情報セキュリティなんでも相談室　第9回 USBメモリ感染型ウイルスからイントラネットを守る方法を教えてください

　VPNを利用したイントラネット環境で、USBメモリ感染型のウイルスが発見されました。手動駆除が可能なようですが、今後を考えてウイルス駆除ソフトを導入しようと考えています。

特集特集

2008年12月4日（木） 17時15分

　VPNを利用したイントラネット環境で、USBメモリ感染型のウイルスが発見されました。手動駆除が可能なようですが、今後を考えてウイルス駆除ソフトを導入しようと考えています。

・2つのネットワークをVPNで接続して合計50台のPCが接続されています。
・インターネットからの自動更新はできません。

　このような場合の、費用・導入形態・運用方法を教えてください。

◎ 相談室にご相談をお寄せください
メールでのご相談 scan@cybozu-mt.jp
Webフォームからのご相談 https://shop.ns-research.jp/form/fm/qa

─

●イントラネットの弱点

　インターネットを利用して安価で安全な社内ネットワークを構築したい場合は、VPN（バーチャル・プライベート・ネットワーク）を利用したイントラネットが最適です。VPNは、本店と各支店間をあたかもLANのように接続できます。特に、安全性を重視した閉ざされたネットワークは、病院や銀行など機密情報や個人情報を扱う企業、ライフラインなどのプラントのネットワークに多く見受けられます。

　この様なネットワーク環境では、社内ネットワーク以外からのインターネットへのアクセスはできないようにするのが一般的です。そうすることで、ウイルス感染や不正アクセスなどのセキュリティ上のリスクから社内ネットワークを防衛することが可能でした。

　ところが、2007年7月頃から増加しているSillyFD、LiarVBなどのウイルスは、USBメモリを介して感染するウイルスであるため、PCのUSBポートからウイルス感染し、ネットワーク全体にウイルスが繁殖してしまいます。

　これに似た問題は他にもあります。例えば、PCの持つセキュリティ上のリスクを軽減するために、ハードディスクの無い端末でネットワークを構成する「シンクライアント」に移行する企業が増加しています。ところが、このシンクライアントの端末の多くがウイルスの標的に成り得るUSBポートを持っているのです。

●USBメモリ感染ウイルスとは？

　USBメモリに感染する代表的なウイルスには以下があります。（出典：IPA）

・W32/SillyFD-AA

　このウイルスは、内蔵 HDD ではなく、USBメモリなどの外部に接続しているドライブを検索し、見つけた外部のドライブに自分自身をコピーし、Autorun.inf(自動起動)ファイルを作成します。

http://www.sophos.co.jp/security/analyses/w32sillyfdaa.html

・W32/LiarVB-A

　このウイルスは、USBメモリなどの外部に接続しているドライブに感染します。見つけた外部のドライブに自分自身をコピーし、autorun.inf ファイルを作成します。さらに、エイズと HIV について解説した HTML ファイルをパソコン側のシステムに保存します。

http://www.sophos.co.jp/security/analyses/w32liarvba.html

　autorun.inf (自動起動)ファイルとは、自動で起動させたい実行ファイル(拡張子が.exe のファイル)名をautorun.inf ファイル内に設定しておき、そのautorun.inf ファイルが入った CD や DVD 等をパソコンに読み込ませると、自動で実行ファイルを起動させることができます。通常USBメモリでは、autorun.inf ファイルは起動しません(Windows Vista の初期設定は除く)が、USBメモリに感染するウイルスの中には、このautorun.inf ファイルを作成し、ウイルス自身を自動で起動させようとするものもありますので、安心はできません。

●イントラネットはこうして守れ！

　一番効果がある対策はUSBポートの無いPCを利用することです。確かにそのようなPCも販売されているのですが、社内にはUSBポートを持つ既存PCも多くあり、また、USBポートは様々な周辺機器の接続に当たり前の様に利用されていますから現実的ではないですね。

　ウイルス対策の基本は出入り口の門番です。ウイルスが侵入する可能性のある部分をウイルス対策ソフトで守ります。感染してからでは被害も出ますし、復旧に時間もお金もかかります。早期検出が一番の防衛策なのです。

　一般的には、ネットワークに接続されているサーバやPCにクライアント用のウイルス対策を導入し、できれば（予算に余裕があれば）、是非インターネットの入り口であるゲートウェイにもウイルス対策を実施してください。中規模以上の企業では、メールサーバやインターネットのトラフィックを直接監視できるタイプのウイルス対策アプライアンスが有効です。また、中小規模の企業でのゲートウェイ対策は、メールサーバがISPにある場合も多いので、ISPが提供しているウイルスソリューションを利用するとよいでしょう。

