BACK
TOP
佐々木俊尚 Toshinao Sasaki
ウイルスへの認識を一変させたBlaster騒動
■MSブラストをめぐる経緯
2002年7月 SQLスラマーの脆弱性発見。
2003年1月 SQL Slammerが猛威を振るい、韓国全土のネットが麻痺して「インターネット大乱」に。
2003年7月17日 「RPCインターフェイスのバッファオーバーランによりコードが実行させる」(MS03-026)という脆弱性がポーランドの研究者(?)グループによって発見され、マイクロソフトが公表。修正パッチをリリースする。
2003年7月25日 MS03-026を使ったエクスプロイトコードを中国人ハッカーグループが完成させる。
2003年8月4日 セキュリティ企業ラックのオペレーションセンターであるJSOCがMS03-026を悪用したポート135経由の攻撃を検知。
2003年8月12日 MSBlastが出現。
2003年8月16日 MSBlastがマイクロソフトのWindowsupdate.comへのDDoS攻撃を宣言した日。しかし実際には大規模な被害は生じなかった。
2003年8月18日 Ping(ICPM ECHO)のトラフィックが急激に増加。Nachiが出現する。
2003年8月29日 亜種のMSBlast.Bを作成した容疑で、米ミネアポリスに住む18歳の少年が米連邦捜査局(FBI)に逮捕される。
2003年9月3日 亜種のMSBlast.Fの作成容疑でルーマニアの大学院生(24歳)が捜査当局に摘発される。
2004年 システム日付が2004年を迎えると、Nachiは自分自身のサービス登録を削除する。
■局面1
ゼロデーの出現の予兆――脆弱性発見からわずか1カ月でウイルスが登場
MS03-026――つまり2003年に入って26番目となるWindowsの脆弱性がマイクロソフトから報告されたのは、7月16日だった。そして1週間後の7月25日には、中国のハッカーグループがこの脆弱性を利用したエクスプロイトコードをネット上で公表してしまう。驚くべき早さだった。
エクスプロイト(攻略)コードというのは、脆弱性を利用して攻撃するための具体的な手順のことだ。このコードが公にされれば、ウイルスの出現まで後は時間の問題となる。そして人々の恐れた通り、それからわずか2週間あまり後の8月12日にはMSBlastという強力なワームの出現を迎えるのだ。
トレンドマイクロの岡本勝之氏は「脆弱性が発見されてから、ウイルスが出現するまでには半年ぐらいのタイムラグがあるというのがこれまでの常識だった。今回はきわめて短期間のうちにウイルスが出現してしまった」と驚きを隠さない。実際、今年1月に出現したSQL Slammerの脆弱性が発見されたのは、昨年7月。半年以上の時間が流れている。
セキュリティ業界では「MS03-026を発見したポーランドの研究者グループと中国人ハッカーの間に、何らかの接点があったのでは」という推測も流れているが、本当の理由は明らかになっていない。セキュリティ業界関係者のひとりは「ウイルス作成者の功名心競争が、こうした結果を生み出しているのではないか」とも推測する。
そしてこの「脆弱性発見―ウイルス出現」というタイムスパンが縮まっていくと――。最終的には、恐怖のゼロデーを迎える日がやってくるかもしれない。ゼロデーという言葉をご存じだろうか。それは悪意のあるハッカーが未知の脆弱性情報を入手し、マイクロソフトがその修正パッチをリリースするよりも前に、その脆弱性を使ったウイルスをインターネットに放ってしまうことだ。
それは悪夢のような光景に違いない。インターネットは完全に麻痺し、ネットワークケーブルをルータから物理的に切断するしか手だてはなくなるだろう。
■局面2
消滅しないワームという新たな脅威――Nachiの恐るべき新手法
MSBlastの本当の恐怖は、その亜種であるNachiが出現した時に始まった。
MSBlast.DやW32/Welchi,Welchia,Nachiなどさまざまな名前で呼ばれているこのウイルスは亜種とはいえ、その挙動は原種のMSBlastとはまったく異なる。
@感染先を探すため、Pingリクエスト(ICPM ECHO)を大量に送信。
A攻撃対象を決定し、MS03-026を突いて侵入。
B原種のMSBlastを発見し、強制終了。
Cdownload.microsoft.comからMS03-026の修正パッチを入手し、実行。
やっていることはこれだけだ。当初、MSBlastを終了させて修正パッチを当ててくれることから、「善玉のウイルスなのではないか」と考える人もいたほどだ。実際、Nachiに感染したため、それまで再起動を繰り返して使えなくなっていたMSBlast感染パソコンが蘇り、再び使えるようになったというケースは少なくなかった。
