皆さんこんにちは、川口です。先日8月15日にセキュリティ&プログラミングキャンプ2008の参加者が企業見学会としてJSOCへ見学に来ていました。学生が普段接することのないセキュリティ企業ということで、キャンプ参加者はみんな目を輝かせて説明を聞いていました。彼らがセキュリティやプログラミングの力を磨き、活躍していってくれることを願うばかりです。
毎年、夏になると思い出すことがあります。それは2003年8月に猛威を振るったBlasterワーム【注】のことです。
【注】Blasterワームとは?
Blasterワームは2003年7月17日にマイクロソフトから公開された「RPC インターフェイスのバッファ オーバーランによりコードが実行される (823980) 」の脆弱(ぜいじゃく)性を狙って感染を広げるワームです。
この脆弱性が公開されて以降、この脆弱性を悪用する攻撃ツールが次々とリリースされ、ついに8月12日にBlasterワームとして世に登場しました。このBlasterワームは135/tcpでサービスを稼働しているWindowsパソコンに次々と感染を広げていきました。
参考:当時のJSOCのレポート
http://www.lac.co.jp/info/jsoc_report/jsocblasterlovsan.html
折しもBlasterワームが大発生したその日、セキュリティ&プログラミングキャンプの前身であり、幻となったイベント「セキュリティ甲子園」に申し込んだ学生がJSOCの見学に来ていました。当時、JSOCの見学部屋には複数のお客さまのファイアウォールのログの統計を示すグラフを掲示しており、そのグラフが135/tcpポート(Blasterワームが攻撃対象としていたRPCインターフェイス)への通信の急増を示していました。
JSOC見学の当日の朝に「MS03-026の脆弱性を悪用したワームがついに登場したらしい」という情報は入手していましたが、見学の準備に頭がいっぱいだったため、詳細については確認していませんでした。見学が終わった後、業務に戻ってみるとセキュリティアナリストのブースが殺気立っているのが分かりました。JSOCの複数のお客さまのシステムでBlasterワームの感染被害が発生しており、通常の10倍以上の緊急インシデント対応を行っている最中だったのです。
このBlasterワームはWindowsのサーバだけではなく、Windowsクライアントも攻撃対象としていることからお客さまのパソコンが次々と感染している状態でした。お客さまのパソコンが数千台の単位でBlasterワームへ感染しており、セキュリティアナリストはお客さまへの緊急連絡に追われていました。自分のブースに戻った私もすぐさま分析に加わり、専用の分析画面を立ち上げるとすでにBlasterワームに感染したことを示すログが多数表示されており、しかも画面をリロードするたびに感染パソコンのログが数十台の単位で増えているような状況でした。
当時の企業のシステムにはインターネットと社内LANの境界のみにファイアウォールが設置されており、インターネット経由での感染は防ぐことができていたところがほとんどでした。しかし、社外からのリモート接続、持ち込みパソコンなどから、Blasterワームが社内のシステムに侵入していたようです。しかも、当時の社内システムは組織の体系や重要度に合わせてファイアウォールでアクセス制御をするような構成になっていないところが多く、ひとたびBlasterワームが社内に侵入すると、社内全体に感染していきました。
Blasterワームが社内全体に感染し、多数の感染パケットを送出した結果、社内システムがマヒしてしまう状況になっており、1週間から1カ月間社内システムがほぼ停止していた企業もたくさんありました。まるで、麻しんに感染した生徒がクラスに1人いると、免疫のない生徒が次々に感染し、学級閉鎖に追い込まれる状況に似ています。Blasterワームはそれほど多くの被害をもたらしたのです。
セキュリティアナリストはBlasterワームの分析、対応はもちろんですが、日常的に発生している不正アクセスの分析も同時に進めなければなりません。しかし、Blasterワームに感染したパソコンがあまりに多い状況であるため、連絡が追いつかなくなりつつありました。そして休日だったセキュリティアナリストを緊急で招集し、加わってもらうことでなんとか対応しました。なお、JSOCの歴史の中でセキュリティインシデントの急増に対応するための緊急招集はこの日を最後に現在まで行われていません。それほど大変な1日だったのです。このようなワーム事件への対応は2003年にセキュリティアナリストになったばかりの私にとって初めての試練となりました。
