社内LANでのウイルス蔓延を食い止めよ!

この記事をtweetする このエントリーをはてなブックマークに追加

また失敗したの?と言われる前に セキュリティ登龍門50

社内LANでのウイルス蔓延を食い止めよ!

2009/04/07


 インターネットに接続しない社内ネットワークでも、ウイルス対策やセキュリティパッチ適用をおろそかにした運用では、大きなリスクとなる。これまでは安全と考えられてきた、閉じた社内ネットワーク内でのウイルス感染例が最近増えている。ネットワーク型ウイルスがその感染能力を高め、巧みに社内ネットワークに侵入、社内のPCのみならずファイルサーバなどにまで感染を広げ、さらにインターネットへの窓口も開けて不正プログラムの呼び込みもできるようになってきたからだ。今回は、インターネット接続の有無に関わらず感染を広げる新しいタイプのウイルスについて、そのふるまいと対策を紹介していこう。

ウイルス

#003

市役所のシステムでトラブル発生。完全復旧に2週間!

 今年3月2日夜、大阪府H市の市庁舎内のシステムにトラブルが発生。PCの動作が重くなるなどの症状について原因を調べたところ、新種のネットワーク型ウイルスが複数のPCに感染していることがわかった。感染していたのは「ダウンアド」と呼ばれるウイルスだった。
 同市では、翌3日朝から出先機関を含め約1400台のPCの大半を使用制限し、復旧活動にあたった。最大で1100台に感染の可能性があるとみてウイルス駆除を始めたが、このウイルスはウイルス本体の駆除だけでは済まず、いったん駆除が成功したと思っても、新たな感染が他方で始まるというやっかいな代物だった。約2週間にわたり対策・復旧作業に追われた末に、3月17日にやっと全面復旧した。
 幸いなことに、このウイルスには情報流出やシステム破壊などの機能はなく、ひたすら自己複製や新規感染を続けることだけを目的としているタイプだったため、ネットワーク帯域が圧迫されて業務が遅滞したこと以外には深刻な直接的被害はなかった。とはいえ、駆除・復旧作業中には市庁舎の住民サービスや事務作業などに大きな支障が生じ、市と住民には多大な迷惑と損害が生じることになった。
 対策のためにPCに導入したウイルス対策ソフトのコストは推定で500万円を超えるとみられるが、原因究明と復旧対策に費やした人件費コストや業務の停滞による被害額を積み上げると、さらに巨額の損失となることは間違いない。




1

ネットワーク型ウイルスの脅威

1-1

ネットワーク型ウイルスの歴史

 ネットワーク型ウイルスの脅威が一般に知られるようになったのは、2003年頃にMS-Blasterが発生・蔓延して以降のこと。それまではメールに添付されたウイルス入りのファイルを実行するなどの、直接的な操作がなければ感染しなかったものが、ネットワークに接続しただけでも感染してしまうことがあり得ることが、MS-Blasterのすさまじい速さのアウトブレイク(感染が広がること)による被害の拡大、およびその報道によって、専門家以外にも広く知れ渡ることになった。
 その後、MS-Blasterの亜種や同様な特徴をもつウイルスが次々に登場してきたが、いずれもアンチウイルスツールとPC運用管理の強化などによって際だった被害は抑え込まれてきた。しかし、今年に入って国内ではネットワーク型ウイルスが深刻な被害をもたらした事件の報道が相次いでいる。
 ケースファイルの事件原因となったウイルス(ワーム)は、Downadup(ウイルス名はセキュリティベンダなどにより違いがある。本稿ではダウンアドと表記)と呼ばれる種類で、最初の発見は2008年11月下旬のこと。これはWindowsのセキュリティホールを突いて組織内に侵入してLAN内への感染を広げるタイプだった。ウイルスが利用したセキュリティホールはMS08-067(Server Service Remote Execution Exploit)と呼ばれるもので、同年10月24日にマイクロソフトから発表されたばかりのものだった。
 実はケースファイルと同様の事件は同年11月から起こり始めており、本年当初から大きな事例がいくつか報道されている。

