PR

三輪 信雄氏 ラック 常務 コンピュータセキュリティ研究所長
嶋倉 茜氏 ラック コンピュータセキュリティ研究所 研究員

図1 D社が見落としていたワームの感染経路と対策
 D社は修正プログラムの適用とウイルス対策ソフトの常駐という基本対策を徹底していたが,ワームに感染した。見落としやすい感染経路は,(1)リモート・アクセス,(2)社外から持ち込まれるパソコン,(3)OSインストール時の無防備な時間帯――の三つがある。

社内ネットにつなぐ前に検査する

 D社の例に見るように,社内ネットワークには見落としがちなワーム感染経路が存在する(図1[拡大表示])。まず一つは,リモート・アクセス経由で社内ネットワークに接続する端末。もう一つは,外部から持ち込まれたパソコン経由の感染である。社外でノート・パソコンをインターネットに接続して使い,それをそのまま会社に持ち込んで社内ネットワークに接続する社員は増えている。ワームの脅威は,このように内側からファイアウォールを通さずにやってくるケースが意外と多い。

 リモート・アクセスや,パソコンの持ち込みによる侵入を防ぐには,そのパソコンがワームに感染していないことを社内ネットワークに接続する前に確認する「検疫作業」が必要になる。

 ウイルス対策ソフトでパソコンをチェックするだけでは検疫作業として不十分である。そこで,社内ネットワークから隔離した検疫用のセグメントを構築し,侵入検知システム(IDS)を使ってネットワーク上に不正なパケットが送出されていないかを調べる。

 ただ,リモート・アクセスで接続するパソコンに対しては,社内ネットワークと切り離した状態で検疫するのは困難である。このため,アクセス・サーバーと同一セグメント内にIDSを設置し,ワームからの攻撃パケットが検出された瞬間に,ネットワークを切断するなどの対策が必要だ。

 もう一つ,気をつけるべき感染経路は,OSをインストールしている途中のパソコンやサーバーである。OSをインストールし,ワーム対策のための修正プログラムを適用し終えるまでは,ネットワークに接続するのは避けた方が良い。社内ネットワークとはいえ,ワームがインストール作業中に侵入して来る可能性は否定できないからだ。したがって,セットアップ作業用に,社内ネットワークと切り離したセグメントを用意するのが望ましい。