2004年07月23日(金) 14時18分

マイクロソフトの奥天氏、ウイルスをめぐる状況は「悪化している」（ITmediaエンタープライズ）

　IDGジャパンは7月22日、ウイルスやワーム、スパムメールの傾向と対策をテーマとしたカンファレンス「Virus Conference For Enterprise」を開催した。冒頭の基調講演には、マイクロソフト セキュリティレスポンスチームの奥天陽司氏（セキュリティレスポンスマネージャ）が登場し、最近のウイルスの傾向と、Windows XP Service Pack 2（SP2）をはじめとする同社の取り組みについて紹介した。

　奥天氏がまず指摘したのは、ウイルスやワームの「変質」だ。

　各所でたびたび指摘されているとおり、かつてのウイルスは、フロッピーディスクなどを通じてゆっくり感染を広めていた。それが今ではシステムの脆弱性を付き、ネットワークに接続するだけで感染してしまう。しかも、攻撃対象はサーバだけにとどまらず、クライアントまで含まれるようになった。

　この結果、「ウイルス感染の規模も、影響の大きさもどんどん拡大している」（奥天氏）。対処にはパッチの適用とウイルス対策ソフトの導入が重要だが、ウイルス感染スピードの高速化によって「パッチを適用するのもままならない。また、パターンマッチングに基づくウイルス対策ソフトだけでは防ぎきれない」（同氏）。社員が勝手に持ち込むPCやリモート接続といった要素が、問題をさらに困難にしているという。

■事態は悪化の方向へ

　さらに残念なことに、「状況は悪くなっている」と奥天氏は述べた。というのも、脆弱性が発見されてから悪用（検証）コードが公開され、ワームが登場するまでの時間がどんどん短くなっているからだ。

　同氏によると、脆弱性を狙ったワームのうち95％は、既に対応策（＝パッチ）が存在している脆弱性を悪用するものであり、パッチの早期適用によって問題を防げるという（数少ない例外が、先日騒がれた「Download.Ject」だ）。しかし、パッチが公開されてから攻撃が開始されるまでの時間が短くなっているのも事実だ。Slammerの場合は180日間あった猶予が、Blasterは25日間に、Sasserにいたってはわずか14日間になっている。

　最短記録はおそらく、今年3月に登場した「Witty」だろう。奥天氏は、「Wittyの場合、脆弱性が公開されてからワーム発生までの間がわずか1日であり、われわれも非常に衝撃を受けた」と語り、セキュリティパッチを適用していくという対策法には限界があるかもしれないとの見方を示した。

　奥天氏がもう1つ懸念を示したのは、日本語を用いたワーム登場の可能性である。現に、日本で広く利用されているP2Pソフトウェア、Winnyをターゲットにした「Antinny」が登場していることを踏まえると、今後は日本語を操るワームが出てくる恐れがあるという。

　また過去には、『かくかくしかじかのファイルはウイルスであるから削除してください』という内容のデマメールが出回ったことがあった。「英語で出回ったときはひっかかる人はほとんどいなかったのに、誰かが日本語に翻訳したものを出したとたん、多くのユーザーがだまされてしまった」（奥天氏）。

　今のところ、ワームが添付される電子メールのほとんどは、英文で書かれている。しかし、仮にこれが日本語で記されるようになったらどうなるかを考えると、非常に危機感を感じると奥天氏は述べている。

■SP2は利便性よりもセキュリティを優先

　奥天氏は残りの時間を、これら脅威への対策法に費やした。

　まず言えるのは、われわれは現在多角的な脅威に取り囲まれているということ。そして、「その多角的な脅威には、多角的に対処していくしかない」（同氏）。入退室管理といった物理的セキュリティ対策にはじまり、ポリシー策定、ネットワーク境界部や内部での対策、ホスト、さらにはアプリケーションレベルでの対策など、さまざまなレベルで取り組みを進める必要があるという。

　奥天氏は、この中から特にホスト（＝端末）の防御に関する説明を行った。その中心は、8月にリリースが予定されているWindows XP SP2だ。

　既に報じられているとおり、SP2は、WindowsファイアウォールやWindowsセキュリティセンター、IEのポップアップブロックといった機能を通じて、「ネットワーク、添付ファイル、メモリアクセス、Webサイトという4種類の攻撃からホストを守る」（奥天氏）という。

　SP2の主だった機能はいくつかのカンファレンスで紹介済みだが、たとえば、「これまでWindowsが搭載していたパーソナルファイアウォール機能では、OSが起動してからフィルタリングが開始されるまでの間に攻撃を許しかねないタイミングがあったが、SP2ではそれを変更し、起動している最中のワーム感染を防ぐようになる」（奥天氏）。

　また、Internet ExplorerやOutlook Expressでのファイルの実行、ActiveXコントロールの実行についても、「利便性を優先して勝手に実行させるのではなく、本当に実行してもいいかどうかユーザーの許可を求めるようにする」（同氏）。間にワンクッション入れることで、うっかり/知らぬ間に実行、といった事態を防ぐという（これも、ユーザーが条件反射的に「はい」をクリックしてしまうと意味がなくなるが）。

　さらに、64ビット版Windows XPと64ビット対応CPUの組み合わせが必要になるが、バッファオーバーフローによる不正なプログラム実行を阻止する「NX（Data Exection Protection）」テクノロジが実装されるという。

　奥天氏は最後に、パッチ配布方法の改善にも触れた。今はWindows UpdateとOffice Update、Software Update Services（SUS）にダウンロードセンターと、ばらばらなソースからパッチが配布されている。この現状を改善し、「Microsoft Update」という形で統合していく方針は、既に明らかにされているとおりだ。

　奥天氏によると、ここではマイクロソフトの製品だけでなく、パートナー製品についても一元的なアップデートを行えるようにしていくという。また、先日リリース延期が明らかになったWindows Update Services（次期SUS）では、Windows OSやOfficeのみならずExchange ServerやSQL Serverのパッチ管理が行えるほか、レポート機能や適用対象端末のグループ化機能の追加、更新内容やプラットフォーム別のスケジューリングといった改善が加えられる予定という。

http://www.itmedia.co.jp/enterprise/ （ITmediaエンタープライズ）

http://headlines.yahoo.co.jp/hl?a=20040723-00000012-zdn_ep-sci