現在地 HOME > 掲示板
> IT3 > 139.html
★阿修羅♪
|
現在地 HOME > 掲示板
> IT3 > 139.html
★阿修羅♪
|
|
[2003/10/07]
Blasterとともに消えた夏――書き残した舞台裏【ITPro記事2本】
http://itpro.nikkeibp.co.jp/free/ITPro/OPINION/20031006/1/
すっかり秋めいてまいりました。暑かった夏の日が懐かしく思われる今
日このごろです。みなさんは夏休み(お盆休み)をいかがお過ごしでした
か。たくさんの思い出を作られたことでしょう。筆者の夏の思い出は
「Blaster」です・・・
「いまさらBlaster?」と思われる方は多いだろう。筆者自身,Blaster
については,IT Proをはじめとする弊社メディアに書き尽くした感がある
(書籍(「コンピュータ・ウイルス 脅威のメカニズム」)にも書いた)。
そこで今回の記事では,“Blaster事件”をちょっと違う角度からつづっ
てみたい。関係者の方々の努力を記した「Blasterと闘った不眠不休の1週
間」という記事と併せて,息抜き(?)のつもりでお付き合いいただけれ
ば幸いである。なお,Blasterの詳細については,記事末に関連記事を時
系列でまとめたので,そちらを参照していただきたい。
マスメディアの報道が奏功
Blasterが特徴的だったことの一つは,一般紙やテレビといったマスメ
ディアで報道されたことである。ウイルスやワームが報じられることはそ
れほど珍しくない。ただし,今までは,「××ウイルスでこれだけの被害
が発生した」といった,結果的に生じた被害を伝えるものがほとんどだっ
た。しかしBlasterの場合には,当初から一般メディアによって報じられ
た。
これについては,経済産業省(経産省)が警告したことが大きかった。
経産省の商務情報政策局情報セキュリティ政策室では,8月12日の時点で
個人ユーザーを中心に感染が広がっているとの情報を得て,8月13日の朝
には同省のWebで注意を喚起し,午後には記者クラブでプレス発表を行っ
た。
Blasterはネットに接続しているだけで感染する。しかも,その“副作
用”として,感染マシンが再起動を繰り返す場合がある(関連記事)。ネ
ットで情報を提供することは難しかった。「マスメディアの力を借りて,
個人ユーザーに知らせないと食い止められない」(商務情報政策局 情報
セキュリティ政策室 課長補佐の山崎琢矢氏)
そこで,Blasterによる「windowsupdate.com」へのDoS(サービス妨害)
攻撃を控えた8月15日,記者会見を実施した。同省では発表の重要度は
「Webでの告知」「プレス発表」「記者会見」の順で高くなる。ウイルス
やワームについて,記者会見やプレス発表をしたことは過去にはなかった
という。その甲斐あって,「一般紙の社会部などの記者に興味を持っても
らえた」と山崎氏は振り返る。
筆者は自分の仕事で手一杯だったために観ている時間がなかったが,テ
レビでも頻繁に報じられた。あるアンチウイルス・ベンダーの担当者は,
ほとんどのチャンネルに登場したそうだ。もっとも本人はあまり本意では
なかったらしく,「テレビをはじめ,新聞や雑誌などの取材にばかり時間
を取られて,本来の業務がこなせなくて困った」と後日打ち明けてくれた。
IT Proの読者の中には,新聞およびテレビが報じるBlasterに関するニ
ュースを何回も目にして,「騒ぎすぎだ」と思った方もいるだろう。しか
し,大騒ぎしたおかげで,被害をあの程度に抑えられたと筆者は考えてい
る。
今回のマスメディアの報道で,「Windowsにはセキュリティ・ホールが
見つかっている」「Windows Updateという機能があって,それを使うとセ
キュリティ・ホールをふさげる」ということを知ったユーザーは少なくな
いのではないだろうか。実際,筆者のまわりには,「あの騒ぎで,生まれ
て初めてWindows Updateを実施した」というユーザーが複数いる。
筆者だけではない。Blaster騒動が一段落した後,関係者に取材をして
回ったところ,マスメディアの効果は大きかったとの言葉は随所で聞かれ
た。
説明不足の報道がミスリード
ただし,説明不足あるいは内容が誤っている報道もあった。例えば,8
