企業が受けるウイルスによる被害とは:いまさらというなかれ! 管理者のためのウイルス対策の基礎(2)
本連載では、システム管理者が知っておくべきコンピュータ・ウイルスに関する知識や、行うべきセキュリティ対策にはどのようなものがあるかということを示し、単に技術的な観点からだけではないコンピュータ・ウイルスの知識とその対策について解説します。正確な知識と対策を学ぶことで、コンピュータ・ウイルスから企業を守っていく助けとなれば幸いです。(編集局)
前回はコンピュータ・ウイルス(以下、ウイルス)について、種別や被害の概要について説明した。今回は、ウイルスによって企業が受ける被害をより詳細に学んでいく。ここでの「ウイルス」は「ユーザーの意思にかかわらず不利益をもたらす不正なプログラム」のことを指す。
ウイルスによって企業が受ける被害を大きく2つに分けると、1つはウイルスが感染したことによって引き起こされる直接的な被害、もう1つは事前対策やウイルスに感染した際に実施する対処などで発生するコストなどの間接的な被害である。
ウイルス対策を行うためには、ウイルスのリスクを把握することが必須である。ウイルスに起因する被害を知っておくことは、正しいセキュリティ対策を行ううえで欠かすことができない。
企業が受けるウイルスによる直接的な被害
まず、ウイルスが感染したり発病することで直接的に引き起こされる被害から説明していこう。ここではウイルス自身が持つ機能によって受ける主な被害について解説する。
■ファイルが改変される
ウイルスには感染や発病するとOSやアプリケーション、データなどのファイルを改変する機能を持つものがある。ウイルスは感染するときにプログラムに寄生することがあるので、その際にファイルが改変される。また、多くのウイルスは発病したときに何らかのファイルを改変する。改変されるのはプログラムの実行形式ファイルだけではなく、データファイルにまで及ぶことが多い。
ファイルを改変することで、OSやアプリケーション、Webページなどにウイルスの2次感染を誘発する機能を付加したり、ウイルスが発病するための機能を付加したり、ウイルス対策ソフトの起動を阻害したりするなど、OSやアプリケーションの正常な動作を妨害する。
■ファイルやフォルダが削除される
ウイルスにはファイルやフォルダを削除する機能を持つものがある。OSやアプリケーションに必要な特定のファイルなどを削除するものや、無差別にファイルなどを削除していくもの、ドライブごとフォーマットしてしまうものなどさまざまだ。
OSやアプリケーションの動作に必要なファイルなどが削除されてしまうと正常に動作することができなくなる。無差別にファイルなどが削除されてしまう場合、重要なデータやアプリケーション、OSのシステムファイルなどに被害が及ぶ可能性がある。これまで蓄積してきたデータや、開発中のアプリケーションなどが一瞬にして消失してしまうことになるのだ。
削除されるファイルは、感染したコンピュータのローカルのハードディスクだけではなく、リムーバブルディスクやネットワーク上に共有しているファイルなどがある場合、アクセス権があればそれも削除の対象になることがある。
■システムが破壊される
ウイルスにはシステムの起動に必要なMBRなどのブートセクタを破壊する機能を持つものがある。ブートセクタも一種のプログラムなので、ウイルスは感染することができる。システムが起動しないように破壊してしまうものや、ブートセクタに感染することでOSが起動している間中メモリ上に居座り続けるものなどさまざまである。
ユーザーが使うコンピュータだけではなく、ルーターやファイアウォールなどのネットワーク機器もブートセクタを持つものが多いため、ウイルスに感染してシステムが破壊されてしまう可能性もある。
■CPUやメモリなどのリソースが消費される
ほとんどのウイルスは感染したり発病したりする際にはCPUやメモリ、ハードディスクなどのシステムのリソースを消費する。現在のハイスペックなコンピュータではユーザーが意識するほどのリソース消費量ではないことがほとんどだが、場合によってはシステムのリソースを消費し尽くすこともある。
■情報が改ざんされる
ウイルスには情報の改ざんを目的とした機能を持つものがある。Webページを改ざんしたり、データファイルの内容を書き換えたりするものなどがある。
Webページが改ざんされる場合は、ウイルスが直接Webサーバに感染するのではなく、感染したコンピュータなどからネットワーク越しにWebサーバの脆弱性*1などを利用して行われることも多い。
■メールを不正に送信する
ウイルスにはメールを送信する機能を持つものがある。Outlookなどのメールクライアントの機能を利用するものや、SMTPサーバを直接利用するものなどがある。ここ数年のウイルス感染経路の多くは受け取ったメールからである。実際、IPA/ISECの「コンピュータウイルス・不正アクセスの届出状況について」という報告では、2004年1月の感染経路の約94%がメールによるものというデータもある。
