先週末は、気が休まらなかった関係者も多いだろう。特に今朝は厳戒態勢をひいた組織も少なくなかったはず。昨日あたりから、世界中のメディアが、週明け警戒を呼びかけていたので。
昨日は私も一日様子を見ていたのだが、とりあえず欧米の騒ぎは下火になってきていた。昨日からFBにあれこれ書いていたので、昨日は日記はお休み。とりあえず、昨日の朝の散歩画像などを並べておく。
天気がイマイチなので、散歩は昨日も今日も短めで終わらせた。
公園に近くの小学校の入学記念植樹。なぜか、この学校は毎年「サルスベリ」である。
公園の野球場では「大人のソフトボール大会」をやっていた、
さておき、今日も、ほぼ一日状況をウォッチしていたのだが、一部の企業で感染沙汰がニュースになったほかは、それほど大騒ぎにもならず。でも、一部のメディア(日テレニュース24)によれば、JPCERT/CCの話として、国内で2000台以上が感染したと伝えられているから、密かに蔓延していたのかもしれない。おそらく、JPCERT/CCの定点観測網で通信を捉えたのだろう。詳細は不明だが、これが本当にJPCERT/CCからの情報ならば確度は高いと思う。欧米メディアでは、「新種」マルウエアが出る可能性も、専門家の指摘として伝えていて、週明け警戒は世界的である。とりあえず、現時点では米国東海岸あたりまでビジネスアワーに入っているが、特に目立った騒ぎは起きていない。うちで観測した445/TCPのスキャンも下火になってきている。
ただ、多くの専門家が言っているように、まだ安心はできない。第二弾、第三弾の攻撃や、別の主体による同種の攻撃も予想できるからである。今回、まだ幸いだったのは、少なくともパッチが供給済みの脆弱性が利用されたことである。メディアは脆弱性とその攻撃コードの出元がNSA(米国国家安全保障局)だったことを取り上げて大騒ぎしているが、もしこれが、いわゆる「ゼロデイ」脆弱性(パッチのまだない脆弱性)を狙った攻撃だったら、被害はこんなものではすまなかっただろうと思う。実際、様々なゼロデイ脆弱性が裏取引されている現状を考えれば、いつ最悪のシナリオが起きても不思議ではないだろう。気になるのは、今回の攻撃に使われたマルウエアの最初の侵入経路がまだ明らかになっていないことである。脆弱性の攻撃をネット経由でやるのは効率が悪いから、普通に考えればメール添付ファイルやWebサイト経由なのだろうが、メディアや専門サイトが報じる原因は推測ばかりで、いずれもはっきりしない。このあたりの情報は、一般の攻撃であれば、すぐに出てくるのだが、不思議な話である。このあたりの情報も注視しておきたい。いずれにせよ、より危険な攻撃を食らう可能性を前提に、感染をどう見つけて、どう拡大を食い止めて対処するかというシナリオをもう一度、再確認しておいたほうがいいだろうと思うのである。少なくとも、ネットワークに繋がっているWindowsマシンは、すべて最新のパッチを至急適用すべきだし、PCにはセキュリティソフトを入れ、最新にしておく必要もある。これは「最低限」の予防線だ。あとは、攻撃の兆候を掴んだときにどう対処するかを考えておく必要がある。感染が疑われるPCやサーバから感染が拡大しないようにする方策は一様ではない。それぞれ、その組織の業務やネットワークの形態にあわせて様々な方法がある。ネットワーク内でのワーム拡大を防ぐための基本は、セグメント間で不要な通信を普段から規制しておくことだが、それに加えて、非常時に簡単に各ネットワークセグメントを分離できるような方法を考えておく必要があるだろう。物理的に「線を抜く」ことがベストプラクティスっぽく言われるが、実際の大規模なネットワークで、これは簡単ではない。それよりも、スイッチやルーターの設定を変更して一気に遮断してしまった方が速い場合も少なくない。非常時に各セグメントを分離もしくは隔離するための設定ファイルやスクリプトをあらかじめ用意しておくことも良い方法だ。復旧作業用にクリーンな環境を作るためのVLANをあらかじめ用意しておくこともできるだろう。対処シナリオを考え、それがもっとも効率よく出来るように、こうした準備をしておく必要がある。それと、なにより、重要なデータはきちんとバックアップしておくことだ。身代金を払っても、データが復旧される保証はないからである。
しばらくは警戒が必要だが、たぶん次の攻撃は忘れた頃にやってくるのだろう。その間に準備をしておきたいものである。
コメントする