月16日のDoS攻撃だけを強調している報道がいくつかあった。あるベンダ
ーの方が8月17日にパソコンの量販店に行くと,お客からのBlasterに関す
る質問に対して,店員が「もう8月16日は過ぎたので大丈夫です」と力強
く答えていたそうだ。それを聞いて,「Blasterは時限式ではない。休み
明けの明日(8月18日)のほうが危ないんだ」と心の中で叫んだという。
「よく分からないが,8月16日は大変なことがあるらしい」という認識
が,一部では広まっていたようだ。実は筆者にも,あるラジオ局から取材
の申し込みがあった。「8月16日には大変なことが起きるそうですね。も
し起きたら,8月18日の早朝のニュースに電話で出演してほしい」という
ものだった。とりあえず引き受けたものの,幸いなことに,8月16日の攻
撃は回避できたので,筆者の出番はなくなった。
「ウイルス対策ソフトさえ使っていればBlasterを防げる」という報道
もあった。このため,一時は店頭から消えるほど対策ソフトが売れた店も
あるという。確かに,Blasterはパソコン内にファイルを作るタイプのワ
ームだったために,対策ソフトを使っていれば検出できる。しかし,根本
的な対策ではない。セキュリティ・ホールをふさがない限り,何度でも感
染してしまう。
報道のせいで,休日出勤を余儀なくされたシステム管理者も少なくなか
ったようだ。あるユーザー企業の管理者からはこんな話を聞いた。「社内
のパソコンすべてにパッチを適用して対策を施した。後は休み明けの8月
18日に早く出勤して注意を呼びかければOK,のはずだった。しかし,テレ
ビの報道を見た上司から『(お盆休み中も)とりあえず出勤しろ』と言われ
た」。この人に限った話ではないだろう。
ネット媒体の限界を知る
8月16日を乗り越えた関係者の多くは,国内の多くの企業でお盆休みが
終わる8月18日の朝を心配していた。ノート・パソコンによる,Blasterの
持ち込みが予想されたからだ。自宅で使用してBlasterに感染したノート
・パソコンをLANに接続すると,LANに接続している未対策のマシンに一気
に感染は拡大する。
「8月18日の朝が勝負」――。これは関係者の一致した考えだった。筆
者も同様である。ノート・パソコンを接続する前,未対策のマシンに電源
を入れる前に注意を呼びかけなくては,と考えた。しかし,ちょっと待て。
IT Proはネット媒体である。IT Proの記事でいくら注意を呼びかけても,
その記事を読んだときには,LANに接続した後か,電源を入れた後である。
記事で「まずは接続しないで・・・」などと書いても遅いのだ。
悩んだ。しかし答えはでない。当然である。結局,「たとえ感染マシン
をLANに接続してしまっても,ネットワークからすぐに切り離せば,被害
は最小限度に抑えられる。一秒でも早く感染しているかどうかをチェック
してもらえるように,冒頭で注意を呼びかける記事を書こう」ということ
で落ち着いた(その記事へ)。
IT ProでBlasterのようなワームを警告するには,どうするのが一番効
果的だろうか。Blasterが突く「MS03-026」と同程度に危険な「MS03-039」
を突くワームはいつ出現しても不思議はない(関連記事)。早く妙案を考
えなくては・・・。
だが結局のところ,ワームが発生してしまってから打てる手は限られて
いる。筆者にできる最善のことは,「MS03-026」の時と同様に,危険なワ
ームを誘発する可能性のあるセキュリティ・ホールが発生した時点で記事
を書き,警告を呼びかけることなのだろう(関連記事1,関連記事2,関連
記事3)。
みんな寝てない一週間
最後に,Blaster騒動を振り返ると,どうしても考えずにはいられない
ことがある。それは,「Blaster騒動にかかわった人たちは代休をきちん
と取れているのだろうか」ということだ。8月12日から18日ごろまで,セ
キュリティ・ベンダーや組織の方にメールで質問を送ると,深夜にもかか
わらず,すぐに回答が返ってくることが多々あった。「今夜は徹夜です」
「ここのところ,きちんと寝てません」「家に帰ってません」などの話も
聞いた。仕事といってしまえばそれまでだが,関係者の多くは不眠不休の
一週間だった(関連記事)。
そして,8月18日を乗り切った関係者を,後続の「Welchi」ワームが襲
