Code RedとSirCamで明らかになったウイルス対策の落とし穴

2001/8/9

 先月から「Code Red」や「SirCam」といったウイルスが世界を騒がせている(「とりあえず小康状態のCode Red、IT管理者の取るべき対策は…」参照)。一部の大手ISPからは、ウイルスが原因で通信速度が低下したことを認める内容の発表が出され、IPAでは11日間でウイルスの被害が510件寄せられたという。

 すでに95%以上のクライアントがウイルス対策を実装しているといわているが、感染の被害が一向にやまないのはどうしてだろうか? 今回の現象は、これらの新しいウイルスにはこれまでの対策では不十分ということを物語っている。

 「単なる騒ぎではない。実際に発生している」と語るのは、日本ネットワークアソシエイツ マーケティング部 村中明彦氏。同社が報道関係向けに開いたウイルスの説明会でのことだ。

 「Code Red」には現在、「Code Red.A」、同.B、同.Cの3種類がある。共通して、1〜19日に他のマシンに侵入を試み、20〜27日に特定のIPアドレスにパケットを大量に送りつけるなどしてDoS攻撃を行い、28〜末日に活動休止、というサイクルを毎月繰り返す。このウイルスがこれまでのウイルスと全く違う点は、メモリに侵入すること。ファイルの形式にならないため、磁気媒体に落ちてくることはない。したがって、これまでのアンチ・ウイルスや“添付ファイルに注意”といった対策では感染を防げないのだ。最新の.Cにいたっては、感染後、Webの改ざんを行わずトロイの木馬をメモリにばらまく。被害者は、侵入されたことに気がつきにくいばかりか、気がついたときにはシステムの裏口が開けられ、不正アクセスを許してしまっているという事体が発生する。

 一方の「SirCam」は、被害者の「マイドキュメント」ファイル中の任意のファイルを勝手に送信するプログラムが仕組まれている。トレンドマイクロやシマンテックといった大手アンチウイルス・ベンダの製品では検出できなかった例が報告されている。検出できなかった原因は、添付ファイルのエンコード・データにあると言われている。メール送信機能を持つ同ウイルスは、ファイルのエンコードを自身で行う。ベンダの提供するアンチ・ウイルスソフトの中には、エンコードされたファイルを認識できなかったものと思われる。

 村中氏によれば、これらの巧妙なウイルスに対する策は2つ。「脆弱点検知システムをつかってパッチをあてる、ゲートウェイでワクチン対策をする」。ここで同氏が強調するのは、ゲートウェイでのセキュリティ対策だ。ウイルスの感染経路は90%以上が電子メールを通してだ。ゲートウェイ経由でメールを送受信することにより、ウイルス対策のほか、ゲートウェイを通るメールに対してコンテンツスキャンニングができる、SMTPとHTTPなど複数機能の同時使用に耐えられる、といったメリットもある。もちろん、定期的にウイルス定義ファイルやエンジンを更新すること、情報収集を怠らないこと、そしてトップダウンのセキュリティポリシーの実装が必要というのは言うまでもないことだが……。

 同社では、ウイルス対策ソリューション「WebShield e500 Appliance」、アンチ・ウイルスの管理ツール「ePolicy Orchestrator」、脆弱点検査ツール「CyberCop」などの同社製品により、ゲートウェイでのウイルス対策が行えるとしている。現在、脆弱点スキャンニング機能「PGP CyberCop ASaP」を利用し脆弱点の検査ができるキャンペーンなど、各種のキャンペーンを展開中だ。

[関連リンク]
日本ネットワークアソシエイツ
IPAの緊急対策情報

[関連記事]
とりあえず小康状態のCode Red、IT管理者の取るべき対策は…(TechWeb/@ITNews)
eビジネス、Webサービス時代のセキュリティの課題は? (@ITNews)
"Homepage"ウイルスの被害が広まる (@ITNews)
社会インフラとしてのインターネット、セキュリティ確保のために (@ITNews)
勤務中のネットの個人利用、日本でも規制へ? (@ITNews)
再生を図るネットワークアソシエイツ、新CEOが来日 (@ITNews)
ネットワークアソシエイツがSnifferの新版を発売 (@ITNews)

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)