Internet Watch logo
記事検索
バックナンバー
(10)Web閲覧だけで感染するウイルス対策を考える
[2004/1/9]
(9)セキュリティ修正パッチ適用のススメ(後編)
[2003/12/19]
(8)セキュリティ修正パッチ適用のススメ(前編)
[2003/12/12]
(7)人間の対策はできているか
[2003/12/5]
(6)サービスの取捨選択を
[2003/11/28]
(5)モバイルPCの危険
[2003/11/12]
(4)LAN内部からの汚染をさせない工夫〜穴になりやすい無線LAN
[2003/10/29]
(3)汚染エリア・クリーンエリア、切り分けのススメ
[2003/10/24]
(2)パーソナルファイアウォールのススメ
[2003/10/15]
(1)Blasterの教訓からウイルス対策を考える
[2003/10/10]

新しいウイルス対策を考える

(3)汚染エリア・クリーンエリア、切り分けのススメ

TEXT:大和 哲

 「世田谷区、パソコンウイルス感染で職員処分」

 先日、こんな新聞報道があった。8月に世田谷区で情報システムがBlasterウイルスに感染し、住民基本台帳ネットワーク(住基ネット)が停止するなどの被害が出たのだが、この感染原因を作り出してしまった職員が訓告処分となり、ウイルス駆除費用約100万円を補てんさせることになった、ということだ。

 会社や役所といった職場の損害を一従業員・職員に補填させることに問題はないのか、という疑問は感じるものの、コンピュータウイルス感染のために懲戒処分を受けることがありうる、という実例ができた、ということは心に止めて置いていいだろう。

 今後は、それが無知から来たものであっても、うっかりウイルス感染を職場に広めてしまったことで、個人的に少なからぬ損害補填を迫られたり、最悪、職を失うということだってあるかもしれないということは頭に入れておいた方がいいかもしれない。


持ち込みPCが感染源となる

 さて、この世田谷区では、複数台のクライアントPCとサーバーからなる情報システムがBlasterウイルスに感染し、多くのパソコンがシステムの再起動などの不具合が発生、また業務に支障が出るほどネットワークの負荷がかかった。その結果、住民基本台帳ネットワークシステムまでチェックのため停止する事態となった。

 このBlasterウイルス感染のプロセスだが、新聞報道などによると以下のような状況だったようだ。

 まず、この情報システムのネットワークに接続しているPCが1台ある。情報システム自体はインターネットからは隔離されており、接続していないのだが、職員の1人が自分の携帯電話を使って、このPCをインターネットに接続。この際に、PCはウイルス感染したのだが、職員は気づかなかった。

 携帯電話によるPCのインターネット接続を切断した後、職員は庁内のLANに問題のPCを接続した。これによって、感染したPCがLAN上に存在するPCにウイルスを撒き、感染させたわけだ。

 今回のBlasterタイプのウイルスの場合、ルータのNATやファイアウォールが間に存在すれば本来、LAN内のPCはウイルス感染しなかったはずだが、このケースのように「自宅やモバイル環境での接続で感染したPCをオフィスに持ち込み、LAN内に蔓延させてしまった」という例が結構、見受けられる。

 たとえば、郵政公社では、本社及び北海道、東北、南関東、東京、信越、北陸、東海、近畿、中国、四国の10支社で、公社内システムネットワークに接続したPCがBlaster.Dに感染したことをニュースリリースで発表している。

郵政公社のプレスリリース。8月のBlaster騒動の際には、出入りのコンピュータメーカーの保守作業員によってウイルスが持ち込まれてしまった。

 同公社のWebに掲載されているプレスリリースでは「感染原因は不明」のままとなっているが、日経コンピュータの記事では、同公社内に設置されているPCを、出入りのメーカーの保守作業員が、インターネット接続させたことが原因と報じている。

 本来、このネットワークはインターネットとは切り離されているが、保守作業員が行なったインターネット接続によって、1台のPCが感染した。このPCから他の2台のPCがBlasterウイルスに感染、そしてこれら3台がPCやサーバーに執拗にアクセスをくりかえしたため、サーバーがダウンした。このサーバーには最新のパッチが当たっていたため、感染自体はしなかったものの、ネットワークが使えず業務に支障が出る状態に陥った。郵政公社は、このメーカーに損害賠償を請求することも検討しているという。