った(関連記事)。後日聞いた話では,WelchiはBlasterよりも挙動が悪
質だったこともあるが,それよりも「やっと休める」と思ったところに出
現したという,精神的ダメージのほうが大きかったという。筆者も,
Welchiに対して「もういいよ!」とツッコまずにはいられなかった。
セキュリティ・ベンダーや組織,ISPなどの方々だけではなく,企業や
組織のシステム管理者の方の多くも,お盆休み返上で対策に奔走したこと
だろう。その方々が,代休をきちんと取られたこと,あるいは今後取られ
ることを切に願わずにはいられない。
(勝村 幸博=IT Pro)
SSL-VPN+は、高速で安全かつ強固な認証を備えた新しいVPNソリューションです
【導入事例】IIJが選択した一歩先行くセキュリティ・ソリューションの優位性(トレンドマイクロ)
Windowsにまたもや深刻なセキュリティ・ホール,マシンを乗っ取られる恐れあり (2003/07/17)
Windowsに“超特大”ホール,「SQL Slammer」以上の被害が出る恐れあり (2003/07/23)
マイクロソフト,相次ぐセキュリティ・ホールを警告する“号外”ページを公開 (2003/07/25)
“超特大”のセキュリティ・ホールを突くコードが“予想通り”公開 (2003/07/28)
セキュリティ・ベンダーが“超特大”セキュリティ・ホールの検査ツールを公開 (2003/07/30)
“超特大”のセキュリティ・ホールを悪用する攻撃をラックが検知 (2003/08/06)
Windows Updateサイトに攻撃を仕掛けるワームが出現,“超特大”ホールを狙う (2003/08/12)
Windowsのセキュリティ・ホールを狙うワーム,国内でも感染を拡大中 (2003/08/13)
なぜWindowsが再起動させられるのか?――「Blaster」ワームの謎を解く (2003/08/13)
【Blaster続報】IPAへの届け出は600件超,休暇明けはワームの“持ち込み”に注意 (2003/08/15)
Blasterに感染した世田谷区役所,ルートは人的な“持ち込み”か (2003/08/15)
マイクロソフト,「Blaster」に備えて電話相談窓口を24時間体制に (2003/08/15)
8月16日午前1時,Blasterによるトラフィック増加は観測されず (2003/08/16)
【Blaster続報】「IPAへの届け出は1200件超,トラフィックの急増は見られない」――経産省 (2003/08/16)
Blasterの“持ち込み”を許すな,システム管理者は就業前に全ユーザーに告知を (2003/08/16)
米MS,「Blaster」ワームのDoS攻撃対策でアップデート・サイトのアドレスを変更 (2003/08/18)
「被害届け出の急増は見られず,ただし油断は禁物」――Blaster,18日朝の状況 (2003/08/18)
米Symantec,Blasterワームを停止させる「Welchia」ワームの脅威度評価を引き上げ (2003/08/20)
新種ワームが感染を拡大中,「Blaster」と異なるセキュリティ・ホールも悪用 (2003/08/20)
新種ワームはBlasterよりも悪質,気が付きにくい上にネットワークを“まひ”させる (2003/08/20)
「ネットでの告知に依存しすぎた」、マイクロソフトがBlaster対策で反省 (2003/08/20)
Blasterを回避しただけでは安心できない,“超特大”ホールに関する情報の継続的なチェックが必要 (2003/08/20)
PCサーバーやパソコン以外にもBlaster感染の危険性 (2003/08/26)
郵政公社のブラスター感染はNECの作業ミスが原因――損害賠償も検討 (2003/08/29)
NTT東西,Blasterによるつなぎっ放しを警告。TAやモデム設定の確認を呼びかけ (2003/09/02)
「8月のウイルス届け出件数は今年最多,BlasterやSobigが原因」――IPA (2003/09/03)
NEC,Blasterワームのセキュリティ・ホールを修正済みのパソコン発売 (2003/09/04)
今後も見つかる可能性が高い“超特大”セキュリティ・ホール,回避策の実施が不可欠 (2003/09/17)
[2003/10/07]
