9月17日から千葉・幕張メッセで開催されているアジア最大級のデジタル展示会「WPC EXPO 2003」。3日目の19日、「日経NETWORKスペシャル セキュリティ入門セミナー」が開催された。シマンテック Symantec Security Responseマネージャーの星澤裕二氏、マイクロソフト アジアリミテッド セキュリティレスポンスチーム マネージャーの奥天陽司氏、ラック コンピュータセキュリティ研究所 グループリーダーの新井 悠氏らをパネリストに迎え、日経NETWORK副編集長 三輪芳久氏が司会を務めて活発な意見交換が行なわれた。
ラック新井氏、「“Blaster Reloaded”を防ぐため、引き続き警戒を」
|
ラック コンピュータセキュリティ研究所 グループリーダーの新井 悠氏
|
冒頭司会の三輪氏は、パネリスト各氏へBlasterウイルスについて問いかけた。脆弱性公開から現状までを語ったのはラックの新井氏。「7月17日に脆弱性『MS03-026』が公開され、25日にはウイルス作成のために不可欠なExploit Codeが公開された。このCode自体はたいしたものではなかったが、翌26日には早くも強化されたCodeが公開された。8月5日にはウイルスによる侵入事例を確認。一見動きがないように見えた7月26日から8月5日にかけても水面下では、ウイルスが開発されていた」という。
実際にBlasterウイルス被害が日本でも確認された8月12日については、「午前4時に米国でパケットの異常なトラフィックを検知した。感染が拡大し始めたのは6時から7時にかけて。Blasterウイルスは近隣のパソコンから感染する傾向にあり、日本で異常が発見されたのはそれから4~5時間後になった」と語った。
感染については、「組織内へ持ち込まれたノートPCなどから感染が拡大する事例が多かった。また、亜種に感染してPCが再起動しなくなったため、特に対策しないで“直った”と思い込んだユーザーも多い」と述べ、このため「Blasterウイルスやその亜種によるTCP135番ポートへのアタックは終息していない。“Blaster Reloaded”を防ぐため、依然として警戒が必要だ」と改めて注意を促した。
脆弱性は家の“扉”、ワクチンソフトは金庫の“警報機”
|
シマンテック Symantec Security Responseマネージャーの星澤裕二氏
|
シマンテックの星澤氏によると、「ウイルスで多いのは、やはりメールに添付されるタイプ。実際の計測でも、発生当初の感染被害数はBlasterよりもKlezやNimdaなどのウイルスの方が多かった」という。また、ネットワークを介して進入する点についても、「すでにSlammerやCode Redなどのウイルスがあり、特徴的だとはいえない」とした。ただし、「SlammerやCode Redがサーバーを対象としているのに対し、BlasterはクライアントPCを対象にしていることがある意味画期的だった。そのため被害が広がった」と分析した。
シマンテックでは、「Symantec DeepSight」の侵入検知システムを通じてインターネット上のパケットをモニタリングしており、その結果によるとBlasterに感染したPCは約120万台。ただし、社内のクライアントPCや、個人でも常時接続していないPCなどは含まれないため、実数は把握できないという。
セキュリティ対策について星澤氏は、「PCを家屋に例えれば、脆弱性は“扉”、修正プログラムはその扉を閉める“鍵”だ。ワクチンソフトは侵入してきたウイルスが金庫に触れたときに鳴る“警報機”みたいなもので、家の周りを取り囲む“壁”がファイアウォールだ」と述べた。マイクロソフトの奥天氏が続き、「修正プログラムを適用しないと根本的な解決にはならないし、感染してしまったウイルスを駆除するには、修正プログラムだけでは不可能。修正プログラムとワクチンソフト、さらにファイアウォールで防御すればほとんどのウイルスは防げるはず」と語った。
MS奥天氏、「社内利用なら修正プログラムをCD-ROMに記録することも可能」
|
マイクロソフト アジアリミテッド セキュリティレスポンスチーム マネージャーの奥天陽司氏
|
セミナー中盤以降は、実際のセキュリティ対策について会場からの質問が相次いだ。Windows Updateの利便性や、修正プログラムの適用についての質問が多かったが、中にはパネリストが返答に詰まるような質問も見受けられた。
