ウイルス感染の危機管理

日経コンピュータ2007/11/12号の「動かないコンピュータ」は「千葉大学医学部附属病院 1300台のパソコンがウイルス感染 医療業務がまひし、1000万円の損害」。同ニュースは時事ドットコムにも載っている。ウイルス対策ソフトのパターンファイルが最新であったにもかかわらず,職員のWeb閲覧でPE_MUMAWOW.AJ-Oに感染,電子カルテや会計システムなどが利用不能に。Windows Update+ウイルス対策ソフトでは対策にならない例。「利便性を優先したネットの運用が仇に」とあるが,院内のメール・Webアクセスをすべて止めるのは現実的ではない。ではどうすればいいか。

[追記] 上記ウイルスはトレンドマイクロによれば米国で1件感染が観測されただけのようだ。違うのかもしれない。時事ドットコムには別の名前が出ていた。

一人一人が別ネットワークにいるようにすれば良いのでは?

従業員の PC はサブネットマスクを 255.255.255.252 にしちゃって、
ゲートウェイと自分自身しかいない環境にしてしまうってのはどう
でしょう?問題はローカルネットワークとはいえゲートウェイに割り
振るアドレスが膨大になることですね。

追加します(疑問ですけど)

基本的には先ほどの意見のままなのですが、IP アドレスに別名を持たせ
られれば実質的なゲートウェイの数を減らせますね。つまり本当のGWは
192.168.1.1 だけだけど、192.168.1.2 / 30からは 192.168.1.1に見え、
192.168.1.6 / 30 からは 192.168.1.5 に見えるような仕掛けを作れれば
いいのではないでしょうか?RFC の規定を破らなければできないで
しょうか?

1人1サブネット

うちでも部分的にVernierだったかの商品で/30サブネットをやっているようです。ただ,感染したマシンがイントラネットのサーバにアクセスすることができれば,そのサーバの脆弱性を攻撃し,そこにアクセスしたマシンを次々に感染させるということはありうるのでは?

パケットフィルタの設定のほうがスマートだったかも

と、後で気がつきました。インテリジェントスイッチというのはフィルタ
機能を持っているのでしょうか?いまだに用語をよく理解していないもので。
とにかく
1.L2 フィルタで従業員間同士の通信を禁止する (L3 スイッチで
  ポート間通信を制限してもいいのかもしれませんが)
2.L3 フィルタで
 a.インターネットに出てゆく場合、特定のポートしか見えないようにする
 b.イントラネットのサーバーについても特定のポートにしかアクセス
   できないようにする
3.ネットワークモニタを仕掛けておき、クライアントがパケットを急激に
  発行した場合自動的に切り離す(ひっそり伝染するようなタイプでは
  意味がないでしょうか?)

もちろん、サーバーにバッファ・オーバーフローやSQL インジェクションと
いったバグがあれば攻撃は防ぎきれませんが、かなり危険を抑えることに
なるんじゃないでしょうか。

あるいは

サーバに脆弱性がなくても,感染したパソコンのファイルに感染して,持ち主が他に運んでくれるのを待つとか,自分からメールを送るとか,いくらでも広がる方法はありそうです。記事には「ネットワーク上からのウイルスの侵入を防ぐゲートウェイ製品を導入していれば」拡大が押さえられたとも書いてありましたが,いずれにしてもパターンファイルが対応していないウイルスなら役に立たなさそうに思います。ではどうすればいいか。

PC の持ち出し禁止や Thin client の採用ですか?

前者はともかく後者はいやです。メールへの添付対策はアプリケーション
層のファイヤーウォールを入れることでしょうか。勤務先では実行ファイルが
添付されたメールが届くと、それは削除されてしまいます。勤務先から送る
ときも多分削除されるのではないでしょうか。

対策

私も答えは知らないのですが,この記事の通りであれば,持ち出し禁止やthin client化では対応できそうにないですね。実行ファイルを介して感染するウイルスなら,実行ファイルのダウンロードを遮断したり,メールサーバで実行ファイルを消したりすればよさそうですね。

いまだに非実行ファイルをわざわざ自己展開型の実行ファイルに圧縮アーカイブしてダウンロードに供しているサイトがあるのは何とかしてほしい……。第一学習社 教科学習情報 「情報」とか :-)

パケットフィルタについて間違いがありました

L2→ データリンク層
L3→ IP 層
でした。TCP/UDP のフィルタリングは L4 でした。

一人一人が別ということは。

結局IPv6の導入が期待されるわけですかね...
本体への感染だとおもったらマウスだった...みたいな。

大企業での添付ファイル

秘〇などの自己複合化方式(つまり.exeファイル)を添付するのがはやってます。さらにG/Wをすり抜けるために、拡張子を .exe 以外にします。メール本文には「拡張子を .exe に変更して実行してください」正直言って慣れることできません、次のような危険がありますし。
・暗号化されている為G/Wのワクチンソフトで検索できない。
・実行形式ファイルを禁止のポリシーと矛盾運用されている。
・メールに添付されてきた実行形式ファイルを実行することに慣れてしまう。

Re: 大企業での添付ファイル

外部から来た実行ファイルを実行することに慣れてしまうのが一番怖いですね。https:の警告を無視するのに慣れるのと同じで。

コメントの表示オプション

お好みの表示方法を選択し、「設定の保存」をクリックすると、表示方法を変更することができます。