Internet Watch logo
記事検索
最新ニュース

企業内でまん延する「Conficker」、システム管理者経由で感染拡大


ラック取締役常務執行役員の西本逸郎氏
 21日に開かれた「マカフィー・セキュリティ・サミット」で、ラック取締役常務執行役員の西本逸郎氏が「蔓延したConfickerとの戦い!」と題して講演。2008年11月に発生後、まん延しているウイルス「Conficker」(別名:DownadupもしくはKido)に感染した企業で対応作業を行った経験をもとに、Confickerが感染拡大を図る手口や対策方法について語った。

 西本氏によれば、Confickerがまん延したのは2009年3月以降。多くの企業からウイルスを沈静化させるための緊急出動要請が寄せられたという。感染経路としては、Windowsの脆弱性「MS08-067」、USBメモリ経由、パスワードクラック、Windowsの管理者共有を挙げる。中でも、ラックが対応した企業では、Windowsの管理者共有が狙われたケースが最も多かったとしている。

 Windowsの管理者共有は、企業内のシステム管理部門が、管理者権限を持たない一般利用者のPCに対して、ウイルスの駆除や脆弱性の対応などを行うためのもの。西本氏によれば、システム管理部門がウイルス駆除のために一般利用者のPCに管理者権限でログオンした場合、Confickerは管理者と同等の権限を持つようになり、管理者権限で他のPCやサーバーに感染を広げるという。

 「ある意味では、企業内のPCに感染したウイルスが、『駆除してみな』『パッチを当ててみな』と挑発しているようなもの。これに従うとウイルスが管理者権限を持ってしまうという、一種の『罠』と言える。その結果、システム管理部門が感染PCからウイルスを駆除しても、再びそのPCが感染していたりする。こうしたケースが重なった企業では大混乱が起こっていた。」

 その反面、これまでラックが対応した企業では、MS08-067を悪用して感染を広げたケースは1件もなかったと西本氏は指摘する。「メディアでは、Windowsの脆弱性を悪用して感染を広げるという記事がよく見られるが、『パッチを適用すれば対応が終わるのだ』というミスリードにつながっている。パッチを適用しただけでは、Confickerのまん延は阻止できない」。

 また、USBメモリ経由で感染するケースは、サーバーに多く見られると言う。「サーバー管理は徹底的にクローズな環境で行われる。例えば、パッチをネットワーク越しに適用できない場合は、『じゃあUSBメモリを使おう』となることも少なくない。こうしたことから、業者や担当者は常習的にUSBメモリを持ち込み、その結果バックドアが作られることもある」。


Confickerが企業内でまん延するイメージ

米McAfeeリスク&コンプライアンス事業部シニア・バイスプレジデントのジョージ・カーツ氏
 企業内でまん延するConfickerだが、現状ではシステムを破壊したり情報漏えいにつながるなどの大きな被害は確認されていないという。「これまでは、パスワードクラックによってアカウントがロックされ、パソコンが使えなくなるなどの混乱は起こっている。最近では偽セキュリティソフトを販売するようなケースも出てきているが、いわば“弱毒性”の段階だ」。

 とはいえ、今後はConfickerが“強毒性”に変異する可能性は十分にあるという。「ウイルスは犯人側が意図的にバージョンアップを実施できるのが怖い。しかも、“強毒性”に変異した場合はボット化が想定され、はた目から見るとConfickerが沈静化したように見えるかもしれない。その点で言えば、現在のConfickerはただの“騒ぎ”ともいえる」。

 Conficker対策として西本氏は、MS08-067パッチの適用、ウイルス対策ソフトによる駆除、USBメモリの自動再生抑制、管理者権限パスワードの共有化禁止、強固なパスワードの設定を「常套策」として紹介。それに加えて、Windowsファイアウォールやサーバーサービスの停止などの「代替策」、ネットワーク監視やIPS(侵入防止システム)などの「検知策」を組み合わせて脅威の“見える化”を進めるべきだと語る。また、人的な部分では、セキュリティ上の問題が発生したときに、隠さずに申告した上で脅威に対応できる環境を整えることも重要だとした。

 「マカフィー・セキュリティ・サミット」ではこのほか、McAfeeで最も出張の多かった保守担当者として表彰された、リスク&コンプライアンス事業部シニア・バイスプレジデントのジョージ・カーツ氏による、ハッキングの手口のデモンストレーションも行われた。


関連情報

URL
  マカフィー・セキュリティ・サミット
  http://www.mcafee.com/japan/event/summit09/

関連記事
「Conficker」ワームが4月1日に新たな活動を開始、各社が警告(2009/03/31)


( 増田 覚 )
2009/05/21 20:06

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2009 Impress Watch Corporation, an Impress Group company. All rights reserved.