社内LANでのウイルス蔓延を食い止めよ!

この記事をtweetする このエントリーをはてなブックマークに追加

また失敗したの?と言われる前に セキュリティ登龍門50

社内LANでのウイルス蔓延を食い止めよ!

2009/04/07


 インターネットに接続しない社内ネットワークでも、ウイルス対策やセキュリティパッチ適用をおろそかにした運用では、大きなリスクとなる。これまでは安全と考えられてきた、閉じた社内ネットワーク内でのウイルス感染例が最近増えている。ネットワーク型ウイルスがその感染能力を高め、巧みに社内ネットワークに侵入、社内のPCのみならずファイルサーバなどにまで感染を広げ、さらにインターネットへの窓口も開けて不正プログラムの呼び込みもできるようになってきたからだ。今回は、インターネット接続の有無に関わらず感染を広げる新しいタイプのウイルスについて、そのふるまいと対策を紹介していこう。

ウイルス

#003

市役所のシステムでトラブル発生。完全復旧に2週間!

 今年3月2日夜、大阪府H市の市庁舎内のシステムにトラブルが発生。PCの動作が重くなるなどの症状について原因を調べたところ、新種のネットワーク型ウイルスが複数のPCに感染していることがわかった。感染していたのは「ダウンアド」と呼ばれるウイルスだった。
 同市では、翌3日朝から出先機関を含め約1400台のPCの大半を使用制限し、復旧活動にあたった。最大で1100台に感染の可能性があるとみてウイルス駆除を始めたが、このウイルスはウイルス本体の駆除だけでは済まず、いったん駆除が成功したと思っても、新たな感染が他方で始まるというやっかいな代物だった。約2週間にわたり対策・復旧作業に追われた末に、3月17日にやっと全面復旧した。
 幸いなことに、このウイルスには情報流出やシステム破壊などの機能はなく、ひたすら自己複製や新規感染を続けることだけを目的としているタイプだったため、ネットワーク帯域が圧迫されて業務が遅滞したこと以外には深刻な直接的被害はなかった。とはいえ、駆除・復旧作業中には市庁舎の住民サービスや事務作業などに大きな支障が生じ、市と住民には多大な迷惑と損害が生じることになった。
 対策のためにPCに導入したウイルス対策ソフトのコストは推定で500万円を超えるとみられるが、原因究明と復旧対策に費やした人件費コストや業務の停滞による被害額を積み上げると、さらに巨額の損失となることは間違いない。




1

ネットワーク型ウイルスの脅威

1-1

ネットワーク型ウイルスの歴史

 ネットワーク型ウイルスの脅威が一般に知られるようになったのは、2003年頃にMS-Blasterが発生・蔓延して以降のこと。それまではメールに添付されたウイルス入りのファイルを実行するなどの、直接的な操作がなければ感染しなかったものが、ネットワークに接続しただけでも感染してしまうことがあり得ることが、MS-Blasterのすさまじい速さのアウトブレイク(感染が広がること)による被害の拡大、およびその報道によって、専門家以外にも広く知れ渡ることになった。
 その後、MS-Blasterの亜種や同様な特徴をもつウイルスが次々に登場してきたが、いずれもアンチウイルスツールとPC運用管理の強化などによって際だった被害は抑え込まれてきた。しかし、今年に入って国内ではネットワーク型ウイルスが深刻な被害をもたらした事件の報道が相次いでいる。
 ケースファイルの事件原因となったウイルス(ワーム)は、Downadup(ウイルス名はセキュリティベンダなどにより違いがある。本稿ではダウンアドと表記)と呼ばれる種類で、最初の発見は2008年11月下旬のこと。これはWindowsのセキュリティホールを突いて組織内に侵入してLAN内への感染を広げるタイプだった。ウイルスが利用したセキュリティホールはMS08-067(Server Service Remote Execution Exploit)と呼ばれるもので、同年10月24日にマイクロソフトから発表されたばかりのものだった。
 実はケースファイルと同様の事件は同年11月から起こり始めており、本年当初から大きな事例がいくつか報道されている。