 さらに、筆者の聞いた話ではこんな例もある。ある都市銀行の場合だ。この銀行は社内システムがマルチベンダー化しており、系列のシステム会社のほか、いくつかのコンピュータメーカーの作業員が日常的に出入りし、ネットワークに作業用のPCを接続している。

 あるコンピュータメーカーの社員が作業用に持ち込んだPCは、日常的にメーカー社内ネットに接続していたほか、モバイル環境ではPHSでのインターネット接続をしていた。この時も銀行に向かう前にPHSでインターネット接続を行ない、この接続によりBlasterウイルスに感染。その後、顧客である銀行で作業を行なうためPCをネットワークに接続したところ、この銀行の基幹業務系PCがウイルスが感染、業務に一部支障が出たのだそうだ。

 このコンピュータメーカーは、銀行から「ウイルスを持ち込むとは」「他の出入りのメーカーは持ち込まなかったのに」と、出入り差し止めをほのめかされたと言う。


「ユーザーの注意」に頼らなければならないが……

 コンピュータウイルスのために業務が滞り、不名誉な記事を書かれた会社や、ましてこの不景気のご時世に損害賠償を請求されたり、顧客を喪失した企業には、お気の毒としか言いようがないが、これらの事例からわかることは、せっかく安全を考えて社内ネットワークをインターネットから切り離していたのに、「持ち込みPCによるウイルス感染」という穴があり、そこからアクシデントにつながった例が意外に多いことだ。そして、その危険性をコンピュータメーカーの社員ですら忘れていた場合があった、という事実だろう。

 ルータやファイアウォールによって、あるいはわざわざ物理的にインターネットから切り離して、外部からの攻撃に耐えられるようにしてあるはずのネットワークでも、内部からのこのような攻撃には脆い。

 しかし、わざわざ外部から切り離してまで守りたいエリアであれば、こうした持ち込みによるトラブルにも備えておきたいところだ。クリーンなエリアは、クリーンな状態を保てるように対策を考えよう。

 もちろん、ネットワーク管理者として各PCにパーソナルファイアウォール使い、それぞれのマシンが感染しないようにすることも大事だ。しかし、それ以上に、「ネットワークの穴は内部に多い」ことを考えて、たとえば、安易にネットワークに接続されないように、あるいは外部から持ち込みのPCをネットワークに接続されないように考えるべきだろう。

 具体的な対策としては、以下のような事が考えられる。

  • 情報コンセントを用意したり、DHCPを用意するなどして、物理的にケーブルさえあれば持ち込みPCを簡単に接続できる環境を作らない
  • 持ち込みPCを使う場所はあらかじめ決めておき、ネットワークを業務用とは分けておく。あるいは、ファイアウォールで分けておき、被害が広がらないようにする
  • インターネット接続するPCはLAN接続するPCとは別にして、インターネット接続PCはこのネットワークには接続しないなどのルールを徹底する
  • 持ち込みPCがウイルスに感染していたり、トロイの木馬型コードなどを含む可能性を考えて、これらの安全を確認してから接続するルールを作る

 この問題は、運用ルールの問題になるため、ハードウェアやソフトウェアを導入すれば解決、というような単純明解な処置が取りにくい。ルール作りや行動確認の徹底といった、不確実な人間の行動に頼らなければならないのが頭のイタイところだ(そういう意味では、冒頭に挙げた例のように懲戒処分を行なうことにより、一罰百戒的な効果を狙う方法は現実的な対策の1つと言えるかもしれない)。