メールを送信することでウイルス自身の感染を広げるものや、アドレス帳やキャッシュファイル内にあるメールアドレスの相手に添付ファイルなどを付けて送るもの、特定のメールアドレスにパスワードなどの情報を送るものなどがある。
■情報が漏えいする
ウイルスにはインターネットにアクセスし、ファイルやパスワードなどの情報を流出させる機能を持つものがある。インターネットへのアクセスは先に挙げたメールを利用したり、インターネット上の掲示板などに書き込んだりするものなどさまざまだ。
流出するパスワードやクレジットカード番号などの個人情報や画像などのファイル、社外秘扱いの情報など多岐にわたる。
組織内のコンピュータから外部Webサイト(インターネット)や外部メールサーバへのアクセスは制限されていないことが多いため、ファイアウォールやIDSなどでウイルスによるそれらのアクセスを不正なものとして発見することが難しい。
■ネットワークのトラフィックが増加する
ウイルスにはWebやメール、Pingなどでのインターネットへのアクセスや、SMB(Server Message Block)での共有ファイルなど組織内のネットワークにアクセスする機能を持つものがある。
ウイルスによって消費されるネットワークのトラフィックは、微量なものからネットワークが停止してしまうぐらい膨大なものまでさまざまである。
■不正アクセスを助長する
ウイルスにはバックドアを仕掛けて侵入者のために入り口を用意することで不正アクセスを助長するものや、インターネット上のサーバなどに対して脆弱性を利用した攻撃を行うような機能を持つものがある。
ウイルスが侵入者のためのバックドアとして機能する場合には、ユーザーに対してシステム上は何ら不具合がないように見せ掛けることが多い。バックドアを仕掛けることで侵入者は簡単にシステムに侵入することができるようになる。侵入された後は、攻撃の踏み台にされたり情報などを盗まれる可能性がある。
■DoS攻撃を助長する
ウイルスには大量のトラフィックを発生させたり、脆弱性を利用してサービスを停止させたりする機能を持つものがある。
DoS攻撃を助長する機能を持つウイルスの多くは、感染した複数台(状況によっては数万台)のコンピュータから、特定のドメインやIPアドレスに向けてPingを大量に打ったり、特定のWebページに大量のアクセスを行ったりすることで、膨大なトラフィックを生み、サービス停止状態に追い込むというものである。
■ウイルスの2次感染を助長する
ウイルス制作者の意図として、できるだけ広範囲にウイルスをまん延させたいということが挙げられる。ほとんどすべてのウイルスが何らかの形でほかのコンピュータなどに2次感染させようとする機能を持つ。
フロッピーディスクなどの媒体や、メールの添付ファイルやWebページなどのインターネットを利用するなど、さまざまな手法を活用してウイルスの感染に利用している。
企業が受けるウイルスによる間接的な被害
ウイルス自身の機能による被害は大きな打撃であるが、企業にとってはそれ以上に間接的に引き起こされる被害の方が問題となる。
ウイルス発病による被害からの復旧作業やウイルス対策のための導入コスト、外部に対してウイルスを発信してしまった場合の信頼失墜や、ビジネスチャンスの喪失など……挙げていくとキリがない。
ウイルスによる直接的な被害だけがリスクではなく、ウイルスという存在自体が企業にとっては大きなリスクの1つである。ここでは企業がウイルスによって受けるさまざまな被害について解説する。
■ウイルス被害による生産性の低下
ウイルスが感染した場合や、ウイルスの影響でDoS攻撃を受けた場合、コンピュータにさまざまな影響があることは先に挙げたとおりだ。その影響は、システムのパフォーマンスが低下したり、データが削除されたり、システムに障害が出るなど多岐にわたる。
これは、正常に業務が行えなくなり生産性の低下を招いたり、最悪の場合には業務が停止してしまうといった事業継続にかかわる問題になることを意味する。
IT化が進んでいる近年の企業では、業務システムが停止することは致命傷になる可能性も十分にある。また、これらは、ユーザーがウイルス感染に気が付いていない場合でも同様である。
■ウイルス被害からの復旧コスト
ウイルス被害を被ってしまった場合には、業務を正常に行えるようにコンピュータやネットワーク環境を復旧させることが急務である。この復旧作業には主に人件費を中心としたさまざまなコストが発生する。また、人件費などのコスト発生はもちろんのこと、システムの復旧作業を行っている間や、インシデントレスポンス*2中には業務の生産性は低下することになる。
以下に、ウイルス被害時の復旧作業で必要となる項目を挙げる。
- インシデントの報告を担当者、責任者へ行う
- ウイルスが存在する事実を確認する
