このページの本文へ

ゼロからわかる最新セキュリティ動向 ― 第10回

500台のコンピュータが感染した脆弱性

ウイルス事件で見る、サポート切れOSの恐怖

2010年07月26日 09時00分更新

文● 横川典子/トレンドマイクロ株式会社 マーケティング本部 エンタープライズマーケティング部 担当課長代理

  • この記事をはてなブックマークに追加
  • 本文印刷

前回は、7月13日でサポートが終了したWindows 2000の問題点を紹介した。それでは、サポートが終了したOSを使い続けることで、どのようは被害が起こりうるのだろうか。脆弱性対策を行なっていなかったPCが原因でウイルス感染の被害を受けた企業を例に、考えてみよう。

大企業を襲った脆弱性の恐怖とは

 前回、セキュリティパッチを当てていないOSの利用は、強制的に免疫が低下した状態に置かれるようなものだという例を挙げた。今回登場するA社は、そういう意味ではむしろ、平均的な企業だ。インターネットとの境界線には、ファイアウォール、IDS/IPSといった防御システムを装備。8000台に上るクライアントPCのウイルス対策も行なっていた。さらに本社には、システム管理者が選任としておかれ、日々の管理にあたっていた(図1)。

図1 被害事例の企業概要

 ところがA社は、2009年にワーム「ダウンアド」により大きな被害を受けてしまう。いったいなぜなのか、そしてどのような被害を受けてしまったのか。まずは、その脅威の背景から説明したい。

脆弱性を悪用するダウンアド

 ダウンアド(検出名「WORM_DOWNAD」)は、昨年世間を騒がせたワームだ。実際、トレンドマイクロへのウイルス感染被害報告数においても2009年第2位としてランキングされている(表1)。

表1 2009年度ウイルス感染被害報告数ランキング
順位検出名通称種別件数前年順位
1位MAL_OTORUNオートランその他3617件1位
2位WORM_DOWNADダウンアドワーム1538件圏外
3位BKDR_AGENTエージェントバックドア784件2位
4位TSPY_KATESカテストロイの木馬型470件New
5位TSPY_ONLINEGオンラインゲームトロイの木馬型467件6位
6位JS_IFRAMEアイフレームJavaScript405件3位
7位TROJ_VUNDOヴァンドートロイの木馬型347件7位
8位TROJ_SEEKWELシークウェルトロイの木馬型342件New
9位MAL_HIFRMハイフレームその他326件4位
10位TROJ_FAKEAVフェイクエイブイトロイの木馬型240件圏外

 このダウンアドが見つかったのは、2008年10月だ。このワームが攻撃対象とした「MS08-067」と呼ばれているWindowsの脆弱性に対するセキュリティパッチは、2008年10月には公開されている(図2)。にもかかわらず、なぜ、これほどにも甚大な被害をもたらしたのであろう?

図2 MS08-067のセキュリティパッチ公開と脆弱性を悪用する不正プログラム

 ダウンアドは、MS08-067の脆弱性を抱えたコンピュータを経由して感染を広げる。感染端末から、同じ脆弱性を抱えるほかにPCに対して再攻撃をしかけていくのだ(図3)。そのため、MS08-067対策が完了していない企業のネットワークに、感染PCが1台でも持ち込まれると、大規模な感染につながってしまう。A社は、そうした企業の1つだったのだ。では、その被害の実際を時系列で確認してみよう。

図3 脆弱性を利用する感染

感染発覚

 A社のシステム管理者、Tさんは2009年のある日、HTTPログ数が異常に上昇していることに気づいた。と同時に、ActiveDirectory のアカウントロック障害が発生、さらに大量のport 445 トラフィックの発生という異常事態に見舞われ始めた。

 Tさんはログを解析することで、その原因がダウンアドによるものだと突き止め、駆除作業を実施した。ところが駆除を行なっても、再感染が止まることはなかった。それどころか、拠点にまで伝染が広がり、ある拠点が壊滅状態となってしまった。

 さすがのTさんもパニックに陥った。ここでようやく、トレンドマイクロにウイルス駆除のための緊急依頼をした。不審なHTTPログを見つけてから、すでに4週間が経過していた。

消火活動開始

 現場に到着したトレンドマイクロ担当者(以下「トレンドマイクロ」)が目にしたのは、疲弊し、パニックに陥ったTさんほかシステム管理者の面々だった。トレンドマイクロはまず、現状の把握と、対策方法についてシステム管理者に説明を行なうことからはじめた。

 問題は、MS08-067にあった。セキュリティパッチの適用漏れがあるため、駆除しても、亜種による再感染を繰り返していたのだ。そこでトレンドマイクロでは、MS08-067対策のパッチの徹底と、駆除ツールの全展開を提案した。通報を受けて24時間後、トレンドマイクロが実行したのは、セキュリティパッチと駆除ツールの一斉展開による駆除だった。

混乱から収束へ

 駆除ツールを展開したからといって、すぐに安心はできない。展開した駆除ツールが効かない可能性があるためだ。

 たとえば、インフルエンザ治療にタミフルを服用しても、数時間ごとに熱を測ることがある。これは、薬の効果をみるためだ。もし下がっていなければ、インフルエンザではなく重度肺炎などの重症症状を疑わねばならない。その場合、タミフルは肺炎には効いてくれないため、異なる治療が必要となる。

 同じことがコンピュータウイルスにもいえるため、その効果を見極めるのが大切なのだ。

 幸いに、A社にたいしトレンドマイクロが選択した駆除ツールは、効果を発揮した。定期的にトラフィック測定を行なった結果、明確なトラフィック量の減少が見られたのだ。

 その結果、6日後にはほぼ収束状態と判断され、最終的に、トレンドマイクロの介入から7日で安全宣言が出されることとなった。

A社の被害額とは

 最終的にA社では、500台のコンピュータがウイルスに感染。業務用サーバーも例外ではなかった。 停止したシステムには、業務用サーバーが含まれていた。つまりシステムダウンしていた時間、A社の企業活動は停止していたことになる。

 実際の被害額の算出のためには、年商を挙げなければならないためここでは詳細の算出は行なわない。しかし、被害金額算出式の1つとして以下が挙げられれる(図4)。この式に当てはめて計算すると、A社の被害金額は億単位に上った。

図4 A社の感染被害

 今回の例は、現役OSにまつわる被害事例だった。しかし、レガシーOSにはそもそもセキュリティパッチが発行されない。つまり、脆弱性を修正することができない。このため、A社をおそった悪夢から、永遠に逃れられないのだ。

 次回は、現役OSに移行までの間、レガシーOSにできるセキュリティ対策について考えてみたい。

カテゴリートップへ

この連載の記事
ピックアップ