生産ラインにマルウェアが侵入したらこんな感じで被害が生まれます:場面で学ぶ制御システムセキュリティ講座(2)(2/3 ページ)
制御システムにおけるセキュリティが注目を集める中、実際に攻撃を受けた場合どういうことが起こり、どう対応すべきか、という点を紹介する本連載。2回目となる今回は「不正プログラムによって生産ラインが止まった段階」から、「不正プログラムの特定、駆除」までを、「DOWNAD」という非常に多くの感染例がある不正プログラムを例に解説する。
駆除方法の問題点
DOWNADはUSBメモリやネットワーク経由など複数の感染経路を持つ。例えば、ネットワーク経由での感染方法の1つとして「MS08-067」の脆弱性を利用するものがある。これはリモートプロシージャコール(RPC)の脆弱性を利用することで、ネットワークの先にある端末で任意のコードを実行させることができるというものだ。つまり、DOWNADをネットワーク経由で感染させることができる。
ネットワーク経由で感染する不正プログラムへの対応としては、まず感染した可能性のある全ての端末をネットワークから切り離すことが重要だ。そしてパッチの適用および不正プログラムの駆除を実施した後に、再びネットワークに接続していくといった対応が望ましい。
ネットワークにつながったまま対応してしまうと、上記の失敗例のように、1台の駆除処理が終わったとしても、他の感染している端末からネットワーク経由で再感染してしまうということを繰り返すのである。
状況の把握と方針決め
不正プログラムの駆除に関して重要なのは、「何が」、「どの範囲に」、感染しているのかをまず特定し、適切な対応を取ることだ。言うのは簡単だが、特にこれまで何もセキュリティ対策をしてこなかった環境では、この簡単なことが、実は非常に大変である。
1つの駆除方法としては、ネットワークを監視する機器などを一時的にでも導入し、どの端末が感染しているかをまずは特定することである。DOWNADの場合はTCPの445番への通信を行っているものは感染の可能性が高いと判断できる。
こういった対処ができない場合は、少なくともネットワークにつながっているWindows機器はすべて感染していると想定し対応を検討することが望ましい。たった1台のDOWNAD感染端末を残してしまったことで、ネットワーク全体に再度DOWNADが感染してしまい、1から駆除をやり直すというケースもあり得るからである。
DOWNAD感染に対する望ましい駆除手順を以下にまとめた。
- システムを止め、感染の疑いのある端末は全てネットワークから切り離す
- 各端末にWindowsのMS08-067のパッチを適用する
- 端末上で駆除プログラムを実行し、DOWNADを駆除する
- 駆除が完了した端末をネットワークに再び接続する
- 全ての対応完了後、当面ネットワークの監視を行う
制御システム内の機器の中には、Windowsのパッチを適用していないケースも多いだろう。その大きな理由としては、機器ベンダーがパッチの適用後の動作保証をしていないということが挙げられる。
一方で、DOWNADの感染が大きく広がる理由として、DOWNADが感染活動に利用する脆弱性が、パッチ適用されずにそのままネットワーク環境内に放置されているという事実も大きい。上記の手順は、万が一の再感染も防止するための方法であるが、機器ベンダーの保証がなくなるということからパッチ適用までは踏み切れないケースも多いだろう。パッチの適用を行わず上記手順を行う際には、全ての機器に完全に漏れなく駆除対応を行った上で、機器をネットワークに再接続しないと、再度感染が広がるリスクがある点は考慮すべきだ。
Copyright © ITmedia, Inc. All Rights Reserved.