Blasterワーム発生から数日が経過しても、猛威は衰える気配が見えません。感染ログを見つけるたびにお客さまに連絡して駆除していただく日が2週間は続いたでしょうか。毎日数百台、数千台の感染ログを見るたびに「いつか根絶される日は来るんだろうか」と憂うつになっていきます。
さらに追い打ちをかけるようにBlasterワームの亜種が次々と登場しました。Blasterワームが行うRPCインターフェイスの脆弱性への攻撃だけではなく、「Windows コンポーネントの未チェックのバッファにより サーバーが侵害される (815021) (MS03-007)」の脆弱性を狙った攻撃も行う亜種(Welchiaワーム)が登場しました。
ワームに新たな攻撃手法が追加された場合、セキュリティアナリストは頭を切り替えなければなりません。攻撃手法が変わるとIDS/IPSから出力されるログの名前も変わり、お客さまにアドバイスする内容も変わることになるからです。お客さまのパソコンが感染するたびに、「このもぐらたたきは永遠に続くのではないか?」と真剣に心配していました。
もぐらたたきのような数カ月を過ごし、Blasterワーム事件は収束し、お客さまとセキュリティアナリストに平穏な日々が戻ってきました。あれから5年、皆さまの組織の当時のシステム担当者はいまでも同じポジションにいらっしゃるでしょうか。人によっては昇進、異動、転職して、残っていないこともあるでしょう。あのBlasterワーム事件を経験した担当者が残っていない組織では、ワームなどによる緊急事態への対応能力が低下してしまっている恐れがあります。
最近ではBlasterワームのような世界中に猛威を振るうワームは少なくなりました。その代わり、パソコンに感染し、ひそかに活動を行うボットの脅威が深刻化しています。ワームからボットに進化し、パソコンへの感染を見つけることが非常に難しくなっています。ニュースになるようなワームやボットの“大規模”な感染事故が減少しており、危機感が薄れている企業もあります。
人は「のど元過ぎれば熱さを忘れ」ます。ワーム、ボット対策のシステムや仕組みを導入した企業も多数あるでしょう。しかし、結局システムや仕組みを動かすのは人間なのです。なぜそのような仕組みになっているのか? ということを人間が理解していないことには有効に機能しません。
「仏作って魂入れず」の状態にしてはいけません。いま一度、2003年のBlasterワームの事件を振り返り、社内のセキュリティ対策の存在理由について考えてください。
事件から5年が経過し、私はセキュリティアナリストのリーダーとなりましたが、いまでもあのBlasterワーム事件のときの殺気立った慌ただしさは鮮明に思い出されます。Blasterワーム事件を乗り越えたセキュリティアナリストたちは、少々のインシデントではびくともしない“ハートの強さ”を手に入れました。5年の時を経てもあの事件を経験したセキュリティアナリストが5人もチームにいることが私の大きな支えになっています。そのセキュリティアナリストがまた次世代のセキュリティアナリストにその知恵と経験を伝承していくのです。私はその伝承のために、セキュリティアナリストを連れて、今夜も飲みに行くのでした。
川口 洋(かわぐち ひろし)
株式会社ラック
JSOCチーフエバンジェリスト兼セキュリティアナリスト
ラック入社後、IDSやファイアウォールなどの運用・管理業務を経て、セキュリティアナリストとして、JSOC監視サービスに従事し、日々セキュリティインシデントに対応。
アナリストリーダとして、セキュリティイベントの分析とともに、IDS/IPSに適用するJSOCオリジナルシグネチャ(JSIG)の作成、チューニングを実施し、監視サービスの技術面のコントロールを行う。
現在、JSOCチーフエバンジェリスト兼セキュリティアナリストとして、JSOC全体の技術面をコントロールし、監視報告会、セミナー講師など対外的な活動も行う。
Copyright © ITmedia, Inc. All Rights Reserved.