皆さんこんにちは、川口です。先日8月15日にセキュリティ&プログラミングキャンプ2008の参加者が企業見学会としてJSOCへ見学に来ていました。学生が普段接することのないセキュリティ企業ということで、キャンプ参加者はみんな目を輝かせて説明を聞いていました。彼らがセキュリティやプログラミングの力を磨き、活躍していってくれることを願うばかりです。
覚えていますか、Blasterワーム
毎年、夏になると思い出すことがあります。それは2003年8月に猛威を振るったBlasterワーム【注】のことです。
【注】Blasterワームとは?
Blasterワームは2003年7月17日にマイクロソフトから公開された「RPC インターフェイスのバッファ オーバーランによりコードが実行される (823980) 」の脆弱(ぜいじゃく)性を狙って感染を広げるワームです。
この脆弱性が公開されて以降、この脆弱性を悪用する攻撃ツールが次々とリリースされ、ついに8月12日にBlasterワームとして世に登場しました。このBlasterワームは135/tcpでサービスを稼働しているWindowsパソコンに次々と感染を広げていきました。
参考:当時のJSOCのレポート
http://www.lac.co.jp/info/jsoc_report/jsocblasterlovsan.html
折しもBlasterワームが大発生したその日、セキュリティ&プログラミングキャンプの前身であり、幻となったイベント「セキュリティ甲子園」に申し込んだ学生がJSOCの見学に来ていました。当時、JSOCの見学部屋には複数のお客さまのファイアウォールのログの統計を示すグラフを掲示しており、そのグラフが135/tcpポート(Blasterワームが攻撃対象としていたRPCインターフェイス)への通信の急増を示していました。
JSOC見学の当日の朝に「MS03-026の脆弱性を悪用したワームがついに登場したらしい」という情報は入手していましたが、見学の準備に頭がいっぱいだったため、詳細については確認していませんでした。見学が終わった後、業務に戻ってみるとセキュリティアナリストのブースが殺気立っているのが分かりました。JSOCの複数のお客さまのシステムでBlasterワームの感染被害が発生しており、通常の10倍以上の緊急インシデント対応を行っている最中だったのです。
このBlasterワームはWindowsのサーバだけではなく、Windowsクライアントも攻撃対象としていることからお客さまのパソコンが次々と感染している状態でした。お客さまのパソコンが数千台の単位でBlasterワームへ感染しており、セキュリティアナリストはお客さまへの緊急連絡に追われていました。自分のブースに戻った私もすぐさま分析に加わり、専用の分析画面を立ち上げるとすでにBlasterワームに感染したことを示すログが多数表示されており、しかも画面をリロードするたびに感染パソコンのログが数十台の単位で増えているような状況でした。
当時の企業のシステムにはインターネットと社内LANの境界のみにファイアウォールが設置されており、インターネット経由での感染は防ぐことができていたところがほとんどでした。しかし、社外からのリモート接続、持ち込みパソコンなどから、Blasterワームが社内のシステムに侵入していたようです。しかも、当時の社内システムは組織の体系や重要度に合わせてファイアウォールでアクセス制御をするような構成になっていないところが多く、ひとたびBlasterワームが社内に侵入すると、社内全体に感染していきました。
Blasterワームが社内全体に感染し、多数の感染パケットを送出した結果、社内システムがマヒしてしまう状況になっており、1週間から1カ月間社内システムがほぼ停止していた企業もたくさんありました。まるで、麻しんに感染した生徒がクラスに1人いると、免疫のない生徒が次々に感染し、学級閉鎖に追い込まれる状況に似ています。Blasterワームはそれほど多くの被害をもたらしたのです。
セキュリティアナリスト、緊急招集!
セキュリティアナリストはBlasterワームの分析、対応はもちろんですが、日常的に発生している不正アクセスの分析も同時に進めなければなりません。しかし、Blasterワームに感染したパソコンがあまりに多い状況であるため、連絡が追いつかなくなりつつありました。そして休日だったセキュリティアナリストを緊急で招集し、加わってもらうことでなんとか対応しました。なお、JSOCの歴史の中でセキュリティインシデントの急増に対応するための緊急招集はこの日を最後に現在まで行われていません。それほど大変な1日だったのです。このようなワーム事件への対応は2003年にセキュリティアナリストになったばかりの私にとって初めての試練となりました。
Blasterワーム発生から数日が経過しても、猛威は衰える気配が見えません。感染ログを見つけるたびにお客さまに連絡して駆除していただく日が2週間は続いたでしょうか。毎日数百台、数千台の感染ログを見るたびに「いつか根絶される日は来るんだろうか」と憂うつになっていきます。
さらに追い打ちをかけるようにBlasterワームの亜種が次々と登場しました。Blasterワームが行うRPCインターフェイスの脆弱性への攻撃だけではなく、「Windows コンポーネントの未チェックのバッファにより サーバーが侵害される (815021) (MS03-007)」の脆弱性を狙った攻撃も行う亜種(Welchiaワーム)が登場しました。
ワームに新たな攻撃手法が追加された場合、セキュリティアナリストは頭を切り替えなければなりません。攻撃手法が変わるとIDS/IPSから出力されるログの名前も変わり、お客さまにアドバイスする内容も変わることになるからです。お客さまのパソコンが感染するたびに、「このもぐらたたきは永遠に続くのではないか?」と真剣に心配していました。
“のど元過ぎれば熱さを忘れる”では意味がない
