I Love You
不定期コラム Vol.24
2000/05/09
2000/05/13 補足
PCセットアップ三昧の楽しい連休後半になる予定でしたが、
相当報道されたように"I Love You"メール騒動で予定を急遽
切り替えて、迎撃体制の方にパワーを振り向けました。
連休前半の作業でメールサーバー上でウイルス防御を行うア
ンチウイルスソフトを機能が古いSymantec社 NAV Internet Email
Gateways(NT版)から、ネットワークアソシイエツ(NAI)社のWeb
Scanに切り替えたところだったので、基本的にはワクチンパ
ターンの更新で防御はできると考えました。個人的にはアンチ
ウイルスソフトはSymantecをひいきにしていますが、前述の
Gateway用ソフトではUNIX版は更新されていますが、NT版は一
向に変わらないので、LHAの32bit版にどうも対応していない
ような、といった感じで不安でしたので切り替えしました。
この手の製品ではトレンドマイクロも有名ですが、クライアン
ト用のウイルスバスターで痛い目にあったので避けました。
ワクチンパターンは短期間に立て続けに更新されており、メー
ルサーバー上で5/2に最初に入れた版は5/7深夜には既に更新
されており、I Love Youの亜種に対応した緊急用の特別版も
含めて更新作業をしました。しばらく各ワクチンメーカーの
パターン更新をチェックしないといけません。
クライアントPCの迎撃体制
今回のようなマスコミで大規模に報道されるウイルス騒ぎは
メリッサ以来久しぶりです。そこで、クライアント用の話をします。
過去のメリッサの時はNAIのVirusScanのバージョンを3.xから
4.xに更新しました。その後、NAIからSymantecのAntiVirusに
製品を切り替えました。これは製品に不満があったのではなく
て、NAIの代理店の担当営業の姿勢に不満があったからです。
またSymanecの方がデータの自動アップデート、自動スキャン
の設定が判りやすかったという点もあります。トレンドマイ
クロは前述した通り、眼中にありませんでした。昨年末に流
行ったHappy99はこれで対処しました。
今回I Love You対策としてクライアントマシンの自動データ
アップデート機能と自動スキャンが動いているかの調査を
兼ねて100台のクライアントPCのチェックを行いました。
結果はあまり芳しくないものでした。
WIN95クライアントの場合
スタートアップにNortonスケジューラーが常駐する仕組みに
なっています。導入時のデフォルトの設定は週一回アップデー
トとスキャンを行うようになっています。問題は休みといった
場合に実行されなかったイベントを即実行するか、消すか、保
持するかを聞いてくるようにしていた事です。その結果、ユー
ザーがイベントを実行、あるいは保持しない場合にスケジュー
ルが消されてしまいます。これは調査に合わせて、デフォルト
で未実行イベントを実行するようにしました。しかし、この設
定の解除についてはパスワードが設定できないため、100%の動
作は信頼できません。ユーザーの中には常時監視機能のオート
プロテクト機能をオフにしていた者も過去にいたので、設定変
更に関する項目にはパスワードをかけました。これにより、例
えスケジューラーの設定が飛んでも、最悪、今回までのワクチ
ンパターンによる常時監視ができることになります。日々生ま
れる新種のウイルスを考えると役立たずですが、次々善の策と
いったところです。
WIN98クライアントの場合
標準ではタスクスケジューラーが常駐します。そのためNorton
AntiVirusは独自のスケジューラーではなく、タスクスケジュー
ラーの方でアップデートやスキャンといったイベントを行いま
す。問題は、ちょっと設定が判る人間が、少しでもメモリを確
保しようとタスクスケジューラーの常駐解除を行っていた事で
す。私もWIN95にPlusのパッケージを導入するとタスクが常駐
していたようですが、私もこれはさっさと削除していました。
個々人の自分の環境を改善しようとする行動が、全体的に見た
ら危険度を増すというのは皮肉なものです。このタスクスケジ
ューラーも標準ではパスワード等は仕掛けられません。今回は
警告文を外したユーザーに残すことで対処しました。WIN98でも
クライアントを100%は信用できません。
サーバー版の評価
サーバーには最初NAIのNetShieldを導入していました。しかし昨
年の夏にサーバーを大型化した頃から原因不明で常時監視が解
けてしまうエラーが発生するので、SymantecのAntiVirusに切り替
えた経緯があります。今回メールサーバー用の製品を切り替えた
のに伴いもらった試供版をテストすると言うことで各サーバーの
製品をSIベンダーがSymantecからNAIの製品に代えました。で、
