2008年に出現し、世界的に流行したワーム「Downad」(別名:Conficker、Kidoなど)を記憶している人は、どのくらいいるだろうか。この当時、システムやネットワークを管理していた人にとって、Downadワームへの対応は悪夢のような状況だったことだろう。この頃にITセキュリティ分野の取材を担当し始めた記者にとって、すぐに発生したDownadワームの流行は思い出深い出来事だ。
トレンドマイクロのブログによると、Downadは出現から10年近くが経とうとしている現在も、一定規模の感染が続いている。ピーク時には、世界で900万台近くのコンピュータがDownadに感染したとみられ、同社ユーザーでの検出は2012年の段階で約256万4600件、2013年が約182万4000件、2014年が約28万800件、2015年が約29万8000件と段階的に減少していったが、2016年から2017年9月でみると、毎月約1万5000~2万件超の検出ペースが続いているという。
Downadワームの検出数の推移(トレンドマイクロより)
Downadの感染が猛威を振るった理由は、当初のネットワーク経由による感染に加え、途中で出現した亜種からUSBメモリなどの外部接続型記録メディアでも感染できるようになった“進化”がある。
Downadは、Windowsに存在したリモートからのコード実行につながる脆弱性を悪用して、感染を広げる。ネットワーク経由では、脆弱性を抱える別の端末を探して感染に成功すると、そこからさらに感染先を次々に広げていった。USBメモリなどでの感染を可能にした亜種は、感染したコンピュータに接続される外部メディアにファイルを自動実行するための「AUTORUN.INF」を作成する。この外部メディアが別のコンピュータに接続された瞬間にAUTORUN.INFを実行され、コンピュータがDownadに感染してしまう仕組みだった。
当時Microsoftは、脆弱性を修正するセキュリティ更新プログラム「MS08-067」を緊急にリリースして、ユーザーにすぐ適用するよう求めた。しかし、その猛威からは「MS08-067」をすぐに適用したユーザーが少なかったと考えられている。
その後Microsoftは、Windowsで外部メディアの自動実行を無効にするツールを配布し、その機能の仕様自体を変更した(初期設定では自動実行をしない)。また、トレンドマイクロなどのウイルス対策ソフトメーカーは、外部メディアのスキャン機能や自動実行を防止する機能を相次いで製品に取り入れた。企業などの環境では、情報漏えい対策と合わせてUSBメモリの使用自体を禁止する措置を講じたところも相次ぎ、現在もUSBメモリの利用に厳しいルールを設けているところは少なくない。
トレンドマイクロによると、現在のDownadの検出が多い業界は、行政と製造、医療だという。この3つの業界での検出は、2016年の検出数全体の34%、2017年も41%を占めている。国別ではインドや中国、ブラジルなどでの検出が目立つ。
同社は、検出の多い3つの業界では、Windows XPに代表されるようなレガシーシステムが今も利用され、ネットワークを含むITインフラが古いまま使われ続けていると指摘する。一般的な情報システムの更新サイクルが5年だとすれば、既に多くのシステムはDownadワームのような不正プログラムへの耐性が高められたものに置き換わっていることだろう。同社は、残された古いシステムやネットワークが今後もDownadワームのような脅威の温床になり続けるといい、2017年10月時点でDownadワームが悪用する脆弱性の検出が6万件を超えたと指摘している。
そして2017年は、「WannaCry」に代表される多数のマルウェアがワーム型の手法で感染を広げるケースが多発した。その多くはDownadワームの時に匹敵する規模の事態には至らなかったものの、これらのマルウェアが悪用する脆弱性は、Microsoftが3月にリリースしたセキュリティ更新プログラム「MS17-010」で修正されており、その対応に遅れた一部の組織では、システムが使用不能になるなどの深刻な被害に見舞われた。
現在では、セキュリティへの取り組みが企業や組織の評価にもつながってしまうだけに、実際の被害が仮に軽微でも、被害に遭ったというだけで組織に対する信用が失われ、その後の事業に多大な影響が及ぼすケースもある。
特にランサムウェア機能を有したWannaCryの亜種は、身代金要求メッセージを感染機器の画面に表示し、その様子をメディアがセンセーショナルに取り上げたことで、世界の注目を集める事態に至った。もし、Downadの流行時に取られた作業や対策の教訓が何らかでも現在に生かされていれば、ここまでセンセーショナルに注目される状況にならなかったのでは、とも思えてしまう。
Downadの大流行から10年近くを経て、2017年は再びワーム型で感染するマルウェアが脅威の1つとして台頭した。しかしその脅威がもたらす影響の内容や結果といったものは、Downadの流行当時と比べて大きく変化した。セキュリティが強化された新しいシステムへの移行などで、ひと昔のような事態には至らずとも、脆弱性対応の遅れなど被害につながりかねない対策の不備という課題は依然として残されている。
セキュリティの脅威は常に変化し、セキュリティ対策の手法や体制も常に変化へ対応していくことが求められる。そこでは新しい対策機能や手法が注目される傾向にあるが、それらを効果的に用いるには、やはりノウハウや経験が欠かせないだろう。その意味で2018年は、過去の脅威や被害から学んだ対応のノウハウや知見、経験則を組織のセキュリティ対策に生かし続けていけるようにすることが求められるかもしれない。