Windows 2000サポート終了迫る
トレンドマイクロが脆弱性対策の重要性を解説


 トレンドマイクロは2月25日、エンドユーザー向けのセミナー「カウントダウン開始!~セキュリティ専門家が語る、サポート終了OSに潜む危険性とセキュリティ対策~」を都内で開催した。OSの脆弱性を狙った悪質ウイルスの台頭を改めて指摘するとともに、7月にはセキュリティ対策パッチの新規公開も含めたサポート全般が終了するWindows 2000についての注意点を解説した。

OS脆弱性を狙う、Web経由のウイルス被害が急増

トレンドマイクロの飯田朝洋氏

 セミナーではまず、トレンドマイクロ サポートサービス本部 セキュリティエンハンスメントサポートグループの飯田朝洋氏(Threat Monitoring Center課長)が昨今のウイルス事情について解説した。「専門家の間では、2003年ごろを契機にウイルスの性質が変貌したと言われている。それまではOSが起動しなくなる、ネットワークにつながらくなるといった比較的わかりやすい被害が中心だったが、2003年ごろからは感染しているかがわかりにくく、PCに潜伏して情報を抜き出すタイプが増えた」と振り返る。

 ウイルスの作られ方も変化した。ある1人がプログラムの腕前を顕示するために作成した愉快犯的性質のものは減少。ソースコードの記述に関するクセなどから、複数人が共同でウイルス作成にあたっているケースが想起できるという。

 一方、ウイルスの侵入経路といえば、メールの添付ファイルなどがこれまでの主流だった。しかし近年は、Webブラウジングの最中に感染する事例が増えた。トレンドマイクロの集計による2009年第2四半期(4-6月期)のWeb経由感染数は、2005年第1四半期(1-3月期)からの4年間で約28倍に膨れ上がっている。この傾向について、飯田氏は「Webはネットビジネスの中心といっても過言ではなく、危険だからといって止めるわけにはいかない。そこを悪意あるユーザーに突かれているようだ」と分析する。

 また、複数のウイルスが連携しあっているのも特徴という。飯田氏は「単機能なウイルスが別のウイルスをネット経由でダウンロードし、さらにまた別のウイルスが仕込まれる。これらを数段階経た上で、本来の目的を達成するためのウイルスに感染させるケースが増加した」と説明。日々発生している膨大なウイルス全体を監視し、関連性あるものを系統立てしなければ被害の全貌を把握できない事態にもなっていると話す。


近年はWeb経由でのウイルス被害が増加1つのウイルスが別のウイルスをダウンロードするという複雑な手法も

 トレンドマイクロが2009年に調査したウイルス感染被害数ランキングでは、USBメモリ経由で感染を広げる「MAL_OTORUN(オートラン)」が第1位だったが、Windowsの脆弱性を利用した「WORM_DOWNAD(ダウンアド)」も第2位になっている。これは2008年11月に発見されたウイルスであり、「MS08-067」と呼ばれる既知の脆弱性を利用しているのが特徴。その1カ月前である2008年10月には脆弱性修正パッチが公開されたものの、2009年の1年を通じて被害がやむことはなかったという。

 飯田氏は「DOWNADはTCP445番を利用して感染ルートを広げる。このポートはWindowsのファイル・プリンタ共有に使われているため塞ぎにくく、結果的に感染が広がりやすい」とその危険性を指摘する。また豆知識として、TCP445番は他のウイルスでも利用されるケースが多いため、関連する脆弱性が発見した場合は十分な警戒が必要だと補足している。

 DOWNADは、パッチ公開から1カ月足らずで確認されたウイルスであることも被害を広げた要因だ。企業などの大規模ユーザーの場合、パッチ適用によってシステムに影響が出ないか、業務に支障が出ないか、時間をかけて検証するのが一般的。DOWNADの場合、ウイルスの開発スピードが検証作業を上回ってしまった格好になる。ただし、「MS08-067」の修正パッチが公開された同日に、その脆弱性をついた「GIMMIV(ジミーブイ)」と呼ばれるウイルスも確認されている。修正パッチ公開前の脆弱性を利用する「ゼロデイ攻撃」に近い状態も、すでに生まれている。

