Blasterワームが残した教訓 小川 誉久 2003/09/12

　Blasterワーム騒動も収まらぬ8月後半、企業の現場のシステム管理者たちが集まる、とある勉強会にお邪魔させてもらった。議題はズバリ、修正プログラムをいかにして企業のサーバやクライアントに適用していくか、である。

　Blasterワームは、コンピュータ・セキュリティの新たな課題を浮き彫りにした。それまでの修正プログラム管理といえば、どちらかというとサーバ向けが中心だったが、クライアントPCも対象に加えなければならないことが裏付けられたからだ。これまでもコンピュータ・ワームなどの深刻な被害はいくつかあったが、それらはいずれもサーバ向けソフトウェアの脆弱性を攻撃するものだった。例えばCode RedやNimdaはWebサーバであるIISの脆弱性を攻撃するものだったし、SQL Slammerはデータベース・システムであるSQL Serverの脆弱性を攻撃するものだった。

　通常、クライアントPCはサーバに比べると台数が圧倒的に多く、管理に手間がかかる。そのうえ障害が発生した場合でも、サーバに比較すれば業務に与える影響が小さい。このためBlaster以前は、クライアントPC向けの修正プログラム適用は後回しにされがちで、ファイアウォールを設置したり、ウイルス対策プログラムを組み込んだりすることで、何とか安全を確保しようとするところが多かった。

　しかし今回のBlasterワームが攻撃に利用したRPC（Remote Procedure Call）のセキュリティ・ホールは、サーバだけでなく、クライアントでも影響を受けるものだったため、圧倒的に台数の多いクライアントPCにも感染が広がってしまった（実際には、企業内のPCだけでなく、家庭で広く使われているPCにも広く感染している）。クライアントPCに対しても、鋭意修正プログラムを適用して、セキュリティ・ホールの根を排除しなければならないことが立証された形である。

行くも地獄、行かぬも地獄

　Blasterワームが攻撃したセキュリティ・ホールの情報（MS03-026）が公開され、修正プログラムが提供されたのは7月17日、Blasterワームが猛威を振るったのは8月12日ごろからだから、修正プログラムを素早く適用していれば被害に遭うことはなかったはずである。こういうと、何だか管理者の怠慢が原因のように聞こえてしまうかもしれないが、それは違う。

　くだんの勉強会に参加した管理者諸兄に伺うと、修正プログラム管理を軽視している人などいなかった。それどころか誰もが、修正プログラムは早期適用すべき、という意見を持っていた。

　それならば速やかに適用すればよいではないか、と思うかもしれないが、残念ながらそう簡単な話ではない。

　まず、多数のクライアントに対し、修正プログラムを適用する手間は大変なもので、それでなくとも忙しい管理者は体がいくつあっても足りない。必要性は分かってはいながらも、作業工数を考えると二の足を踏んでしまう。幸いこの問題は、SUS（Software Update Services）や市販の修正プログラム管理ツールを利用することで、作業を多少は軽減できるだろう（詳細は別稿「運用：HotFix管理を始めよう」）。

　最大の問題は、修正プログラムを適用することで、予想外の副作用が発生することだ。

　例えば勉強会で聞いたケースでは、Windows 2000にService Pack 4を適用したところ、フォント関連の処理が変更されたのか、プリンタの印字がこれまでとわずかにずれるようになってしまったという。その程度ならあまり問題ではないだろうと思いきや、その会社では、あらかじめ印刷された請求書のフォームに対し、プリンタでデータを印字していたため、このずれによって、本来印刷されるべき場所に文字が印刷されず、請求書の体をなさないようになってしまったそうである。請求業務が完全にストップしてしまったわけだから事態は深刻である。結局、Service Packをアンインストールし、プリンタ・ドライバを再構成して、何とか元の状態に戻したという。

　修正プログラムの適用による同じような副作用を経験した管理者は非常に多かった。これでは、修正プログラムが公開されたからといって、おいそれと適用するわけにもいかない。修正プログラムの適用を先延ばしにすれば攻撃のリスクを排除できず、かといって適用を決意すれば副作用のリスクを背負うことになる。まさに「行くも地獄、行かぬも地獄」である。

安全はタダでは手に入らない

　管理者はサボっているどころか、日夜睡眠時間を削ってセキュリティ・ホールと格闘している。Blasterの騒ぎでは、夏休み返上で会社に泊まり込み、サービス残業をしてまでクライアントへのBlaster対策を実行したという涙ぐましい話も聞いた。むしろ現在のネットワークは、こうした管理者の奉仕精神によって支えられているのだ。

　聞くところによれば、某社の役員がBlasterに感染した。それまでその会社は、クライアントPC向けの修正プログラム管理はユーザー任せにしており、強制力を持った中央での管理は行っていなかった。しかしこの役員のつるの一声により、修正プログラムに対する社内の体制を大幅に見直すことになったそうである。もちろん、緊急の予算を付けて。

　予算があれば、人員を拡充できるかもしれないし、何らかの支援ツールを購入できるかもしれない。現場の管理者が睡眠時間を削って何とかするというような根性論ではなく、抜本的な対策の強化が必要である。

　ネットワーク・セキュリティの問題は、もはや現場の管理者の奉仕精神におんぶに抱っこして何とかなっていたレベルを超越している。企業のマネージメント層は、このことを理解し、適切な予算をセキュリティ管理に投下すべきだろう。

　同時に、副作用問題については、圧倒的に情報が不足している。この点については、基本的にマイクロソフトからはほとんど情報は提供されない。メディアに身を置く立場として、この状況をどうすれば打破できるのか、何かお役に立てることはないかと常々思案しているところである。

小川　誉久（おがわ　よしひさ）
株式会社デジタルアドバンテージ 代表取締役社長。東京農工大学 工学部 材料システム工学科卒。'86年 カシオ計算機株式会社 入社、オフコン向けのBASICインタープリタの開発、Cコンパイラのメンテナンスなどを行う。'89年 株式会社アスキー 出版局 第一書籍編集部入社、書籍編集者を経て、月刊スーパーアスキーの創刊に参画。'94年月刊スーパーアスキー デスク、'95年 同副編集長、'97年 同編集長に就任。'98年 月刊スーパーアスキーの休刊を機に株式会社アスキーを退職、デジタルアドバンテージを設立した。現Windows Server Insiderエディター。

「Opinion」