もぐらたたきのような数カ月を過ごし、Blasterワーム事件は収束し、お客さまとセキュリティアナリストに平穏な日々が戻ってきました。あれから5年、皆さまの組織の当時のシステム担当者はいまでも同じポジションにいらっしゃるでしょうか。人によっては昇進、異動、転職して、残っていないこともあるでしょう。あのBlasterワーム事件を経験した担当者が残っていない組織では、ワームなどによる緊急事態への対応能力が低下してしまっている恐れがあります。
最近ではBlasterワームのような世界中に猛威を振るうワームは少なくなりました。その代わり、パソコンに感染し、ひそかに活動を行うボットの脅威が深刻化しています。ワームからボットに進化し、パソコンへの感染を見つけることが非常に難しくなっています。ニュースになるようなワームやボットの“大規模”な感染事故が減少しており、危機感が薄れている企業もあります。
人は「のど元過ぎれば熱さを忘れ」ます。ワーム、ボット対策のシステムや仕組みを導入した企業も多数あるでしょう。しかし、結局システムや仕組みを動かすのは人間なのです。なぜそのような仕組みになっているのか? ということを人間が理解していないことには有効に機能しません。
「仏作って魂入れず」の状態にしてはいけません。いま一度、2003年のBlasterワームの事件を振り返り、社内のセキュリティ対策の存在理由について考えてください。
事件から5年が経過し、私はセキュリティアナリストのリーダーとなりましたが、いまでもあのBlasterワーム事件のときの殺気立った慌ただしさは鮮明に思い出されます。Blasterワーム事件を乗り越えたセキュリティアナリストたちは、少々のインシデントではびくともしない“ハートの強さ”を手に入れました。5年の時を経てもあの事件を経験したセキュリティアナリストが5人もチームにいることが私の大きな支えになっています。そのセキュリティアナリストがまた次世代のセキュリティアナリストにその知恵と経験を伝承していくのです。私はその伝承のために、セキュリティアナリストを連れて、今夜も飲みに行くのでした。
Profile
川口 洋(かわぐち ひろし)
株式会社ラック
JSOCチーフエバンジェリスト兼セキュリティアナリスト
ラック入社後、IDSやファイアウォールなどの運用・管理業務を経て、セキュリティアナリストとして、JSOC監視サービスに従事し、日々セキュリティインシデントに対応。
アナリストリーダとして、セキュリティイベントの分析とともに、IDS/IPSに適用するJSOCオリジナルシグネチャ(JSIG)の作成、チューニングを実施し、監視サービスの技術面のコントロールを行う。
現在、JSOCチーフエバンジェリスト兼セキュリティアナリストとして、JSOC全体の技術面をコントロールし、監視報告会、セミナー講師など対外的な活動も行う。
- 「DNS通信」記録していますか?――万一に備えたDNSクエリログの保存方法
- Web広告からのマルウエア感染「Malvertising」にどう対処すべきか
- 中の人が振り返る「Hardening 10 ValueChain」――学びにつながった「トラブルの数々」とは
- 無慈悲な専門家チーム「kuromame6」の暗躍に負けず勝利をつかんだチームは?
- 外部リソースの活用もポイントに、「Hardening 10 MarketPlace」開催
- Hardening Projectから派生した「MINI Hardening Project」に行ってみた!
- 「これさえしておけば助かったのに……」を避けるため、今すぐ確認すべき7項目
- アップデート機能を悪用した攻撃に対抗セヨ!
- 工夫、工夫そして工夫――Hardening 10 APAC“運営”レポート
- ウイルスとは言い切れない“悪意のあるソフトウェア”
- 2013年のセキュリティインシデントを振り返る
- ここが変だよ、そのWeb改ざん対応
- きっかけは不正侵入――私がセキュリティ業界に足を踏み入れたワケ
- CMSが狙われる3つの理由
- FacebookやApple、MSまで……Javaの脆弱性を狙う攻撃の手口
- Hardening One、8時間に渡る戦いの結果は?
- そのときStarBEDが動いた――「Hardening One」の夜明け前
- ロシアでわしも考えた
- 実録、「Hardening Zero」の舞台裏
- ちょっと変わったSQLインジェクション
- 官民連携の情報共有を真面目に考える
- アプリケーションサーバの脆弱性にご注意を
- IPv6、6つの悩み事
- スパムが吹けば薬局がもうかる
- JSOCに飛び込んできた不審なメール――これが標的型攻撃の実態だ
- 東日本大震災、そのときJSOCは
- ペニーオークションのセキュリティを斬る
- 2010年、5つの思い出――Gumblarからキャンプまで
- 9・18事件にみる7つの誤解
- 曇りのち晴れとなるか? クラウド環境のセキュリティ
- Webを見るだけで――ここまできたiPhoneの脅威
- 不安が残る、アドビの「脆弱性直しました」
- ともだち373人できるかな――インターネットメッセンジャーセキュリティ定点観測
- 実録・4大データベースへの直接攻撃
- Gumblar、いま注目すべきは名前ではなく“事象”
- Gumblarがあぶり出す 「空虚なセキュリティ対策」
- 新春早々の「Gumblar一問一答」
- 実はBlasterやNetsky並み?静かにはびこる“Gumblar”
- ECサイトソフトウェアはなぜ更新されないのか
- 狙われるphpMyAdmin、攻撃のきっかけは?
- 学生の未来に期待する夏
- 米韓へのDoS攻撃に見る、検知と防御の考え方
- 分かっちゃいるけど難しい、アカウント情報盗用ボット対策
- 狙われる甘〜いTomcat
- 表裏一体、あっちのリアルとこっちのサイバー
- 世間の認識と脅威レベルのギャップ――XSSは本当に危ないか?
- 急増したSQLインジェクション、McColo遮断の影響は
- ○×表の真実:「検知できる」ってどういうこと?
- ところで、パッケージアプリのセキュリティは?
- レッツ、登壇――アウトプットのひとつのかたち
Copyright © ITmedia, Inc. All Rights Reserved.