Windows Updateのように自動的に修正プログラムを適用するのではなく、修正プログラムをダウンロードしてCD-ROMに保存したいとする質問に対して、奥天氏は、「Windows UpdateのWebサイトには、『Windows Catalog』というコーナーがある。ここから修正プログラムが個別にダウンロードできる。ダウンロードしたプログラムについては、CD-ROMに記録し、社内利用であれば頒布することも可能だ」と回答。また、「Windows Catalog」の利便性についても「日本の部署のみで向上できることであれば、すぐさま取り組む。米国本社にも報告する」という。
奥天氏はまた、「Protect Your PC」キャンペーンについても言及。ナローバンド環境のWindows XPユーザー向けに配布するCD-ROMについて、「このCD-ROMを利用して修正プログラムを適用すれば、その後日常のアップデートはデータ容量の少ないものだけになる」と述べた。なおCD-ROMのラベルには、2003年8月末までの修正プログラムを収録とあるが、「CD-ROM制作のタイムラグの問題」(奥天氏)で、実際には「MS03-039」の修正プログラムも収録されている。
マイクロソフトが取り組むセキュリティやプライバシーの問題に対する施策「Trustworthy Computing(信頼できるコンピューティング)」についての質問もあった。奥天氏によれば、「新規開発を2~4カ月間止めて、150項目のチェックを行なっていた。ただし、RPCに関する項目がこのチェック項目に入っていなかったため今回の脆弱性『MS03-026』『MS03-039』が生じた。チェック項目は随時追加されるが、Trustworthy Computing自体は10年かかるものだと認識している。今後は、人間のやることをいかに技術で補完していくかがポイントになるだろう」と語った。
会場からは、9月11日に公開された脆弱性「MS03-039」に対しても質問された。新井氏は、「PCが制御されてしまうので、やろうとおもえばディスクフォーマットなどなんでもできるはず。もちろんBlasterに悪用された『MS03-026』でも同様だ。すでに『MS03-039』のExploit Codeも公開されているため、よりいっそうの注意が必要だ」としている。
“阪神優勝”というウイルスが出現したら……
最後に各パネリストが一言づつ発言。奥天氏は、「Protect Your PCにある、『ファイアウォールの利用』『Windows Updateの使用』『ウイルス対策ソフトウェアの利用』を心がけて欲しい。システム管理者の方には、セキュリティレスポンスチームが日本語訳しているセキュリティ関連のWebサイトTechNet Onlineも利用してもらいたい」と述べ、「セキュリティへの認知を広めることが大事。本日出席した皆さんによる口コミの力にも期待している」と付け加えた。
「まだまだPCはテレビほど簡単じゃない。使う人間が意識しなければセキュリティは向上しない」と星澤氏。「セキュリティベンダーも、これまでウイルスという雨が降ったときだけ“傘”を売るのではなく、将来のウイルスを予測する“天気予報”のような役割に変わっていかなければならない」と語った。
新井氏は、「ウイルスは世相を反映する。今なら、“阪神優勝”や“道頓堀ダイバー”といったタイトルのメールが来たら相当数が引っかかってしまうのでは? そういう意味でも多くの人にウイルスやセキュリティについて知ってもらう必要がある」語り、予定時間を40分ほどオーバーしてセミナーは終了した。
関連情報
■URL
マイクロソフト
http://www.microsoft.com/japan/
シマンテック
http://www.symantec.com/region/jp/
ラック
http://www.lac.co.jp/
WPC EXPO 2003
http://arena.nikkeibp.co.jp/expo/2003/
関連情報:マイクロソフトも脆弱性「MS03-039」の修正を改めて呼びかけ
http://internet.watch.impress.co.jp/cda/news/2003/09/19/516.html
関連情報:マイクロソフト、「Protect Your PC」キャンペーンを開始
http://internet.watch.impress.co.jp/cda/news/2003/09/16/453.html
関連情報:Gates氏の提唱によってマイクロソフトは果たしてセキュアになったのか?
http://internet.watch.impress.co.jp/www/article/2003/0331/microsoft.htm
( 鷹木 創 )
2003/09/19 20:33
- ページの先頭へ-
|