過去の教訓は生かせるか--2008年流行の「Downad」が今でも感染する理由

國谷武史 (編集部) 2017年12月15日 06時00分

  • このエントリーをはてなブックマークに追加

 2008年に出現し、世界的に流行したワーム「Downad」(別名:Conficker、Kidoなど)を記憶している人は、どのくらいいるだろうか。この当時、システムやネットワークを管理していた人にとって、Downadワームへの対応は悪夢のような状況だったことだろう。この頃にITセキュリティ分野の取材を担当し始めた記者にとって、すぐに発生したDownadワームの流行は思い出深い出来事だ。

 トレンドマイクロのブログによると、Downadは出現から10年近くが経とうとしている現在も、一定規模の感染が続いている。ピーク時には、世界で900万台近くのコンピュータがDownadに感染したとみられ、同社ユーザーでの検出は2012年の段階で約256万4600件、2013年が約182万4000件、2014年が約28万800件、2015年が約29万8000件と段階的に減少していったが、2016年から2017年9月でみると、毎月約1万5000~2万件超の検出ペースが続いているという。


Downadワームの検出数の推移(トレンドマイクロより)

 Downadの感染が猛威を振るった理由は、当初のネットワーク経由による感染に加え、途中で出現した亜種からUSBメモリなどの外部接続型記録メディアでも感染できるようになった“進化”がある。

 Downadは、Windowsに存在したリモートからのコード実行につながる脆弱性を悪用して、感染を広げる。ネットワーク経由では、脆弱性を抱える別の端末を探して感染に成功すると、そこからさらに感染先を次々に広げていった。USBメモリなどでの感染を可能にした亜種は、感染したコンピュータに接続される外部メディアにファイルを自動実行するための「AUTORUN.INF」を作成する。この外部メディアが別のコンピュータに接続された瞬間にAUTORUN.INFを実行され、コンピュータがDownadに感染してしまう仕組みだった。

 当時Microsoftは、脆弱性を修正するセキュリティ更新プログラム「MS08-067」を緊急にリリースして、ユーザーにすぐ適用するよう求めた。しかし、その猛威からは「MS08-067」をすぐに適用したユーザーが少なかったと考えられている。

 その後Microsoftは、Windowsで外部メディアの自動実行を無効にするツールを配布し、その機能の仕様自体を変更した(初期設定では自動実行をしない)。また、トレンドマイクロなどのウイルス対策ソフトメーカーは、外部メディアのスキャン機能や自動実行を防止する機能を相次いで製品に取り入れた。企業などの環境では、情報漏えい対策と合わせてUSBメモリの使用自体を禁止する措置を講じたところも相次ぎ、現在もUSBメモリの利用に厳しいルールを設けているところは少なくない。

 トレンドマイクロによると、現在のDownadの検出が多い業界は、行政と製造、医療だという。この3つの業界での検出は、2016年の検出数全体の34%、2017年も41%を占めている。国別ではインドや中国、ブラジルなどでの検出が目立つ。

 同社は、検出の多い3つの業界では、Windows XPに代表されるようなレガシーシステムが今も利用され、ネットワークを含むITインフラが古いまま使われ続けていると指摘する。一般的な情報システムの更新サイクルが5年だとすれば、既に多くのシステムはDownadワームのような不正プログラムへの耐性が高められたものに置き換わっていることだろう。同社は、残された古いシステムやネットワークが今後もDownadワームのような脅威の温床になり続けるといい、2017年10月時点でDownadワームが悪用する脆弱性の検出が6万件を超えたと指摘している。

 そして2017年は、「WannaCry」に代表される多数のマルウェアがワーム型の手法で感染を広げるケースが多発した。その多くはDownadワームの時に匹敵する規模の事態には至らなかったものの、これらのマルウェアが悪用する脆弱性は、Microsoftが3月にリリースしたセキュリティ更新プログラム「MS17-010」で修正されており、その対応に遅れた一部の組織では、システムが使用不能になるなどの深刻な被害に見舞われた。

 現在では、セキュリティへの取り組みが企業や組織の評価にもつながってしまうだけに、実際の被害が仮に軽微でも、被害に遭ったというだけで組織に対する信用が失われ、その後の事業に多大な影響が及ぼすケースもある。

 特にランサムウェア機能を有したWannaCryの亜種は、身代金要求メッセージを感染機器の画面に表示し、その様子をメディアがセンセーショナルに取り上げたことで、世界の注目を集める事態に至った。もし、Downadの流行時に取られた作業や対策の教訓が何らかでも現在に生かされていれば、ここまでセンセーショナルに注目される状況にならなかったのでは、とも思えてしまう。

 Downadの大流行から10年近くを経て、2017年は再びワーム型で感染するマルウェアが脅威の1つとして台頭した。しかしその脅威がもたらす影響の内容や結果といったものは、Downadの流行当時と比べて大きく変化した。セキュリティが強化された新しいシステムへの移行などで、ひと昔のような事態には至らずとも、脆弱性対応の遅れなど被害につながりかねない対策の不備という課題は依然として残されている。

 セキュリティの脅威は常に変化し、セキュリティ対策の手法や体制も常に変化へ対応していくことが求められる。そこでは新しい対策機能や手法が注目される傾向にあるが、それらを効果的に用いるには、やはりノウハウや経験が欠かせないだろう。その意味で2018年は、過去の脅威や被害から学んだ対応のノウハウや知見、経験則を組織のセキュリティ対策に生かし続けていけるようにすることが求められるかもしれない。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連ホワイトペーパー

連載

CIO
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
「企業セキュリティの歩き方」
「サイバーセキュリティ未来考」
「ネットワークセキュリティの要諦」
「セキュリティの論点」
スペシャル
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
AWS Summit
PTC LiveWorx
より賢く活用するためのOSS最新動向
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
米株式動向
日本株展望
企業決算