【類似ケース1:大学病院の場合】

 2月27日には都内の有名大学医学部付属病院で同じウイルスによる感染被害が発生している。ウイルス感染が検知されたのは午前6時ごろで、院内のLANに接続されている1000台以上の診療業務用のPCと4台のサーバの感染が確認されたという。障害は27日午後1時ごろには復旧したが、診療の待ち時間が延びるなどの支障が生じた。

【類似ケース2:警視庁の場合】

 また1月24日には警視庁の内部システムでも同種のウイルスの感染が発見されている。22日の14時ごろにたまたま1台のPCがウイルスに感染していることがわかり、オンラインシステムの一部を緊急停止し、業務用PCを調べたところ、数十台の感染がわかったというものだ。ウイルスによる直接的な被害は生じていないものの、業務停止と復旧のために多大な時間とコストが費やされた。

 これらの事例も、ケースファイルと同様にダウンアドによるものだ。そしてそれ以外にも共通点がある。どのケースも、インターネット接続をしていない、閉じたLAN(イントラネット)を利用していたことだ。また、すべて大量の業務用PCへの感染であり、停止が業務に直接影響したこと、当初はユーザも管理者も感染に気がつかなかったことも共通している。

セキュリティ情報局にご登録頂いた方限定で「社内LANでのウイルス蔓延を食い止めよ!」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


ウイルス/社内LANでのウイルス蔓延を食い止めよ!」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「ウイルス」関連情報をランダムに表示しています。

ウイルス」関連の製品

外部メディア ウイルス対策ソリューション 「Metadefender」 【ネクスト・イット】 標的型攻撃は“目視”で防御、サンドボックスで防げない攻撃にも強い理由とは? 【クオリティア】 メールセキュリティソリューション Proofpoint 【双日システムズ】
アンチウイルス メールセキュリティ メールセキュリティ
USB/CD/DVDなどの外部メディア内に潜むマルウェアの持ち込みを防御。脅威のリスクが高いファイルのブロックと強力なウイルススキャンを実行するソリューション。 標的型攻撃は“目視”で防御、サンドボックスで防げない攻撃にも強い理由とは? クラウド型サンドボックスによりメールを介した未知の標的型サイバー攻撃を検知し、悪意ある添付ファイルやURLをブロックする「Targeted Attack Protection」などを提供。

ウイルス」関連の特集


 前回までは、スパムメールの脅威と有効な対策についてみてきた。第3回の今回は、システムの耐障害性と拡…



 個人情報漏洩インシデントの個別要素、経年変化を分析した結果から、対策効果が停滞気味であり、全体的に…



 前回はFlashfakeの感染経路としてJREやFlash Playerがあることを解説した。今回…


ウイルス」関連のセミナー

働き方の多様化とセキュリティ向上を両立するVDI実践セミナー 【ディーアイエスソリューション/日本ヒューレット・パッカード/ヴイエムウェア/ゲイトウェイ・コンピュータ】 締切間近 

開催日 8月29日(火)   開催地 東京都   参加費 無料

〜働き方改革の実践・最新の脅威に対し、有効なITシステムと運用の最適解をご提示します〜昨今、企業側には社員への多様な働き方の実現を強く求められる反面、情報漏えい…

介護事業者向け『介護現場環境改善』セミナー 【日立システムズ】  

開催日 9月7日(木)   開催地 東京都   参加費 無料

本セミナーは、日立システムズが取り扱う商材(ビジネスツール)から、介護現場の環境改善のヒントをご提案するとともに、実機展示(見て触れる)による体験型学習を通じて…

ハンズオンで学ぶ!未知の脅威対策 【エムオーテックス】  

開催日 8月25日(金),9月20日(水)   開催地 大阪府   参加費 無料

機械学習の活用で未知の脅威を検知し、セキュリティ強化を実現する「プロテクトキャット Powered by Cylance」をハンズオン形式で体験できるセミナーで…

「エンドポイントセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30003069


IT・IT製品TOP > エンドポイントセキュリティ > その他エンドポイントセキュリティ関連 > その他エンドポイントセキュリティ関連のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