2日たって、今朝サーバーがこけていたので見ると、そのアンチウ
イルスソフトの自動アップデートのプログラムがメモリ関係のエラー
を表示してサーバーが止まっていたようです。即刻アンインストー
ルしてSymantecに戻しました。小規模のサーバーでは問題無く動
いているので、RAIDやらで各種アダプターを組み込んだマシンでの
動作チェックが甘いのでは、と勘ぐっています。今朝止まった症状
がアンチウイルスを換えても再発するようだとNAIは無実かもしれま
せんが、まだ判りません。結果が明確に出れば今後どっかで触れる
とは思いますが、現時点ではやっぱり、という感じです。SIベンダー
はバックアップ用ソフトの相性とか、バックアップが動作しているのと
かちあったせいとかあるかも、と言ってます。ただ、Symantecで問題
なく動いていれば、あえて代える必要はありません。
(最下段に追加情報あり)
対策結果と今後の課題
昨日は夜の25時まで作業をし、朝7時には来ていた関係で実質
2時間しか寝ていなかったので、午後は早退して13:00から22:00
まで寝ていました。おかけでまた夜寝れなくなるという悪循環
です。時差ぼけと一緒でなかなか普通のスケジュールに戻すの
は大変です。で、現在の時点で1/4しかクライアントの設定の
確認は終わっていません。残りのマシンについては自動アップ
デート機能がどの程度有効か、にかかっています。確率的には
80%程度でしょうか。後はVBSという拡張子を開くな、という
文章を回覧に回したことによる効果、マスコミの報道により
効果を期待するしかありません。メールサーバーに対して来る
メールに関しては関門で新種以外は防御できると思いますが、
問題は添付ファイルが送付できるフリーメールといったWEBメー
ル系です。一人のミスがその部署の共有ドライブのデータ消失
を招く重大な状況になっている事の啓蒙も必要です。やられな
いと身につかないとはいえ、被害が甚大です。むろん、そうい
う状態に備えてテープによるバックアップはデイリーで行って
いますが、復旧には時間が必要になります。現在の台数では一
人でメンテナンスするには限界に来ています。即時対応は困難
です。各部署に管理要員を指名するといった管理体制の構築も
必要です。
課題は残っていますが、とりあえず今回の騒動は峠を超えた観
があります。一つは、日本がたまたま連休中で時間の余裕が
あったこと、もう一つは海外発のメールなので、件名が英語
だったので警戒心を起こし易いというのが理由でしょう。
まぁ、どうせ同様の騒ぎは起きるのでしょうから、コンピュー
タウイルスに対しては常時警戒しておく必要があります。
クライアントを信用できないのを前提とした管理体制の構築、
ユーザーへの啓蒙、継続的な予算の獲得、と課題は山積みです。
最新版のソフトで動かなくなる既存ソフトが出ているという
問題等、あっちを立てればこちらが立たず、といった面もあり
なかなか大変です。今後、ユーザーが解除できないエージェン
トを常駐させて管理サーバー側から定期スキャンをかけるよう
な仕組みを模索しているところです。WindowsNT,W2Kを使えば
簡単なのでしょうが、WIN9xでやるというポリシーを維持しつ
つ、どこまでできるか、ですね。あんまりいじくるパワーユー
ザーにはパソコンを取り上げてWindwows Based Terminal系に
代えることも検討課題です。初心者に簡易端末を、というのと
逆の思考になりますが。PII-400+128MBのPCがやけに遅いの
で、よくよく調べてみると勝手にIE5.5が入っていて、メモリー不
足のせいなのか、AntiVirusも導入できないときています。海外
関係の部署なのにどうしましょう。やれやれ。
ZDNN I Love Youの脅威,日本でも……
http://www.zdnet.co.jp/news/0005/06/love1.html
大手ウイルス対策ソフト・ベンダーのURL
日本ネットワークアソシエイツ http://www.nai.com/japan/
シマンテック http://www.symantec.com/region/jp/index.html
トレンドマイクロ http://www.trendmicro.co.jp/
(下記は5/13に追加した情報です)
PS.先日のVol.24 I Love Youで書いたサーバーダウンの原因はとりあえずNAIの
アンチウイルスソフトではなさそうなので、ここに謹んで訂正します。オートアップデ
ートプログラムが不調だったのは事実ですが、DHCPサーバーが機能しないのは
バックアップソフトがらみのようです。イベントビュワーにも記録が残らないため詳細
は調査中です。NAIが関係無いのはSymatecの製品に代えてもハングアップが起き
たためです。でもオートアップデートが動かないのは失格なので元には戻しません。