　ライセンスや費用的に一社のウイルス対策ソフトを利用することが普通ですが、できればいくつかのPCには、異なるベンダーのウイルス対策ソフトを仕掛けておくと、最新ウイルスを早期に発見しやすくなります。

　一方、VPNを利用したイントラネットの場合も、基本的には前述の一般的な対策と同じで、費用も変わりません。ところが、インターネットに一般ユーザをアクセスさせないイントラネットの場合、インターネット経由で対策製品が更新できないという致命的な問題点が生じます。ウイルス対策製品のデータベース（一般的に、シグネチャファイル、パターンファイルと呼ばれている）を更新しなければ最新のウイルスを検知することができなくなります。

　この様な場合は、各クライアントにインストールしたウイルス対策ソフトを一元管理できるサーバ・クライアント型のウイルス対策ソリューションを利用してください。まず、ファイアウォール機能を利用して、管理サーバだけがインターネットにアクセスできるように設定します。そうすれば、管理サーバはインターネットからデータベースを更新し、各クライアントのウイルス対策ソフトは、管理サーバからデータベースを更新できるようになります。

　同様に、ゲートウェイ用のウイルス対策アプライアンスも、そのアプライアンスだけがインターネットにアクセスできるようにファイアウォールを設定しておけば、セキュリティ・ポリシーを守りながら更新が可能になります。

　更に、USBメモリなどリムーバルメディアでデータベースを更新できる機能があれば完全です。USBメモリ感染型ウイルスの防衛にUSBメモリを利用するなんて…不謹慎ですが少し笑えますね。

　さて、門番の話の続きですが、渡り廊下でつながった2つのお城を想像してください（三大名城の一つ熊本城の天守閣がそうですね）。お城全体はネットワーク、各入り口はPC、渡り廊下はVPNの例えです。お城への各入り口はもちろん門番で防衛しています。

　まず、USBメモリなどのリムーバルメディアからの感染を防ぐためにも、クライアントへのウイルス対策ソフトの導入は必須ですね。そして、万一、どちらかのお城が敵兵に乗り込まれた場合は、渡り廊下にも門番がいれば、簡単に落城はしません。つまり、VPNなど拠点間通信の途中でもウイルス検査をすれば、複数のネットワークをまたぐ大規模感染を防ぐことが可能となります。

　VPN通信の途中でウイルス検査できるセキュリティ製品としては、前出のゲートウェイ型のウイルス対策専用アプライアンスの他に、不正侵入を検知する不正侵入検知・防御システム（IDS / IPS / IDP）を利用しても、ある程度のウイルスやワームを検知することができます。そして、中小企業向けにはウイルス検査機能を有した安価なVPN機能付きファイアウォールやUTMが販売されています。

　また、自社でゲートウェイのウイルス対策をしなくても、VPN環境を提供しているISP側でウイルス検査をしてくれる「セキュアVPN」などのサービスを利用すれば、データベース更新の技術的な悩みや手間から開放されます。

●コストは？

　費用的にはサーバ・クライアント型のソリューションを50台のPCで利用する場合で、初年度60万前後、次年度からの更新費用が30万程度です。購入形態はソフトウェアライセンスを購入して、自社サーバにインストールするタイプと、最初からアプライアンス型になっているものがあります。前者の場合は別途サーバマシンの費用がかかり、後者の場合はアプライアンスのハードウェア代として初年度の費用がかさみます。最近では5年間のリースをかけられるために月額1万円程度で利用できる安価なアプライアンスも登場しています。また、ゲートウェイ型のソリューションも利用するPCの総数で見積もられることが多く、費用もだいたいサーバ・クライアント型と同等程度の金額となります。

●いたちごっこは永遠に

　22年前に世界で最初に発見されたBrain（ブレイン）というウイルスは、フロッピーディスクの起動領域に潜むものでした。それから現在までに100万種類以上のウイルスが出現したと言われています。最近では、2003年に…

【執筆：せきゅバカ一代】
＜執筆者略歴＞
セキュリティ業界で15年。
現在は某セキュリティ会社の社長を勤める。
自ら世界中を駆け巡って新技術を収集している。

◎ 相談室にご相談をお寄せください
メールでのご相談 scan@cybozu-mt.jp
Webフォームからのご相談 https://shop.ns-research.jp/form/fm/qa
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw

《ScanNetSecurity》