真相●Blasterと闘った不眠不休の1週間
http://itpro.nikkeibp.co.jp/members/SI/ITARTICLE/20031003/1/
業種を越えて情報交換,マスメディアを利用してユーザーに告知
日経システム構築2003年10月号,11ページより
国内企業のお盆休みを襲った「Blaster」ワーム。多くの企業やユーザー
が被害に遭ったものの,最悪の状態には至らずに済んだ。その裏にはセキ
ュリティ組織やベンダー,ISPの不眠不休の1週間があった。特に有効だっ
たのは,業種を越えた情報交換とマスメディアを利用した注意喚起だった。
図1●Blasterワームに関する出来事
図2●Blaster対策に奔走した関係者
ここで紹介した方々はあくまでも一例。関係者のほとんどは業種を越えて
情報を交換し,Blaster対策に奔走した。その結果,当初予想されたより
も,Blasterの被害を抑えられた
すべての始まりは,7月17日に公開されたWindowsのセキュリティ・ホー
ル(図1[拡大表示])。これを悪用すると,細工を施したパケットを送信
するだけで,攻撃対象のマシン上で任意のコード(プログラム)を実行で
きてしまう。しかも,セキュリティ・ホールが見つかったRPCサービスは,
Windows NT 4.0/2000/XP/Server 2003では,デフォルトで有効になってい
る。
つまり,「パッチを適用する」「(パーソナル)ファイアウオールを利
用する」「Windowsの設定をセキュアにする」といった対策を施していな
ければ,サーバーであろうと,クライアントであろうと関係なく攻撃を受
ける。関係者の多くは,この重大なセキュリティ・ホールが公開された時
点で,悪用するコード(ツール)やワームが必ず出現すると予想,Webな
どで注意を呼びかけた。
悪用可能なコードが出現
事態は,心配した通りに推移した。7月26日前後には,セキュリティ・
ホールを悪用するコードがインターネット上に公開され,ワームの出現が
一層現実味を増した。
8月4日になるとツールを利用したと思われる攻撃が確認され始めた。ラ
ックは,同社の顧客に対する攻撃を検知し,8月6日に公表した。「実環境
での攻撃が確認されたことで,緊張は高まった」(コンピュータセキュリ
ティ研究所の新井悠グループリーダー)。
同社に限らず,他のベンダーや組織も“臨戦体制”に入った。具体的に
は,異常なトラフィックが見られないかを観測するとともに,業種を越え
た緊急の連絡体制を整えた。
新聞やテレビを使え
そして日本時間の8月12日,Blasterが出現した。“準備期間”があった
ため慌てることはなかったが,ここから関係者の不眠不休が始まった。
「Blasterはそれほど複雑ではないので,大まかな動きはすぐに解明で
きた」(トレンドマイクロ トレンドラボ・ジャパン アンチ・ウイルスセ
ンターの岡本勝之ウイルスエキスパート)。「ベンダーや組織がそれぞれ
個別に解析し,内容を確認し合った」(マイクロソフト グローバルテク
ニカルサポートセンター セキュリティレスポンスチームの小野寺匠テク
ニカルリード)。事前に作った連絡体制が,まずここで有効に働いた(図
2[拡大表示])。
解析の結果,その日のうちにBlasterの中身が明らかになる。「パソコ
ンをインターネットに接続するだけで感染する」「8月16日以降,マイク
ロソフトの『Windows Update』へアクセスするURLの一つ
『windowsupdate.com』に,DoS(サービス妨害)攻撃を仕掛ける」――と
いったことだ。ユーザーには一刻も早く対策を施してもらう必要があった。
経済産業省(経産省)は「一般紙やテレビで報道してもらわないと,被
害を抑えることはできない」(商務情報政策局 情報セキュリティ政策室
の山崎琢矢課長補佐)と判断。8月13日の朝,同省のWebで注意を呼びかけ,
同日午後2時にはプレス発表をした。さらに,8月15日午後4時には記者会
見を実施した。同省では「重要度は『Webでの告知』『プレス発表』『記
者会見』の順で高くなる。ウイルスやワームについて,プレス発表や記者
会見まで実施したのは今回が初めて」(山崎氏)だった。これが奏功し,
15日と16日には,テレビなどの報道が続いた。
マイクロソフトも8月15日に新聞で注意を呼びかけた。通常の広告とし
