PR

三輪 信雄氏 ラック 常務 コンピュータセキュリティ研究所長
嶋倉 茜氏 ラック コンピュータセキュリティ研究所 研究員

 Nimdaに感染した端末は,社内ネットワークの共有フォルダに感染ファイルを生成する。こうした共有フォルダ経由で拡散・感染するワームは完全な駆除が難しい。社内ネットワークに共有フォルダがどのくらい存在するか把握しにくいためだ。

 クライアントが個々にワーム対策をきちんと実行していればよいが,そうでなければウイルス・ワクチン・ソフトを使って定期的に共有フォルダ内のファイルをチェックする必要がある。

セキュリティ意識の浸透が重要

 C社は,社内のインターネット利用環境をマイクロソフト製品でそろえている。WebサーバーはIISで構築し,OEとIEを社内の標準的なクライアント・ソフトにしている。

 利用者の多いマイクロソフト製品は,ワームの攻撃対象となりやすい。そこでC社は,新たなワームやセキュリティ・ホール,マイクロソフトからの新しいパッチに関する情報を,メールや社内ホームページを利用して徹底的に告知。社員のセキュリティ意識を高めることで,ワームに対処している。

図3 C社は,ワーム攻撃の対象とされやすい「Outlook Express」と「Internet Explorer」を社内の標準メーラーおよびブラウザにしているが,社員一人ひとりまでセキュリティ意識を徹底させて感染を回避
 新たなセキュリティ・ホールやワーム,米マイクロソフトからの新しい修正パッチに関する情報などを,社内メールや社内ホームページを使って社員にアナウンス。対応を徹底させている。
 2001年9月に起こったNimda騒ぎの際も,すべてのクライアントがIEへのService Packの適用を事前に済ませ,感染を免れた(図3[拡大表示])。

サーバーのパッチは素早く適用

 Nimdaをはじめ次々登場するワームは,様々な手段で社内ネットワークに侵入を試みるため,完全な対策は存在しない。日々新たなセキュリティ・ホールが発見され,そのたびに新しいワームが登場する。抜け穴のないワーム対策を考え出すのは不可能だ。

 サーバーに関する一番有効な対策は,(1)最新のアプリケーション・ソフトを使用,(2)ベンダーから配布されるパッチをできるだけ早くマシンに適用――することである。

 サーバーとは,Webサーバーやメール・サーバーなど何らかのサービスを提供するアプリケーションが動作しているマシンすべてを指す。しかし,実際にサービスを提供していなくてもサーバー・ソフトが動作していれば,ワームの攻撃対象になる。サーバー管理者は,この点を頭に入れておくべきである。

 最新のアプリケーション・ソフトは,システム上の問題が修正されている場合が多い。そこで,最新ソフトを使うことは既存の問題を突いて攻撃するワームへの対策として有効だ。

 またパッチは,配布が始まった日に適用することが望ましい。特に,マイクロソフトの日本語版ソフトへのパッチの配布は,米国と比べ3日以上遅れることが多いため,急いだ方がいい。

ウイルス定義ファイルの更新を徹底

 一方,クライアントにおけるワーム対策も,基本的にはサーバーと変わらない。(1)最新ソフトを使用,(2)パッチを適用――することが大切だ。これらに加えて,(3)ウイルス対策ソフトを常駐させることも不可欠である。

 クライアントに感染するワームの多くは,メールを介して侵入する。そしてNimdaの例でも分かるように,添付ファイルさえ実行しなければ大丈夫という常識はもはや通用しない。また,巧妙に偽装したウイルス・メールも増えており,うっかり添付ファイルを実行してしまうこともある。

 こうした事態を想定し,クライアントにはウイルス対策ソフトを常駐させておくべきだ。さらに,常に最新のワームに対応できるようにするため,ウイルス定義ファイルを更新していく必要がある。ウイルス対策ソフトをインストールしても,常駐させていなかったり,ウイルス定義ファイルが古かったりすると効果は望めない。