一昨日の各ネット・BBS等の話題や、昨20日朝刊で既にご存知の方も多いだろうが、新ウィルスW32.Nimdaが猛烈な勢いで繁殖中だ。
このウィルスの怖いところは、Webブラウザとして利用者の非常に多いInternet Explorer 5.01、5.01 SP1、5.5及び5.5 SP1で感染したサーバーのWebサイトを閲覧しただけで感染するところ。
脆弱性を利用したE-mail感染だけでなく、IISの既知の脆弱性やCode Red IIで作られたバックドアを利用したり、ファイル共有で感染したり、というのがマイクロソフト社の説明だが、今ひとつピンとこない人もおいでだろう。
要は「サーバーなんぞ置いてないし、アンチウィルスソフトも入ってるから大丈夫」と思っていたユーザーでも、感染したWebサイトを上のブラウザで閲覧したら感染してしまう、ということだ。
このウィルス、実は、NYのテロから一週間目に、それまで恐ろしい勢いで広まっていたCodeRedワームの勢力をとって代わるかのごとく、トラフィック上を駆け巡って、インターネットに接続されている接続あらゆるサーバーにアタックを繰り返していて、この様を見ると、どうもサイバーテロ的陰謀を推測しざるをえない。
「考えすぎじゃない」「テロじゃなくて、ネットスケープオタクの仕業かも」「単にマイクロソフトが嫌いな奴の仕業さ」と、まさかそんなというご意見もおありだろう。
私も、そんなふうに楽天的に思いたい。
だが、CodeRedが仕掛けたバックドアからアタックできるとあっては、わざとじゃなきゃ、どうしてこうなるの、というほどに、サーバーに残されたログに見られるタイミングと頻度からして、あまりにも都合よくできすぎている。
思い起こせば三年前。NT4が出たての頃、これはサーバーとしてセキュリティレベルを上げてくるだろうから、なんて一瞬思って付き合ったが、すぐにワークステーションにしかならんと思い直し、サーバー用はUNIX系と決めてこの方、コトがおこるごとに「だからNTはサーバーにはダメなんよ」と言ってきたのだが、そこはそれ、大会社が大規模広告を繰り返し、世界中の信頼できる大企業がゾクゾク採用とあっては、これで行こう、と思われるのも無理からぬ。
技術者不足が平行していたから、Winならインターフェースが似通っていて何とか素人でも勉強すれば…ということもあって、またたく間にWinNTサーバーがこの世に広まった。サイバースペース識者の中には「Winをインターネットサーバーとして勧めるのはネット犯罪の幇助行為に等しい」とまで言うお方もあったのに、だ。
無論、背景には普及しているマイクロソフト製品だからウィルスを作りやすい、蔓延させやすい、騒ぎが大きくなる、といった、クラッカーにとってターゲットの条件として十分な要素が揃っていたということもあるだろう。
これが、ネットスケープやMacをターゲットにしても、騒ぎは小さくてちっとも面白くない…というのが犯罪者心理だろう。
だが、それにしても今回のCodeRedからNimdaにつながる流れはできすぎている。
テロリストにとって、NYの貿易センタービルがターゲットとしてのシンボル的要素を満たしていたのなら、サイバースペースでその要素を満たすのは何か?
