インターネットの利用が広まる一方で、国、企業、個人の情報と情報を扱うコンピュータが、悪意ある人からの脅威にさらされている。JAGATでもtechセミナー「Web運用ポリシー」で,侵入検知システム(IDS:Intrution Detection System)でアメリカ,日本でトップシェアを占めるインターネットセキュリティシステムズがセキュリティポリシーについて解説をする。
経済産業省経済産業局情報処理振興事業協会(以下,IPA)は,沖縄から北海道まで全国11ヵ所で,エンドユーザと管理者の2つのコースを設けた「情報セキュリティセミナー」を開催した。2001年10月24日に東京会場であるヤマハホールで開催された管理者コースはほぼ満席となり,企業システム担当者の危機感の高さがうかがえた。エンドユーザコースは,コンピュータウイルスや不正アクセスなど基本的なセキュリティ対策について解説が行われた。管理者コースは,システム管理者を対象にコンピュータウイルスと不正アクセスの被害状況をはじめ,それらに対する対策管理,セキュリティマネジメントについての解説が行われた。
最初にIPA理事小野雅敏氏が「情報セキュリティの意義」をテーマに講演した。組織として対策を怠ると,被害にあった際にはビジネスにまで支障をきたすと指摘した上で,何から情報を守るのかというリスク分析を行い,対策を考えて全社に徹底することの重要性を強調した。
ウイルス被害の現状と対策
IPAセキュリティセンターセキュリティ対策業務グループ対策情報発信チームチームリーダー小門寿明氏からは,コンピュータウイルス被害の現状の解説とウイルスの発病シュミレーションのデモが行われた。
IPAでは情報セキュリティ対策に関する情報収集が行われており,毎月2000件を超える被害届が提出されている。自主的な届け出だけでは偏りがでるため,国内5000社に対して毎年2月,過去1年のウイルス被害に関するアンケートも実施している。ウイルス感染の経験(発見も含む)については,1996年は17.9%が経験有りと答えていたが,毎年増え,2000年には約半数が感染ありと答えている。
ウイルス被害には,パソコンが立ち上がらなくなる,パソコンのデータが消えるなどのトラブルが発生する。これだけであれば自社内の問題で済むが,メールで取引先に送りつけてしまったり,製品にウイルスが混入していたら,被害はより深刻になる。対策をしていないと,被害者から加害者になってしまうということを認識しておく必要性がある。
通産省が告示した「コンピュータウイルス対策基準」では,「コンピュータウイルスは,第三者のプログラムやデータベースに対して意図的に何らかの被害を及ぼすように作られたプログラムで,自己伝染機能,潜伏機能,発病機能の内1つ以上を有するもの」とウイルスについて定義している。さらに,狭義のウイルスは3つの機能全てを有するもので,広義のウイルスは意図的に何らかの被害を及ぼすように作られたプログラムを総称していうと定義されている。
ウイルスはWindows/DOSのウイルス,Macintoshのウイルス,汎用期/UNIXのウイルと主に3種類に分類される。現在はWindows/DOSのウイルスが非常に多く,50〜60種類あるといわれている。
具体的なウイルスとして,第1に感染したFDによりパソコン立ち上げ時に感染する「ブートセクタ感染型ウイルス」がある。現在少なくなっているが,机の中で眠っていたFDから感染したとして,毎年数件の届出があるという。代表的なPerterUは,パソコン立ち上げ時にDOS画面上で音楽に関する問題を3問たずねてくる。全部正解すれば無事に立ち上げることができるが,間違えると被害にあう。問題が表示されて回答する前の段階でIPAに問い合わせをして,回答を知ることができたため,被害を免れたというケースもあったという。カジノウイルスは,DOS画面上でスロットマシーンゲームを強制され,マークがあわないと被害にあう。
第2のファイル感染症ウイルスは,exeや.comのファイルを感染対象とする。代表的なYankee_Doodleは感染すると決まった時間にアルプス一万尺の音楽が流れる。
第3のマクロ感染型ウイルスは,MS-WordやMS-Excelなどのファイルを感染対象とする。感染したMS-Wordなどのファイルを開くと,ウイルスに感染する。マクロウイルスの登場により,これまで被害にあっていた分野が,開発や研究部門から一般企業へと被害が拡大するようになった。
第4のトロイの木馬型ウイルスは,プログラムをユーザが実行すると,自身の複製をコピーし,再起動時に実行されるようにレジストリを変更する。メール機能を悪用し,ウイルスを添付したメールを発信する。代表的なものにHappy99や,LOVELETTER,Hybris,最近ではSircamやNimdaなどがある。
Sircamは,感染すると,Outlookに登録されたアドレス全てに感染ファイルを添付したメールを送信する。Windowsのマイドキュメントフォルダにある文書にウイルスをつけて送るので,情報漏洩の危険性を持つ。NimdaはIISとIEの脆弱性を悪用したウイルスで,Webサーバ,クライアント両方を対象にする。ホームページを見たり,メール本文を見るだけで感染する。
被害件数は,1996年にマクロウイルスが登場し,1997年にマクロウイルスの届け出件数が755件から2391件に急増した。1999年にはメール機能を悪用するHappy99のようなウイルスが出現し,パソコン初心者ユーザの急増により,被害届は3645件になる。2000年から2001年にかけて,さらにメールを悪用したウイルスが急増しており,2001年の届け出は16354件となっている。