 ただ、機械的に「インターネットへの接続禁止」を打ち出すのも効果的なようでいて実はそうでもない。特にウイルス流行時にはそうだ。

 Blasterウイルスが流行した時期には、お盆休み中だったにも関わらず、ウイルス対策ソフトウェアベンダー各社、OSベンダーであるマイクロソフト、IPA/SEC、警察庁の@Policeといった公的機関もウイルス対策情報を提供していた。ウイルスが急激に広まる時期には、ウイルス関連情報のほか、最新のウイルス定義ファイルやOSの最新パッチ、ウイルス駆除ツールなどが必要となる。すぐに手に入れたい、という差し迫った欲求は、コンピュータを使う当事者としては切実だったはずだ。

 実際、前述した郵政公社のアクシデントのケースでは、メーカーの作業員が保守作業に関する情報をインターネットから入手しようと考えてインターネットに接続したために、そのPCが感染した、とされている。

 ウイルス感染を始めとしたトラブルには、即時性があり、ファイルのダウンロードもできるインターネットは非常に心強い味方なのだ。これを一律に禁止するのは、実際のトラブル時には却って混乱を招くのではないかと筆者は危惧する。

 そこで、筆者としては、はじめから「トラブル対策にはインターネットが必要になる」と考えて、クリーンエリアとは別に、「万一汚染されてもよい」インターネットに接続するエリアなりマシンなりを用意することを薦めたい。

 つまり、業務ネットワークなどには、不用意に接続する方法を与えない。その上で、インターネットに接続するPCを別個に用意するのだ。

 インターネットへの接続が必要な、たとえば外部のサイトへのアクセス、ファイルのダウンロードなどはそちらのPCで行なう(穴になりやすいので注意が必要だろうが)、クリーンエリアのマシンにウイルス駆除ソフトやOSの修正パッチファイルなどが必要になった場合は、そちらでダウンロードし、厳重にウイルスチェックを行なった上で、クリーンエリアのマシンに持っていく――という運用を行なうわけだ。

 もちろん、このインターネットに接続可能なPCでは、ウイルス対策ソフトやパーソナルファイアウォールを利用し、OSの修正パッチは常に(たとえ毎日でも)必ず公開される度当てるようにするなど、攻撃には万全の体制で望まなくてはならないだろう。

 また、これには「クリーンエリアはとにかくクリーンであるために、汚染エリアのPCを持ち込まない」という心理的・物理的な障壁を設ける対策を施しておく必要があるだろう。たとえば、LANの口を余らせて、簡単に接続できるような状態にしない、などだ。

 考えてみれば、現在、ここまでLANが普及したのには、物理的に簡単に接続できるようになった、ということがある。かつてLANに使ったイーサネットケーブルは、イエローケーブルと呼ばれた非常に重い同軸ケーブルを使ってとか、あるいはトランシーバと呼ばれる装置を別に用意して……など非常に手間のかかるものだった。それに比べると現在はLANコネクタにケーブルを差し込むだけで接続が完了してしまう。あるいは、無線LAN対応のノートPCでWindows XPを利用していれば、接続可能な無線LANアクセスポイントの有無を検出して、接続できるアクセスポイントがあればユーザーが特にアクションを起こさなくても自動的に接続してしまう。

 LAN接続という行為自体、昔と比べて心理的な敷居が非常に低くなってしまっているのだ。しかし、それが状況によってはマイナスとなる場合もある。デメリットがメリットよりも重要となるなら塞いでしまえ、という発想も必要だろう。

(2003/10/24)
関連情報

関連記事
爆発的流行の兆し? Blasterウイルス対策マニュアル(2003/08/13)
Windowsの重大な脆弱性を攻撃するウイルスを危険度を上げて警告(2003/10/12)
WindowsのRPCに任意のコードを実行されてしまう深刻な脆弱性(2003/07/17)


大和 哲
1968年生まれ東京都出身。88年8月、Oh!X(日本ソフトバンク)にて「我ら電脳遊戯民」を執筆。以来、パソコン誌にて初歩のプログラミング、HTML、CGI、インターネットプロトコルなどの解説記事、インターネット関連のQ&A、ゲーム分析記事などを書く。兼業テクニカルライター。ホームページはこちら
(イラスト : 高橋哲史)

- ページの先頭へ-

Internet Watch ホームページ
Copyright (c) 2003 impress corporation All rights reserved.