しかし実は、これこそがNachiの思うツボなのだ。
Nachiはパソコンの動作こそ安定させるものの、感染すると外に向かって大量のPingを打ち続ける。しかし個人ユーザーの多くは、自分のパソコンが落ち着いたことに安心し、インターネットへの負荷を高めていることには気づかない。
そして出現から1カ月近くが経った9月中旬現在でも、NachiによるICPMのトラフィック増はまったく衰えを見せていない。ラック取締役本部長の西本逸郎氏は「出現当初にトラフィックが急増し、その後対応が行われて急激に衰えるというのがこれまでのウイルスだった。1カ月以上もネットに負荷をかけ続ける今回のようなケースは初めてだ」と話す。
もしNachiと同じような手法を取り、そしてPing攻撃だけではなく、パスワードクラックなどのもっと高度な外部攻撃を行うワームが出現したら……。考えたくもない想像ではないだろうか。
■局面3
サイバーテロか、それとも愉快犯か――「中国発」も噂されるナチウイルス
Nachiは特に日本での影響が大きかった。不思議なことにNachiは感染する際に攻撃対象のOSの言語の判定を行っており、英語と簡体字中国語、繁体字中国語、韓国語の場合はMS03-026の各言語用修正パッチをあてる。しかし日本語の場合は、コード内に判定のルーチンがあるのにも関わらず、パッチを当てないで処理を終えてしまうのだ。
セキュリティ業界関係者のひとりは「パッチを当てないという意味では、コード内に判定ルーチンがまったく存在しないフランス語やスペイン語など他の言語と変わらない。だが日本語の判定ルーチンを作っておきながらパッチを当てないという点に、日本語に対する何らかの意図を感じざるをえない」と話す。
日本に対する攻撃なのだろうか?
ラックの西本氏は「Nachiの出現の様子を見ると、明らかに中国が最初に立ち上がっている。最初に出現したのは中国国内の可能性が高い」と話す。またコード内に日本への攻撃を示唆するような文字が残っていたともされているが、「作成者が書いたものなのか、あるいは流布しているうちに書き込まれたのかははっきりしない」という。
2000年初頭には、南京大虐殺問題への対応に講義した中国人グループが日本の中央省庁を攻撃し、多数のウェブサイトを改ざんした事件も起きている。今回も、中国人グループがが何らかの意図を持ってウイルスを放った可能性は否定できないだろう。
■局面4
ウイルスには強くなかった日本
「インターネット大乱」。今年1月のSQL Slammer騒動を、韓国国民が名づけた言葉だ。このあまりにも大仰に見える言葉からは、彼の国の人々が被った心理的な衝撃の大きさが伝わってくる。ほぼ半日にわたってインターネットが完全に麻痺し、社会に大きな影響を与えた。米国でも同様。韓国ほどではなかったものの、航空会社の発券システムがストップするなど被害は小さくなかった。
翻って日本。なぜか被害はほとんど生ぜず、情報処理振興事業協会(IPA)に報告された感染件数はわずか1件だった。
この差をとらえ、中央省庁を中心に「韓国はブロードバンドが急激に発達してセキュリティ意識が追いついていないが、日本企業のセキュリティ意識は高かった」などという自画自賛の大合唱が起きた。攻撃対象となったSQL Serverの発売元であるマイクロソフトの阿多親市社長(当時)も、記者発表の席上、「弊社が企業向けに提供しているセキュリティ対策プログラムが有効に作用し、国内では大きな問題にならなかった」とコメントしていたほどだ。
だがこの見方はあまりにも我田引水――百歩譲っても、かなり偏ったといえる見方だったことが、今回のMSBlast事件で浮き彫りになった。
SQL Slammerが感染するのは、SQL Serverが稼働するサーバマシン。日本では確かにこうしたマシンを使っているのは企業が大半で、防御態勢が整っているところが多かった。だがSQL Slammerは、Microsoft SQL Server 2000 Desktop Engine(MSDE 2000)というデータベースエンジンをインストールしてあるパソコンにも感染する。MSDE 2000はさまざまなアプリケーションに組み込まれている。日本ではMSDE 2000が個人のパソコンに導入してあるケースが少なく、韓国では偶然多かった……そのあたりが、結果的に彼我の被害の差となった可能性は大きい。
