソコンを管理してきた。だが、数が大量なうえに異動が重なることもあり、対応に苦慮してきた」(宮尾氏)。そもそも、正確には何台のPCが導入されているのかさえおぼつかない状態だったという。
ちなみに、1人1台体制が進められていた時期は、Nimdaが蔓延した時期と重なっていた。「いっそあのときにNimdaにやられていたら、Blasterの被害はなかったかもしれない」と宮尾氏は述懐する。
Blaster感染は、そんな中で起こった。
5日間にわたった復旧作業
宮尾氏の下にBlaster感染の第一報が入ったのは、8月19日の朝8時25分のこと。そのわずか5分後には感染が急激に広がり、増大するトラフィックでファイアウォールがパンク状態に陥った。感染の拡大を恐れ、9時30分には各拠点への接続および情報系ネットワークを切断し、ウイルスチェックおよび復旧/パッチ適用作業に当たったという。
ワーム蔓延のきっかけは、ある職員が前日、仕事のために自宅に持ち帰った公用パソコンだった。自宅でインターネットに接続して仕事を行い、翌日朝、そのパソコンを庁内LANに接続したところ、ウイルス感染の警告が上がったという。
対策に当たった宮尾氏が頭を悩ませたのは、「どうも挙動を見るとBlasterとは違うようだ」という点だった。だが、ウイルスの詳細を調べたくても、インターネット接続が断たれ、外界から隔離されているため情報が入手できない。最新のウイルス定義ファイルへのアップデートなどなおさらだ。
最終的に、松本市役所で猛威を振るっていたのは亜種のBlaster.Dであることが判明したのはもう夜も近いころだった。「情報の重要さを痛感した」と宮尾氏は振り返る。
Copyright © ITmedia, Inc. All Rights Reserved.