言うまでもなくマイクロソフトであり、その製品だろう。計画的に、CodeRedにバックドアを作らせ、次に、そのバックドアからせっせと攻め込む奴を流す。
インターネットに接続されたWindowsNTサーバーがあっさり、コロコロと感染してゆく。専門知識をもった専業の管理者を雇う費用を出し惜しんで、自分たちでやれるだろうとタカをくくってNTサーバーを導入したツケは、あまりに大きい。
そもそも、サーバーの管理者が安定動作のために払っているたゆまぬ、目に見えぬ努力を知れば、ちょっとやそっとの根性ではとうていできない、ということくらい、良く分かる筈だ。管理者、つまりAdminstratorは、サイバー空間の騎士たちなのだ。
その騎士に面とむかって対決を挑んできたのが、今回のNimda。逆読みしてみれば、Admin 2 3W (Admin to 3rd Warつまり第三次世界大戦へ向かう政府と訳すこともできるし、管理者にとっての第三次世界大戦とも読める。20日の日経朝刊記事は前者だ。
CodeRedで騒ぎになったシステムの中には、外からではなく、中からやられたケースもあったようだ。インターネットにLAN接続しているのではなく、持ち帰るなどした際にダイアルアップなどでインターネット接続して感染したノートパソコンが社内ネットに接続され、内側からサーバーを侵した、というケースで、もし「うちは大丈夫だから」と見過ごせば、今回のNimdaは致命傷となる。
騒ぎが一晩で大きくなった背景には、プリインストールのIEでデフォルトのホームページに設定されているMSNが感染していたこともある。
だが、新聞が報道するのはIPAに報告があったケースばかりで、報告を出すのはごく一部に過ぎない。
実際には相当数が感染しているはずだから、ウィルス防御策、つまり“添付ファイルを(例え知り合いからでも、安全が確認できない限り)開かない”“ウィルス検出ソフトのデーターをこまめに更新する”といった常識的対策は連日、コトここに到っては習慣として行う必要があるだろう。
さらに、この手のウィルスについて、感染しなければ問題がないのだろうと思う方もおありかも知れないが、さにあらず。トラフィック、つまりインターネットの回線上でウィルスのアタックが頻繁に行われるので、サーバーは多忙状態になり、トラフィックも増大する。だから、電話で言う輻輳の状態が発生するのに似て、アクセスレスポンスが悪化するなどの問題も同時に発生しているのだ。
これは、わかり易く言うなら、快適に走れるはずの道路に暴走族が多量に走り回るようになって、本来の道路としての役を果たせなくなるようなものだ。
また、ウィルスには亜種が発生するので、例えば、IEをアップデートしたから大丈夫とか、ネットスケープだから安心だとか、マックだから問題ないだろうなどと、タカをくくるのもよろしくない。常に、明日は我が身と心してかかるしかないのだ。
サイバーの意味は仮想であり、この仮想は日本語では現実にはないものだが、英語の解釈ではサイバーもまた現実。つまり、これは現実の、管理者とサイバーテロリストの戦争なのである。
管理者があなたの使うシステムを守る戦士として戦場にいるからには、それを味方の貴方が背後から刺すようなこと(LANの内側から感染させる)だけは、何がなんでも避けたいものだ。
最後に、詳細情報源と、現在公表されている対策を書いておこう。
○受信メール内の不明な添付ファイル (Readme.exe 等) は決して実行しない
○Internet ExploreにService Pack 2 のインストールを行う、またはInternet Explorer 6をインストールする
Internet Explorer 5.01 SP2 のダウンロード
http://www.microsoft.com/downloads/release.asp?ReleaseID=28910
Internet Explorer 5.5 SP2 のダウンロード
http://www.microsoft.com/downloads/release.asp?ReleaseID=32082
Internet Explorer 6 のダウンロード
http://www.microsoft.com/downloads/release.asp?ReleaseID=32351
◇Internet Information Server 4.0 / Services 5.0には修正プログラムを適用する http://microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS01-044
Nimda ワームに関する情報 Microsoft社
http://www.microsoft.com/japan/technet/security/nimdaalrt.asp
シマンテック社 http://www.symantec.co.jp/
トレンドマイクロ社 http://www.trendmicro.co.jp/
IPA
この記事はわたしがみたなかでは一番よく書けていたのでこの際、収録しておきましょう。
★もっと簡単な対策
やっぱりMacだ! Netscape だ!
なお当zorro-me.comのサーバーはマイクロソフト系ではありませんので「見たからばい菌がうつる」ことはありませんそうです(^^;)
(アメリカ同時多発テロ犯人よりこのウイルス作者を先に抹殺したいと願うおつかい係)
 |
 |
 |