- ディスクイメージやバックアップ、ログなどの現在の状況を保存する
- ウイルスを駆除、または除去する
- 悪意のあるコードがすでに実行されている場合には、その被害に対応する
- ウイルス被害により損傷したファイルなどの回復を行う
- ウイルス被害の影響範囲を特定し、ネットワークからの分離や回復作業などを行う
- 感染源に対して忠告し、2次感染の影響を受ける可能性がある各所へ警告する
- 外部へ感染している可能性がある場合には、渉外を検討し、適切に実施する
- IPAなどへのウイルス被害の報告を検討し、適切に実施する
ここではウイルス被害による復旧作業について簡潔に述べたが、実際にはほかにも実施すべき項目がある。本連載の後の回でも復旧作業に関することは取り上げる予定だ。
■ウイルス対策の導入・運用コスト
ウイルス被害の多くは突発的に発生する。そのウイルス被害に対して事前に何の準備もしていないと、防げたはずのウイルスに感染してしまったり、復旧作業が遅れたり、被害が拡大したりするリスクがある。それらをできる限り防ぐためにも、ウイルス対策のためにコストを投じる必要がある。
ウイルス対策に掛けるコストは定量的に計ることは難しいので、企業がどこまでのウイルス対策を行うべきかということは一概にはいえない。それぞれの企業でリスクとそれに対する投資コストを検討していく必要がある。
ウイルスに対する事前対策に掛かるコストにはさまざまなものがあるが、主なものを以下に紹介しておく。
- ウイルスに関する情報収集とリスク分析
- セキュリティポリシーやガイドラインの策定と実施
- 社員などの教育や訓練
- クライアントへのアンチウイルス製品の導入
- ファイアウォールや侵入検知システム(IDS)などの導入
- OSやアプリケーション(ウイルス対策ソフトを含む)のバージョン管理の実施
- クライアントやサーバのデータなどの定期的なバックアップの実施
- ヘルプデスクの設置
- ウイルスインシデント保険などへの加入
■対外取引に対するリスク
ウイルス被害が社内だけにとどまらず、2次感染などにより社外に拡大してしまう可能性がある。メールやWebページなどのインターネットを通じたウイルスの2次感染や情報漏えい、開発したアプリケーションやデータファイルなどが入ったCD-ROMやDVDなどのメディアからの外部への2次感染がさまざまなことを引き起こす。これらの被害の多くは定量化しづらいものが多く、具体的な被害額などが算出しづらい。しかし、どれも企業にとって致命傷となる可能性を持っている。
外部へウイルスが2次感染したり、情報漏えいした場合、どういったリスクが考えられるのかを以下に主なものを紹介しておく。
- ウイルスに感染してしまったことや、2次感染の発生源となったということが知られることによって企業としての信頼が失墜し、ビジネスチャンスを喪失する
- ウイルスの2次被害を受けたり、漏えいした情報(取引先の情報など)を受け取った相手からの信用を失う
- 情報漏えいによるビジネスリスク(顧客情報や開発中のアプリケーションのソースコード、公開前のIR情報などさまざま)
- ウイルス被害による損害賠償や、情報漏えいに起因する訴訟などの法的なリスク
また、2次感染せず1次感染のみでも対外取引におけるリスクが存在する。例えば、社内でのウイルス被害発生によってシステムや業務が停止することで、納期が遅れたり、発注処理ができなかったりとさまざまなことが起こる。
■心理的なリスク
直接コストとして被害を受けるわけではないので軽視されがちであるが、心理的なリスクも無視することができない。ウイルスによる不安感やウイルス被害を受けてしまうことで心理的に被害を受けることがある。
- ウイルスに対する間違った認識により、被害者がスケープゴートになる
- ウイルス発生時の対処法が確立されていない、または教育されていないため、パニックに陥る
そのほかにも、ウイルス対策や対応の任務の責任感に圧迫されたり、あまりにも大きい被害を受けた場合に精神的に打ちのめされたりし、本来の業務の効率を落とすなど、ウイルスは心理的な面でもさまざまな被害を与えるのだ。
以上、第2回は、ウイルスによって企業が受ける具体的な被害についてまとめた。次回からは、「ウイルス技術の歴史と進化」として、ウイルスのテクノロジや、ウイルス対策ソフトのテクノロジを解説する。
Index
いまさらというなかれ! 管理者のためのウイルス対策の基礎 第2回
企業が受けるウイルスによる直接的な被害
企業が受けるウイルスによる間接的な被害
Profile
上野 宣(うえの せん)
1975年京都生まれ。情報セキュリティを世に広げるべく、講演や執筆活動とさまざまな方面で活動中。近著に「今夜わかるTCP/IP」と「今夜わかるHTTP」(共に翔泳社から2004年12月発売)がある。
Copyright © ITmedia, Inc. All Rights Reserved.