昨年後半から猛威を振るいだしたウイルス「ガンブラー」ですが、その勢いはとどまるところを知らないようです。これには一般の報道に対する誤解も大きく影響していると思われます。
私も周りの方に「ガンブラーって知っている?」というと「知っているよ、ホームページを見ただけで感染するやつでしょ」とたいていの方は答えます。そこで「じゃあホームページを持ってる会社にとっての脅威は何か分かる?」と聞くとたいていは「へ?」と答えます。
つまり脅威の伝わり方として「見ると感染するから大変」という部分だけが強調されてしまっているのです。しかし、このガンブラーの根本的な問題は「感染している有名なサーバーが後を絶たない」ということなのです。従って「PCにパッチを適用する」「ウイルス対策ソフトを使う」というものは「ユーザーとしての対策」だけなのです。
日本でこの問題が広がりを見せている一つの要因に「コンテンツを外部委託している」ということがあると私は考えています。もちろん、自社運用していて「ばらまきサイト」になって例もありますが、コンテンツ作成会社が感染して顧客サイトに次々とウイルスを「アップロード」してしまっている例も少なからずあるのです。
コンテンツ作成会社は多くの場合、セキュリティに対するリテラシーや注意は「個人情報」に向けられています。ウイルス対策ソフトを入れているから大丈夫だと思っていることが多いのです。
一方で、業務委託している大企業では、「サーバーのセキュリティは万全だ」と思い込んでいます。例えば、「Webアプリケーションのセキュリティ検査を定期的に受けている」「WAFもIDSも置いている」「コンテンツ作成会社だけにFTPを許しているからパスワードが盗まれても問題ない」と考えているのです。
しかし、今回のガンブラーはコンテンツ作成会社からウイルスをアップロードしてくるのです。これでは信用している人に裏切られたようなものです。
そこで対策はどうしたらいいと思いますか? とサーバ-管理者に聞くと「ウイルス対策ソフトをサーバーでぶん回す」「悪意のサイトへのアクセスを監視する」などと技術的なことを答えます。
この問題の根本的に対策を打たないといけない場所は「コンテンツをアップロードする端末」なのです。これが自社にあれば管理監督できるのですが、これが他社にあるのでついつい対策の対象からはずれがちです。せいぜい「感染しないように注意してください」とか「ウイルス対策ソフトを更新して、パッチをあててください」ということを「通知」する程度なのです。この程度では感染は防ぐことはできません。
- コンテンツをアップロードするPCをコンテンツアップロード以外のサイトへはアクセスできないようにする(パーソナルファイアウォールもしくはファイアウォールなどを使う)
- FTPを平文のままで使わずに、通信の暗号化や公開鍵認証などを行って盗聴を許さない(これでもPC本体でプログラムへの割り込みが行われた場合には万全ではありませんが、現時点では有効でしょう)
などなど細かいことはこれ以上記述しませんが、逆に業務委託先への対策として悪い順に並べると以下のようになるでしょう。
- 自社のサーバーでウイルス対策ソフトを走らせる
- ウイルス対策ソフトの使用とパッチの適用をするように伝えただけ
- 有効な具体的な対策を伝えただけ
大事なことは
- これらの対策が終わったことを「確認」する
ということなのです。確認書でもいいですし現地確認でもいいです。
これらではガンブラーだけでなく、今後現れるであろう同種の脅威には対抗できません。これまでの商習慣を超えた、「一歩踏み込んだ」対策を行う必要に迫られていると言えるでしょう。