今回のMSBlastではファイアーウォールを突破して感染した例は、実は少ない。ほとんどが内部からの感染、つまり家庭などで感染したノートPCを企業内LANに接続してしまったことによるものだった。多くの企業ではファイアーウォールは設定していたが、こうした人的被害への対応はきちんと行われているケースは少ない。日本のセキュリティは、諸外国に比べても決して高くはないのだ。
■ラック取締役本部長、西本逸郎氏
7月17日にMS03-026の脆弱性が発見され、そして同月25日にはエクスプロイトコードが作られた。われわれはネットで流れる情報をずっと監視していて、エクスプロイトコードがどんどん進化し、さまざまなOSのバージョンや言語に対応していく様子が観測できた。8月5日にはMS03-026を悪用したポート135経由の攻撃を初めて観測し、この段階で新たなウイルスの出現は秒読み段階に入っていた。
その意味で、今回のMS Blastは事前にある程度は予測できていたといえる。だが結果的にはその想像を超えて、大きな影響をインターネットに与えることになった。
感染してしまった企業は、こうした大規模なウイルス事故に対してどう対処すればいいのだろうか。ウイルスのために業務がストップしてしまった場合、社員への連絡はどうするのか。ネットワークは使えないから、館内放送を使うのか、それとも別の方法がいいのか。あるいは被害がどのぐらい拡大していて、それに対する対応は小手先の対策で足りるのか、それとも抜本的な対策が必要なのか。
さまざまな意味で、今回のウイルスは企業の対応が問われる事態になった。インパクトはきわめて大きかったといえる。
今年1〜3月期のわが社の統計によると、セキュリティインシデントの原因として外部からの攻撃は47%しかない。しかもそうした攻撃を受けているのは大半が研究所や学術機関だ。残りの53%は内部からのウイルス感染などで、企業における事故の大半がこうしたケースだと見られている。つまり、ノートパソコンなどの持ち込みによってウイルスに感染してしまうということだ。
今回のMSBlastは、はからずもその実態を浮き彫りにしてしまったといえる。MSBlastはファイアーウォールを設定してポート135を塞いであれば、侵入されるはずはなかった。だがこれほどまでに多くの企業が被害にあったのは、ポート135経由ではなく、自宅や外出先から持ち込んで企業内LANに接続したノートパソコンが最大の原因になっていたのだ。
日本企業はどこもまじめにセキュリティ対策に取り組んでいるから、米国の企業などと比べても高いセキュリティ水準を誇っている。DMZ(非武装地帯)の設定などを見ればわかる。だがそれはあくまで外部からの攻撃への対処であって、内部からの感染に関しては非常に弱かった。天から降ってきたのではなく、中から湧きだしたMSBlastにやられてしまった。これは盲点だったかもしれない。セキュリティベンダーも以前から指摘はしていたが、われわれの告知の努力も足らなかったのかもしれない。非常に残念な結果となった。
MSBlastでもうひとつ注目すべきなのは、クライアントへのリモート攻撃を仕掛ける最初の大規模なワームだったという点だ。一昨年、世界中で猛威を振るったNimdaやCodeRedの攻撃対象はサーバ。一方、クライアントに攻撃を行うワームとしてはKlezや、古くはILoveYouなど昔からのウイルスがある。だがこれらはあくまでローカル攻撃で、クライアントOSの脆弱性を突いたリモート攻撃を大規模に展開したのは、今回のMSBlastが初めてだったといえる。
これはきわめて重要な問題をはらんでいる。ブロードバンド時代に入って、個人ユーザーが本格的に狙われる時代になってきたということだ。新しい世界がやってきたのだ。これに対処するには、新しい秩序が必要になってくる。インターネットに対する考え方自体を、これからは考えていかなければならない。
最も影響が大きいのは、ISPだろう。会員の間に感染者が増えていき、そしてNachiのようにトラフィックが消滅しないでネットに負荷をかけ続けるワームが蔓延するとどうなるだろうか。ISP外部からの感染を防ぐだけでなく、内部から生じるトラフィックにもISPは対処しなければならなくなってくる。こうした状態が続けば、ISPの基幹ネットワークには与える影響は無視できなくなってくる。ISPがインフラとして、ウイルス対策に本腰を入れて取り組まなければならない時代になってきたといえるだろう。
■トレンドマイクロ・ウイルスエキスパート、岡本勝之氏
MSBlastを契機に、脆弱性を突いて侵入するというハッカー的手法のウイルスが今後は主流を占めていくようになる可能性は高いだろう。侵入の過程でバックドアを作り、そこから入りこんでいくというタイプは今回が初めてだ。
