ウィルス「Nimda」の恐怖

　アメリカの同時多発テロから１週間。朝、会社に行くと別な部門のサーバが「W32.Nimda.A@mm」(Symantec社名称)というウィルス(ワーム)によりダウンしているらしく、情報収集の協力要請が。
　で、調べてみたのですが、、、はっきり言ってCode Redよりもかな～～～りやっかいなウィルスです。アメリカの鯖を狙ったサイバーテロかいなとも思ったり。

　どの辺がやっかいかというと、

9/19現在、感染したら駆除できない

　CodeRedは発見されてから日本での流行までに日数があったので対策方法が確立し、対策ツールも各ワクチンメーカーから提供されていました。なので、信用問題には関わる物の、感染してもツールで駆除すれば復旧できたわけです。

　が、今回のNimdaはまだ発見されたばかりにもかかわらず、国内での感染がかなり多いような気がしています。問題は感染した場合の駆除方法が各ワクチンメーカーで調査中な事。

　つまり、感染してダウンしたサーバはネットワークから隔離せざるを得なく、駆除方法がわからないため、サーバのサービスを再開するためにはバックアップからの復旧か再インストールくらいしか手段がありません。管理者大泣き。。。
　ん？　ということは、このウィルス、国産？(^-^;

　また、さらにやっかいなのが感染経路。

感染経路が複数

　なのです。感染した鯖だけが他の鯖に感染を広げていくだけでなく、感染したサーバのホームページにアクセスすると、ファイルをダウンロードするように指示され、ダウンロードしたファイルを実行したパソコンが身近な鯖のセキュリティホールを探し感染を広げてゆきます。さらに、感染したPCのメールボックスを見てウィルスを送りつけるという経路もあります。ぃゃん、至れり尽くせり♪(死)
　つまり、鯖だけが対象だったCode Redよりもはるかに感染源が多くなり得るわけで・・・対策しなくてはいけない対象も膨大になります。

　サーバにあまり関わりのない人にはぴんと来ないかもしれませんが・・・プロバイダへの接続ができなくなっているのに、復旧のめどが立っていないって感じです。さらに、自分が狙っていた超特価の商品が今日から先着順にネット通販を受け付けなどという状況なら物欲大魔王の手下の方々は大パニックでしょ？　会社の鯖がダウンってのはたくさんの社員がそのくらいのダメージを受けちゃう訳なのです。

　また、パソコン側の対策も、１時間あれば余裕で終わるじゃんって思いがちですが、パソコンの知識があまり無い一般ユーザが100人いたら単純計算でも対策は100時間になります。はぅぅ～やってらんね～(爆)

　そんな状況なので、午前中に部内の全PCのウィルスチェックしろとのお達しが。ワクチンソフトは定期的に自動更新かけているのですが、今回のウィルスの対応版が出たのは昨日の夜で、配布が今朝。それまでに感染していたらやばいので、一応、全てのPCで全チェックをかけろとのことでした・・・。

　うちの部署は百数十台のチェックの結果、感染数は０。ほっと一安心なのですが、明日は2001年上期の締切日。ただでさえ忙しいのにウィルスごときに貴重な時間を奪われたのでした。(涙)　感染しなくてもしっかり被害を被るあたりはかなりむかちゅく～。

　しっかし、うちの会社だけでも莫大な被害ですよねぇ。鯖やウィルス担当者の労力にサーバダウンによって業務が停滞した被害などなど。特に駆除方法がわからない事でダメージは更に大きな物となっているでしょう・・・。

　で、感染しないための対策ですが、ワクチンソフトを導入し、パターンファイルを最新のもの(少なくとも9/18以降)にすること。IIS 4, 5を利用している鯖ではセキュリティパッチを当てておく事(文末のリンク参照)。←コレ重要

　もし感染していたらネットワークから隔離をし、駆除ソフトが出るのを待つか再インストール、バックアップからの復旧のいずれかです。感染すると鯖の複数の実行ファイルがウィルス自身に置き換えられてしまうそうなので、恐らく手動復旧はかなり困難。まぁ、IISだけが攻撃対象なのがせめてもの救いか・・・。

　一般ユーザーでもプロバイダの鯖に感染させちゃったりってことになると責任問題にもなるかもしれませんので十分注意しましょう。

　そんなわけでお疲れの１日でした。・・・・・・はふっ(_ _;

【リンク】
■Symantec：「W32.Nimda.A@mm」
■NetworkAssociates：「W32.Nimda.A@mm」
■Microsoft：「Web サーバー フォルダへの侵入」の脆弱性に対する対策