金融サービス会社を目覚めさせたワームの侵入：Case Study

ワームの感染で壊滅的な痛手を負ったある金融サービス会社は、ネットワーク監視／分析ツール「Arbor PeakFlow X」を導入した。

[TechTarget]

　商取引、投資銀行業務、調査サービスなどを専門とする金融サービス会社トーマスワイゼルパートナーズの最高セキュリティ責任者（CSO）を務めるキャノン氏はかつて、スパイボットワームの侵入さえ目撃したことはなかった。同氏には確かに幾つかマイナーな手段はあった。だが、同氏のセキュリティチームが異常な動きを察知して追跡しようとしても、ログやリポートをすべて確認している間に1歩も2歩も後れを取るのが常だった。

　トーマスワイゼルパートナーズのネットワークにワームが初めて侵入したのは2004年後半だった。そして、再び2005年初頭にも侵入した。同社のIT部門では、この件はその後、「2005年3月の事件」と呼ばれるようになった。

　キャノン氏によれば、事態は次第に悪化の一途をたどり、最終的には、数台のマシンが応答しなくなったという。どうやら、同社が導入していたSymantecのセキュリティツールはこれらのワームを探知しなかったようだ。そうした侵入はまだ定義されていなかったからだ。

　同社のスタッフの眼を開かせたのは、この感染だった。

　べス・キャノン氏は今では、ネットワークセキュリティを新しい方法で観察している。実際のところ、これまで採用したことのないような幾つかの新しい方法を使っている。

　商取引、投資銀行業務、調査サービスなどを専門とする金融サービス会社トーマスワイゼルパートナーズの最高セキュリティ責任者（CSO）を務めるキャノン氏はかつて、スパイボットワームの侵入さえ目撃したことはなかった。同氏には確かに幾つかマイナーな手段はあった。だが、同氏のセキュリティチームが異常な動きを察知して追跡しようとしても、ログやリポートをすべて確認している間に1歩も2歩も後れを取るのが常だった。

　トーマスワイゼルパートナーズのネットワークにワームが初めて侵入したのは2004年後半だった。そして、再び2005年初頭にも侵入した。同社のIT部門では、この件はその後、「2005年3月の事件」と呼ばれるようになった。

　「スパイボットワームの問題が幾つか発生した。どうしようもないことだった。どちらのときも、まずインターネット接続で奇妙な動きが見られるようになった」とキャノン氏。

　だが同氏によれば、問題はそれだけでは終わらなかった。同社は問題の解決を目指し、ネットワーク監視ソフトのSnifferを使ってみたが、ほとんど効果はなかったという。

　キャノン氏によれば、事態は次第に悪化の一途をたどり、最終的には、数台のマシンが応答しなくなったという。どうやら、同社が導入していたSymantecのセキュリティツールはこれらのワームを探知しなかったようだ。そうした侵入はまだ定義されていなかったからだ。

　同社のスタッフの眼を開かせたのは、この感染だった。

　「このワームに攻撃されるまでは、われわれにはネットワークで何が起きているかを確認する術さえなかった。同じことが再び起きないようにするためにも、われわれには、ネットワークで何が起きているかを確認する手段が必要だった」とキャノン氏。

　トーマスワイゼルパートナーズは幾つかの選択肢を検討した。アウトソーシングはコストがかかりすぎで、侵入探知システム（IDS）も良い選択肢ではなかった。コストがかかりすぎるだけでなく、IDSの導入には多数のプローブが必要となり、それを管理するとなれば、4つのオフィスを有し、約600人のエンドユーザーをサポートしなければならない同社にとっては、気の遠くなるほど長い時間がかかることが予想されたからだ。

　「トラフィックをストップさせたいすべての場所にプローブを置かなければならない」とキャノン氏。

　そこで同社はマサチューセッツ州レキシントンのセキュリティベンダー、アーバーネットワークスに頼むことにした。トーマスワイゼルパートナーズは、インターネットを介した攻撃の広まりを阻止するためにネットワークに視覚性を与えるネットワーク監視／分析ツール「Arbor PeakFlow X」を導入した。PeakFlow Xは、フロー情報を用いて、ネットワーク上で起きている状況をネットワーク管理者が視覚的に把握できるようにするための不正侵入防御システム（IPS）だ。さらにユーザーは、内部者による悪用、フィッシング攻撃やファーミング（pharming）攻撃、ボットネット群、ゼロデイ攻撃などを阻止するために適切なセキュリティ手段を追加できる。

　「外部からの侵入を試みる動きだけでなく、内部で起こっている状況も把握できる」とキャノン氏。

　キャノン氏はPeakFlow Xを使って、ネットワークのすべての要素から情報を収集し、集積している。情報はすべて1つの中央ロケーションに置かれているため、大量のデータも確認しやすい。

　そして、トーマスワイゼルパートナーズがPeakFlow Xを導入してから数カ月の間に、キャノン氏と同氏のスタッフは幾つか興味深いトラフィックに遭遇したという。例えば、一部のデスクトップ上でピアツーピアアプリケーションが使われていたり、同社のIMポリシーに違反しているユーザーがいることなどが分かったという。同社のIMポリシーでは、プロクシ上で使う場合のみIMの利用を認めている。

　「今では、IMポリシーに違反している人を見つけるのは本当に簡単だ」と同氏。同氏はそのほかにも興味深い使用法を見つけているものの、その大半は悪質なものでないという。

　「2005年3月の事件以来、大きな問題は起きていない」とキャノン氏。この事件自体については、スパイボットワームがどのように侵入したかに関して幾つかの説がある。おそらくワームはIMかWebを介して侵入したのだろう、とキャノン氏は語っている。

　だが今では、もしインターネット接続やそのほかのネットワークアプリケーションにトラブルの兆候が現れ始めたら、同氏はその問題の原因にはるかに迅速にたどりつける。

　「何か妙な動きが起こりつつあると感じたら、ネットワークで何が起きているのかをチェックして確かめられる」とキャノン氏。またPeakFlow XはActive Directoryとも統合されているため、何か問題がある場合には、IT部門は悪性のトラフィックを発生させているユーザーを特定できる。

　全体としては、今は少しは安心していられる――。キャノン氏は「少しは」という部分を強調しながらも、こう語っている。同氏は依然としてセキュリティの問題を懸念しているが、何がシステムに侵入しつつあるのかを確認できるのはありがたいという。同氏は、2005年3月の事件は同社にとってモーニングコールの役割を果たし、教育にもなったと考えている。

　「あの事件のおかげで、セキュリティ面で多数の改良を達成できた。ただし、私は今でも、間近に迫りつつある状況を常に警戒している」とキャノン氏は語っている。