【類似ケース1:大学病院の場合】

 2月27日には都内の有名大学医学部付属病院で同じウイルスによる感染被害が発生している。ウイルス感染が検知されたのは午前6時ごろで、院内のLANに接続されている1000台以上の診療業務用のPCと4台のサーバの感染が確認されたという。障害は27日午後1時ごろには復旧したが、診療の待ち時間が延びるなどの支障が生じた。

【類似ケース2:警視庁の場合】

 また1月24日には警視庁の内部システムでも同種のウイルスの感染が発見されている。22日の14時ごろにたまたま1台のPCがウイルスに感染していることがわかり、オンラインシステムの一部を緊急停止し、業務用PCを調べたところ、数十台の感染がわかったというものだ。ウイルスによる直接的な被害は生じていないものの、業務停止と復旧のために多大な時間とコストが費やされた。

 これらの事例も、ケースファイルと同様にダウンアドによるものだ。そしてそれ以外にも共通点がある。どのケースも、インターネット接続をしていない、閉じたLAN(イントラネット)を利用していたことだ。また、すべて大量の業務用PCへの感染であり、停止が業務に直接影響したこと、当初はユーザも管理者も感染に気がつかなかったことも共通している。

セキュリティ情報局にご登録頂いた方限定で「社内LANでのウイルス蔓延を食い止めよ!」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


ウイルス/社内LANでのウイルス蔓延を食い止めよ!」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「ウイルス」関連情報をランダムに表示しています。

ウイルス」関連の製品

ディフェンスプラットフォーム(DeP) 【ハミングヘッズ】 CLEARSWIFT SECURE Web Gateway 【日立ソリューションズ】 セキュリティアプライアンス Aterm SA3500G 【NECプラットフォームズ】
アンチウイルス WAF その他ネットワークセキュリティ関連
APIの利用を常時監視してウイルスを検出・隔離する割込み型迎撃方式のウイルス対策ソフト。APIの利用内容でウイルスか否かを識別するため未知のウイルスも捕捉できる。 Webセキュリティに必要なURLフィルタリング、ウイルス対策などの機能をオールインワンで提供。 既存ネットワーク構成を変えずに簡単に導入可能。分かりやすい価格設定で中小規模の法人ユーザ向けに最適なUTM(セキュリティアプライアンス)。

ウイルス」関連の特集


 前回は、企業のセキュリティを強化するうえで必要なPDCAサイクルについて述べた。今回と次回では、昨…



ポストWinny登場!?情報漏洩はどうして起こるのか?企業としてどんな対策を採るべきか?ファイル共有…



情報漏洩の仕方や情報種別、発覚方法などをデータで紹介。また万一情報漏洩してしまった場合の初動対応や情…


ウイルス」関連のセミナー

今求められるサイバー攻撃対策とは:大阪 【主催:日本ユニシス 共催:ユニアデックス】  

開催日 12月12日(月)   開催地 大阪府   参加費 無料

特定の組織や個人を狙った標的型攻撃に加え、金銭等を目的としたばらまき型攻撃(ランサムウェア等)も猛威を振るっております。その手口や手法も高度かつ巧妙になっており…

マルウェア対策アプライアンス FireEye ご紹介セミナー 【日立ソリューションズ】  

開催日 1月11日(水),1月11日(水)   開催地 大阪府   参加費 無料

サイバー攻撃は高度化・巧妙化しており、標的型攻撃で使用されるマルウェアは一般的なウィルス対策ソフトなどでは、感染を防ぐことが難しくなっています。 標的型攻撃から…

LanScope Cat 最新バージョンリリース会 【エムオーテックス/Cylance Japan】  

開催日 1月31日(火)   開催地 東京都   参加費 無料

昨年発生した米連邦政府の人事管理局(OPM)から2150万人もの職員情報が流出した事件について、今年9月に報告書が公開されました。そこには流出を発見できた経緯と…

「エンドポイントセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30003069


IT・IT製品TOP > エンドポイントセキュリティ > その他エンドポイントセキュリティ関連 > その他エンドポイントセキュリティ関連のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