て掲載するには時間がかかるので,緊急の社告として掲載した。
DoS攻撃を回避せよ
ユーザーへ注意を促す一方,関係者は8月16日以降のDoS攻撃に備えた。
「バックボーンは十分耐えられると思ったが,DoS攻撃がインターネット
にどういう影響を及ぼすのか分からない部分があった」(インターネット
イニシアティブ 事業推進本部 サービス統括部の齋藤衛課長)。
結論から言うと,DoS攻撃は回避することができた。対象URLのアドレス
解決をできないようにすることで攻撃を防いだもよう。Windows Updateへ
アクセスする際は通常「windowsupdate.microsoft.com」を使うので,攻
撃対象のwindowsupdate.comを無効にしてもほとんど問題ない。記者が確
認したところ,8月16日午前0時の数十分前はwindowsupdate.comのアドレ
スを解決できたが,午前0時を過ぎるとアドレス解決はできなくなった。
しかし,具体的な対策について,マイクロソフトの口は重い。「対策方
法を話すと,(同社の)サイト構成や規模などがある程度分かってしまう。
これらはコンフィデンシャルな情報なので話せない。また,対策方法が明
らかになると,それを回避するワームの出現を招くことにもなる」(小野
寺氏)ためだという。
休み明けの18日が次のヤマ
8月16日を乗り切った関係者の心配は,すぐに8月18日に移った。という
のも,国内の多くの企業でお盆休みが終わるからだ。「社員が,休み中に
自宅でノート・パソコンをインターネットに接続してBlasterに感染。そ
のノート・パソコンを社内ネットワークに接続して,社内にまん延」とい
うシナリオが十分に考えられた。実際,「8月12日の時点で,社内から感
染が拡大しているケースが報告されていた」(ラック JSOC事業本部 IRT
部の岩井博樹グループリーダー)。
経産省では,8月16日午後4時に,Webで再度注意を促すとともに,各紙
各局の記者に直接連絡した。その結果,8月16日夜のテレビや8月17日の朝
刊で大きく取り上げられた。
「8月18日の朝,企業からの被害報告は何件かあったが,当初予想して
いたほどではなかった」(経産省の山崎氏)。「マスメディアの効果は大
きかった。一般ユーザーだけではなく,企業のシステム管理者などにも周
知徹底できた」(ラックの新井氏)。これは,今回取材した関係者のほと
んどから聞かれた感想である。
とはいえ,マスメディアができるのは,注意を促して情報を提供するま
で。「多くの企業では,土日に“対策会議”を実施したようだ。システム
管理者はお盆休み返上だったとも聞いている」(ラックの新井氏)。被害
が出なかった企業や組織においては,システム管理者やセキュリティ担当
者が最大の功労者だったといえる。
(勝村 幸博=katsumur@nikkeibp.co.jp,IT Pro)
SSL-VPN+は、高速で安全かつ強固な認証を備えた新しいVPNソリューションです
【導入事例】IIJが選択した一歩先行くセキュリティ・ソリューションの優位性(トレンドマイクロ)
<“Blaster”関連>
「混合型の攻撃が増加」,米Symantecがインターネット・セキュリティに関する調査結果を発表 (2003/10/03)
米Symantec,早期警戒セキュリティ・システムの最新版を発表 (2003/09/25)
「大企業の2割以上がBlasterやWelchiに感染」――IPAの調査結果 (2003/09/18)
今後も見つかる可能性が高い“超特大”セキュリティ・ホール,回避策の実施が不可欠 (2003/09/17)
Blaster級ウイルスは“検知”だけでなく“遮断”せよ (2003/09/17)
BIGLOBEが無料セキュリティ・サービス,10月よりブロードバンド向けサービス拡充 (2003/09/16)
「日本はソフトウエア・ライセンスの無駄をもっと吟味すべき」―米LANDeskのCEO (2003/09/08)
Windowsにまたもや“超特大”のセキュリティ・ホール,すぐにWindows Updateの実施を (2003/09/11)
Blasterを回避しただけでは安心できない,“超特大”ホールに関する情報の継続的なチェックが必要 (2003/08/20)
題名には必ず「阿修羅さんへ」と記述してください。