こうした侵入方法がこれまで一般的でなかったのは、コンピュータ内部に入り込むまでの手順が多く、感染に時間がかかったからだ。たとえばメールに添付するタイプのウイルスは、メールを送信するだけなので手順としては非常に少ない。だがMS03-026の脆弱性を突いた今回のMSBlastの場合、手順はかなり複雑だ。
@ネットワーク接続を検出する。
Aポート69を使い、TFTPサーバを起動。
BランダムなIPアドレスのポート135を攻撃。
C感染先のコンピュータのポート4444を使ったリモートシェルを起動。
D感染先のコンピュータをリモートシェルで操作し、感染元コンピュータからウイルス本体をダウンロード。
Eウイルスファイルの msblast.exe を起動。
これだけのことをやっている。コネクションの手数も多いから、通常の方法では感染に時間がかかりすぎるのだ。
その問題を回避するため、MSBlastはFTPよりもコネクションの回数が少なくてすむTFTPプロトコルを利用し、TCPを省いてUDPだけで送り込むなどの工夫をしている。また通常のウイルスがネット経由で感染先を探す際、ランダムなIPアドレスに対してパケットを送り続けるのに対し、MSBlastは自分の所属するサブネットの周囲を中心に探すといったアルゴリズムも同時に持っている。これによって遠くのコンピュータにも近くのコンピュータにも、同時に感染する能力を持つに至っているのだ。
こうした高度な侵入能力を持つワームが流行してくると、セキュリティ対策自体を抜本的に見直さなくてはならなくなる。特にセキュリティポリシーを持っていない家庭ユーザーにとっては深刻な問題だ。パーソナルファイアーウォールは口上出荷時の状態で不要なポートは閉じてあり、こうした感染への防御はできるようになっているが、たとえば特定のメッセージングソフトなどを使う際に、不用意にポートを空けてしまう可能性がある。そこから感染が広まってしまう可能性はあるだろう。しかし結局は個人のパソコンの使い方に帰結する問題になるので、強制的に対応を迫ることは難しい。ワクチンベンダーや公的機関などが情報を流し、対応策を普及していくしかないだろう。
■情報処理振興事業協会(IPA)セキュリティセンター ウイルス・不正アクセス対策グループ グループリーダー/主任研究員、小門寿明氏
今回はMS03-026の脆弱性が発見されてからエクスプロイトコードが登場するまでの期間がわずか1週間と短期間で、修正プログラムを適用しなければならない時間が非常に短かった。
そして修正プログラム自体にも課題はある。特定の脆弱性を塞ぐことはできるけれども、他に影響が出てくる可能性があったり、あるいは動かしているアプリケーションへの影響を考慮しなければならなかったり……といった問題があり、企業側はベンダーがリリースしたからといって、すぐに修正プログラムを適用できるわけではない。今回のように修正プログラムのリリースからウイルスの出現までわずか1カ月となると、このジレンマをどう回避するかは非常に頭の痛い問題だ。結局は、OSベンダーにきちんと対応してもらわないとどうにもならない。
もうひとつの問題は、今回のMSBlastは個人ユーザーが大規模に巻き込まれたことだ。個人が使うクライアントPCをリモートで攻撃し、目に見えてわかる被害が大規模に発生した。IPAの窓口にも個人ユーザーからの相談は非常に多く、特にブロードバンドによって初めてインターネットに接続したばかりといった初心者ユーザーなどからの相談が少なくなかった。テレビや新聞で大々的に報道されたのも要因のひとつになっていたと思う。Windows Updateの方法を聞いてきた人もいるほどだ。中には「二次感染を防止するため、ネットワークケーブルをパソコンから抜いてしまってください」と電話で担当者が説明したら、誤って電話線を抜いてしまい、相談の電話が切れてしまったという笑い話もあったほど。
今回の事態をきっかけに、ウイルスに対する個人ユーザーの意識が高まってくる可能性は高いと思う。災い転じて……というわけではないが、修正パッチをきちんと当てるといった対策がこれからきちんと行われるようになることを期待している。
とはいえ、パソコンがコモディティ(日用品)化していく中で、どうセキュリティ意識を普及啓発していくのかという課題は大きい。
個人ユーザーにも、企業に準じた対策をとっていってもらうしか方法はないだろう。個人ユーザーは自分が利用者でもあり、そしてネットワーク管理者でもあるということになる。個人ユーザー向けに新しいウイルス対策を考えていくのではなく、企業の管理者に適用してもらっている対策を、個人ユーザーにもとってもらっていくことになると思う。