シマンテックの発表によると、2008年10月に公開されたWindowsの脆弱性を突くワーム「W32.downadup」が静かに感染を拡げているらしい。しかし、シマンテックに来た問い合わせは、ほとんどが企業からだという。ここには企業でのセキュリティ対策の限界が現れているようだ
2ヶ月前の脆弱性を突くワームが増加中
今回、被害が多発しているとしてシマンテックが警告を発しているのは、Windows Server Service RPCの脆弱性を狙うW32.downadupというワームである。
実はこの脆弱性(MS08-067)は、マイクロソフトによって、2008年の10月24日に公表され、同日対応するパッチがWindows Updateによって提供されている。2週間後の11月7日には、この脆弱性を狙った攻撃を防ぐための定義ファイルも提供されている。そして、さらに2週間後の11月21日にW32.downadupが発見され、特に企業をメインに感染を拡大しているという。
Windowsの脆弱性公開から W32.downadup発見までの経緯(シマンテックの資料より)
W32.downadupに感染したPCは、まず感染したPC上にHTTPサーバを構築。ARPによって取得したIPアドレス宛に攻撃パケットを送信しつつ、最初に感染したコンピュータにアクセスし、ワーム本体をダウンロードする。また、W32.downadupはUPnPのDynamic Port Forwardingという機能を悪用し、攻撃パケットを他のサイトにも送信するという。やや古典的ともいえるワームの動作だが、いったんLAN内に侵入されたらかなりやっかいな事態に陥るはずだ。
W32.downadupの感染動作(シマンテックの資料より)
のど元過ぎれば? 実は個人のほうがセキュリティ対策は手堅い?
今回、シマンテックがこのワームを発見して受けた問い合わせ件数は、200件を超え、発見された11月21日以降、急増したという。しかし、このうち個人での問い合わせはたったの1件で、実はほとんどが企業からの問い合わせだったのだ。この背景には、企業でのセキュリティ対策がウイルス対策のみに偏重していることが挙げられる。
今回のワームの攻撃はWindowsの脆弱性を狙ったものであり、Windows Updateでパッチを適用したり、ウイルス対策ソフトの定義ファイルをきちんと更新していれば、攻撃されても被害は出ない。これに対して、最新のWindows XPやVistaではパッチなどを定期的にアップデートするのが普通だ。そのため、ブロードバンド環境につながっているPCが通常の運用を行なっている限りは、自動的にアップデートされ、ワームの脅威は排除される。また、個人ユーザー向けのセキュリティ対策ソフトは、ウイルス対策だけではなく、ファイアウォール、スパイウェア対策、Web攻撃防御、侵入防止など多くの機能が統合されている。脆弱性を塞ぐ侵入防止用の定義ファイルがいち早く提供される環境も整備されているため、現在はかなり早いタイミングでワームなどに対抗できる。
一方で企業、特に中堅や大企業のクライアントPCでのセキュリティ対策は、いまだにウイルス対策のみというところが多い。しかも、検証作業を済ませるまで、Windows Updateや定義ファイルの適用を控えるというポリシーを持っているところも一般的だ。ファイアウォールやIDS・IPSなどのフィルタリングは、あくまでインターネットとLANの境界に設置するゲートウェイで実装するのが一般的というわけだ。
こうした企業では、インターネットからの攻撃はゲートウェイで防御されるが、LANへの持ち込みPCやVPNなどを経由して侵入したウイルスには無防備になる。2003年に猛威を振るったMS Blasterのときも、お盆明けに会社に持ち込まれた私物PCのウイルス感染が引き金を引いたともいわれており、W32.downadupもこうした経緯をたどった可能性がある。いったんLAN内に入ったPCが他のPCを攻撃し、さらに被害が拡がったというわけだ。
今回の例を見ればわかる通り、企業のクライアントPCでもウイルス対策だけではなく、ファイアウォール、侵入防止など統合的なセキュリティ対策が必要となっている。UTMをはじめとするゲートウェイやコンプライアンスに偏重しつつある、企業のセキュリティ対策に警鐘を鳴らす出来事なのかもしれない。年末年始の休暇に入る前に、ぜひチェックしてもらいたいポイントだ。