ウイルスの対策には感染防止対策と復旧対策の2種類があるが,被害にあわないように感染防止対策をメインに考えることが必要だと小門氏は強調した。第1の手順として,ワクチンソフトの導入が必須である。サーバ,クライアント,モバイルなどの共有パソコン全てにワクチンソフトをインストールする。2000年のアンケート調査では,55.4%の企業が9割以上のPCにワクチンソフトを導入している一方で13%の企業は全く未導入だという。しかし,ワクチンソフトを導入していても,アップデータの管理が整っていると答えている企業は46%であった。ワクチンソフトは導入しても頻繁にアップデートしないと,その効果は期待できない。システムを管理する担当者は,更新案内の自動通知やスケジューラによる定義ファイルの自動更新をするような環境を整える検討も必要である。
第2の対策はサーバやクライアントなどのセキュリティホールは必ず埋めるということである。定期的にベンダーサイトをチェックして,脆弱性発見ツールなどを活用する。
第3の対策は,イントラネットの場合にサーバマシンへの書きこみ権限の制限などの管理を徹底する。安易な共有を禁止しておかないと,容易に全社員へウイルスが蔓延することになる。
復旧対策は,第1に自社内でウイルス対策窓口を設置し,ウイルス対策関連情報を集めて復旧手順を事前に策定しておく。特に被害にあったときには,ネットワークを停止するなどして一斉に漏れがないように復旧作業を行う。
IPAでは,修復が終了したら,最終確認も兼ねてIPAへ届け出ることを呼びかけている。
社内のウイルスに関する教育や啓発については,ユーザに対するウイルス対策方法の周知徹底が必要である。一番セキュリティの弱いところが,その会社のセキュリティレベルであると判断されてしまう。特に役員などの経営者レベルは注意が必要で,派遣社員やアルバイト,出張中の社員のパソコンにも目を配らないといけない。
不正アクセスの現状
IPAセキュリティセンターセキュリティ対策業務グループ情報収集分析チーム研究員中村滋氏は不正アクセスの現状と対策について解説をした。
不正アクセスは,一般的な概念としてシステムを利用する者がその者に与えられた権限によって許された行為以外の行為をネットワークを解して意図的に行うことである。情報セキュリティ分野では,このような情報セキュリティリスクが発現した事象をインシデントと呼ぶ。
JPCERT/CCでもIPAでもこの不正アクセスに関する報告は急増している。特に2001年5月はsadmind,8月にはCodeRedでWebページ改ざんの被害届けが多くなっている。
このような不正アクセスに対して,(1)ファイアウォールによる防御,(2)侵入検知システム(IDS)による監視,(3)サーバの要塞化,(4)通信の暗号化,(5)利用者認証,(6)ログの管理という順番で対策を行っていくことが必要となる。特に,既知の脆弱性に対する不正アクセス対策を実施し,多段階での防御をすることが必要である。また,継続的なシステムの改善によりセキュリティを維持していかなければならない。
インシデントレスポンス
JPCERT/CC広報担当の山賀正人氏は,JPCERT/CCの役割とセキュリティインシデントへの対応について紹介した。
JPCERT/CC(Japan Computer Emergency Response Team Coordination Center)は,エンジニア集団によって1996年に設立された民間の非営利団体である。アメリカにはCSIRTというインシデントに対応する団体があるが,JPCERT/CCはCIERTやIPAなどと協力しながら,独立した組織としてインシデントに関する情報の収集や調査を行っている。分野としては,PCベースのコンピュータウイルスなどはIPAが調査し,サーバに対する不正アクセスなどに対してはJPCERT/CCが調査するという役割分担を行っている。
インシデントが発生した場合,組織は次のような手順で対応していく。第1に対策を行うための準備を行う。セキュリティポリシーや作業マニュアルなどを読んで,手順の確認をする。次に作業記録の作成準備を行い,責任者や担当者へ連絡する。
第2は調査する。事実を確認し,ログファイルやHPのイメージなど後日調査ができるような資料を保存しておく。ネットワーク接続などを停止し,影響範囲を特定する。取引先などに被害を及ぼす可能性があれば,渉外や広報担当者,関連サイトなどへも連絡する。
第3は復旧対策を行う。どのようなセキュリティ上の弱点を使われたのかという要因を特定し,システムの復旧を行う。バックアップメディアから復旧する場合はそのメディア自体が感染している可能性もあるので注意が必要である。なるべくなら,OSを再インストールするほうが安全である。そして,再発防止のためにパッチを適用したり,全ユーザのパスワード変更することが推奨される。
第4は事後処理である。一度被害に会うと,次も狙われる可能性が高いので,監視体制の強化をする。対策を行った作業結果をまとめ,それが適切であったか評価をする。そして,セキュリティポリシーや運用手順などを見直すことが必要である。
JPCERT/CCではホームページで,コンピュータセキュリティインシデントへの対応や,サービス運用妨害攻撃に対する防衛,Webページ改ざんに対する防衛に関する技術メモを掲載している。組織のセキュリティポリシーを策定する際に,これを参考にするとよいだろう。
●IPA/ISEC:
http://www.ipa.go.jp/security/
●JPCERT:
ホームページhttp://www.jpcert.or.jp/
インシデント報告の様式:
http://www.jpcert.or.jp/form/
メーリングリスト:
http://www.jpcert.or.jp/announce.html
●CERT/CC:http://www.cert.org/
●SecurityFocus:
http://www.securityfocus.com/
●SANS Institute:http://www.sans.org/
2001/11/02 00:00:00