PR

 Nimdaに代表される最近のウイルスの特徴は,感染のスピードが極端に速いこと。アンチウイルス・ベンダーが,ウイルスを検知・駆除するためのパターン・ファイルを用意する前に,インターネットに広くまん延するといった事態になってきている。これから間違いなく登場する「次期Nimda」は,ある日突然,社内で感染を広げるかもしれない。

 その対処には,まず早期にウイルスを発見することが重要だ。「Nimda」という言葉を知る前に,Nimdaを実際に発見した企業の実例から,早期発見のポイントを見てみよう。

早期発見と素早い対処が重要

 まずは社内のマシンでなんらかの異常に気付いたら,それに素早く対処すること。ウイルスに感染すると,マシンの動作が不安定になったり,見慣れないファイルが作成されていたりすることが多い。こうした事態に遭遇したら,問題を先送りにしてはいけない。

 マイクロソフトが社内でNimdaを発見したのは,ポータル・サイト「MSN」にWebコンテンツをアップロードするマシンが,不安定なことに気付いたためだ。これに気づいたのは,2001年9月18日午後11時半ころ。この時点では,Nimdaという名前すら存在していなかった。ちなみにアンチウイルス・ベンダーの元に,Nimdaの「検体」が届き始めたのは,9月19日午前0時前後であり,パターン・ファイルが配布されたのは,それから数時間後である。

 マイクロソフトが不安定なマシンを調べたところ,今でこそ有名な「readme.eml」といった名前のファイルが大量に存在していた。MSNには,Webコンテンツとともに,このreadme.emlなどのウイルス・ファイルをアップロードしてしまっていた。マイクロソフトは,インターネット上の多くのサイトを調べることで,徐々にその正体をつかんでいった。

 Nimdaが,Webサイトの訪問者にも感染を広げる危険なウイルスであり,9月18日夜にアップロードした100ページ以上のWebコンテンツのほとんどが感染していることが分かったため,マイクロソフトはMSNを午前3時半に停止した。感染に気づいてからサイトを停止するまで,約4時間もかかったのは問題とも言えるが,早期発見が遅れていれば,事態はさらに深刻になっていただろう。

 王子製紙が社内で最初にNimdaを発見したのも,社内のサーバーで見慣れないファイルが見つかったことからだった。王子製紙のシステム子会社である王子ビジネスセンターのシステム担当者は,アンチウイルス・ベンダーのトレンドマイクロのWebサイトを毎朝9時に見て,新しいウイルスの情報を確認することを日課にしていた。

 9月19日の朝もそれは同じだった。ところがトレンドマイクロが,Nimdaの情報をWebサイトに掲載したのは午前10時半と遅かった(例えば日本ネットワーク・アソシエイツは午前6時53分)。このため朝9時の時点ではNimdaの出現に気付かなかった。しかし9時半ころ,別のシステム担当者が社内のサーバーにアクセスしたところ,偶然,見慣れないファイルを発見した。これがNimdaだった。それからウイルス情報を改めて探し始め,対策を開始した。

ログやトラフィックの監視もウイルス発見に有効

 ファイアウオールのログを見たり,ネットワーク・トラフィックを監視するといった,日常のシステム管理業務からも,新しいウイルスは発見できる。竹中工務店がNimdaの存在に気付いたのは,毎朝チェックしているファイアウオールのログの異常からだった。「ログの量が通常の2~3倍になっており,コード・レッドの亜種でも登場したかなと思った」(インフォメーションマネジメントセンター 情報資源運用担当の見並正章氏)。そのあとNimdaの存在を知り,対策を開始した。

 日立製作所がNimdaに気付いたのは,社内ネットワークのトラフィックを24時間監視していたためだった。9月19日午前2時ころ,日立製作所は社内のトラフィックが異常に高くなっていることに気付いた。多数のクライアント・マシンに感染したNimdaが,大量のトラフィックを発生していたためである。WebサイトなどでNimdaの情報を確認したあと,午前4時にはセキュリティの担当者を自宅から呼び出して,対策を急いだ。

 次のNimdaに対応するには,まずは早期に発見することが重要だ。そのためには,アンチウイルス・ベンダーからの情報を常にウォッチすることももちろんだが,日々のシステム管理業務のなかでも,ウイルスへの対策を頭に置いておいた方が良い。

(安東 一真=日経インターネットテクノロジー)

本記事は,日経インターネットテクノロジーのホームページに連載中の「インターネット・コラム」から転載したものです。