 また法人ユーザーの場合、サーバーとして運用しているマシンに脆弱性が発見されても、運用上の都合からパッチ適用のための一時的シャットダウンすら難しいケースも多い。今年7月には、企業導入例の多いWindows 2000 Serverのサポート期間が終了し、脆弱性修正パッチの新規公開も基本的には行われなくなる。継続的に同OSを利用することは脆弱性の放置にもつながるため、危険性は高まる。脆弱性問題にどう向き合うか、パッチ検証および適用までの時間をいかに短縮するかが、セキュリティ向上のための大きなカギになると飯田氏は主張している。


「MS08-067」の脆弱性修正パッチ公開から約1カ月ほどでDOWNADが確認されたパッチの早期適用は重要だが、企業ならではの要因によって阻害されるケースも

8000台中500台がDOWNADに感染した事例では、駆除完了までに1週間

トレンドマイクロの戸村泰則氏

 セミナー後半では、トレンドマイクロ サポートサービス本部 エンタープライズサポートグループの戸村泰則氏(プレミアムサポートセンター担当課長代理)が登壇。ある法人ユーザーがDOWNADに感染した事例について、実際の現場対応にあたった立場から詳細を語った。

 今回の事例では、稼働する約8000台のPCのうち、最終的には500台前後がDOWNADに感染した。ウイルス対策ソフトの導入はもちろん、ファイアウォールなど営業拠点単位での対策も進められていたという。しかしTCP445番のトラフィックや、アクティブディレクトリのアカウントがロックされる現象が頻発。ログの解析結果からDOWNADなど3種のウイルスに感染していたことが発覚した。

 感染後、駆除ツールを利用しての駆除が社内で試みられた。だが、そもそも修正パッチを適用していないPCがネットワーク内に存在していたり、感染ルートがWebなのかUSBメモリなのか特定できなかったことが影響し、終息しなかった。ウイルス感染の発端と見られる、50台ほどのPCを要する営業拠点は“全滅”する事態にまで悪化したことから、トレンドマイクロへ有償サポートが依頼されたという。

 戸村氏はこの例を「ウイルスの“封じ込め”に失敗してしまった例」と説明。ウイルス被害を抑制させるためのアナウンスが行き届かず、二次感染の拡大を許してしまったと分析する。このためサポートの初期段階でウイルスの性質といった情報を整理し、サーバーおよびクライアントのどちらを優先して駆除するかといった全体方針が決められた。

 実際に感染したPCの状況について現地調査でわかったのは、ウイルス対策ソフトのパターンファイルが最新になっていなかったり、ウイルス検索の設定が端末によってバラバラだった点だ。ウイルスの感染元も従業員らのUSBメモリとみられる。「組織が大きくなるほど、基本的な対策の徹底が難しいことを肌で感じた」と戸村氏は話し、根深い問題であることを伺わせた。

 ウイルス駆除ツールの配布後は、駆除数や不審トラフィックの増減をログで継続的に観測した。「アウトブレイクのレベルまで拡大してしまうと、1日で終息することは現実的に難しい。また駆除数が増えてもトラフィックが減らない場合は別のアクションを起こす必要もある」と戸村氏は説明。今回の事例ではトレンドマイクロの対応開始から安全宣言の通達まで、約7日間を要したという。通常時の1時間あたり売上額やシステムダウン時間、対策費用などを考慮すると、被害金額は数千万円単位と見込まれる。

 戸村氏は「感染期間が長期化してしまった原因としてよくあるのが、ネットワーク、サーバー、クライアントを管理する部署が別々に分かれてしまっていて、その調整に手間取ってしまうこと。万一の事態に備え、横断的な、強制力のある対応が可能なチーム作りなども必要だろう」という見解も示している。

 トレンドマイクロでは、こういった法人ユーザーならではの問題に対応した製品・サービスを展開。「Trend Micro Network VirusWall Enforcer」によるサポート終了OSの脆弱性対策、専門家による個別サポートの導入などもぜひ検討してほしいとアピールしている。


ウイルス被害発覚の経緯ウイルスの侵入を防ぐには、USBメモリやデータ通信カードの利用にも注意が必要だ

関連情報

(森田 秀一)

2010/2/25 22:16