−CodeRed の教訓−2001年7月16日に発見された史上最悪のワームCodeRed。感染サーバがホワイトハウスに総攻撃をかけるなど、全世界に尋常ではない被害が広がりました。アジアで誕生して、わずか数時間で世界中のほとんどのWebサーバが感染してしまいました。IT社会が経験したこのサイバーパニックで我々は、何を失い、何を得、何を学んだのでしょうか。
ここではCodeRedの落とした影と現実をお伝えして、みなさんに何らかの教訓を得ていただきたく思います。
------------------------------------------------------------------
■CodeRedのしくみ
CodeRedには以下の特徴があります。
・自己増殖
→ワームがサーバに攻撃をしかける
→セキュリティホールがあると被害に遭う
→被害者が他のサーバに攻撃を始める
→ワームが増殖していく
・無差別に攻撃を行う
→IPアドレスを勝手に選んで攻撃
→高速で攻撃するIPアドレスを変更
→自動的にどんどん攻撃を繰り返す
・亜種も登場
→CodeRedは近傍のIPアドレスを攻撃
→社内LANにとっては致命的
■セキュリティ速報に誤り
・「クライアントには感染しません」
→一部のセキュリティ管理組織がアナウンス
→「CodeRedは、PCウイルスではありません。IISサーバ(パーソナルウェブ)をご使用でないユーザの方には重大な危険はありません」(実はこれは大きな間違え!)
・実際は...
→クライアントであるハズのPCにも感染
→多くのWindows2000ProでIISが動いていた
→しかも利用者が知らないうちに
→当然、誰もがセキュリティパッチを当てていない
→そして個人のPCが被害に遭う
→ダイヤルアップ接続でも被害に遭う
■被害は企業内に広がった
多くの企業のネットワークはファイアウォールで守られていました。当然、攻撃を受けるハズがなく、管理者たちはそう信じていました。もちろんセキュリティパッチは当てていなく、しかもインターネット接続が不可能な社内LANでも被害が広がりました。
実は被害は「裏口」から広がっていて、例えば社員が出張先から持ち込んだPCが犯人であったりしたのです。そんなPCが社内LANにつながれた瞬間に周辺のPCに攻撃を開始したのです。
ただし、不幸中の幸いでした。CodeRedは破壊行為(行動)を起こさないワームだったのです。
■管理者たちの反省
間違った情報が飛び交い、「魔女狩り」的にMicrosoft IISが蔑視されました。しかし実際は上記のように、管理者たちのセキュリティパッチ当てを怠っていたことが感染の原因だったのです。彼らはここで学習(反省)し、またMicrosoftもセキュリティ組織を形成してセキュリティホールへの対策を真剣に考えるようになったのです。
が、数ヵ月後に登場するNimdaの被害はCodeRed以上のものとなってしまいました。毎日のように発見されるホールとパッチに多くの管理者はついていけなかったからです。
ここで多くの常識が誕生しました。是非身に付けておいていただきたいIT常識です。
・ファイアウォールでは万全なウイルス対策は不可能
・社外に持ち出したPCのネットワーク接続は危険と思え
・最新のセキュリティパッチを当てる
・ネットワーク上の全てのマシンにウイルス対策ソフトを入れる
これだから管理者は眠れないのでしょう。