製造業では、生産ラインへの感染例もあり

ダウンアドが院内感染！オフライン端末の被害事例とは？

2010年11月01日 09時00分更新

文● 高作典行／トレンドマイクロ
グローバルマーケティング統括本部事業開発部
プロダクト&サービスマネジメント課　担当課長代理　プロダクトマネージャー

第21回見てきたように、オフライン端末に対するセキュリティ対策は十分ではなく、メーカーの製品にウイルスが混入するなどの事件が継続して発生している。今回は、製造業と病院で生じた、実際の被害事例について見ていこう。

インターネット接続のない生産ラインへウイルス感染

　まず、製造業での被害事例を紹介する。この企業では、製造ラインの端末数百台がウイルスに感染し、再起動を起こすなどの事象が発生した。端末の動作が不安定になったことから担当者が感染に気づき、調査したところ、端末数百台への「ダウンアド（WORM_DOWNAD）」感染が確認された。

図1　被害事例のネットワーク構成

　台数が多かったことや、修復時に再感染が発生したことなどもあり、復旧まで2～3カ月程度要することになった。被害にあった端末は、メーカーのサポートの制限からWindowsの修正パッチが適用されておらず、またウイルス対策も行なわれていない状況だった。侵入の経緯は、外部業者の持ち込みPC経由であることが確認された。そのあと、OSの脆弱性を利用し、クローズドネットワーク配下のほかの端末にも感染が拡大したのだ。

　本事例の特徴として、以下3点が挙げられる。

製造ラインの端末は、24時間365日止めることができなかった
復旧作業中に、ダウンアドの再感染が見られたこと
脆弱性に対する修正パッチを適用していなかったこと

　1の24時間365日止めることができないという点は、被害に合ったメーカーに限らず、製造ラインで利用されている端末に共通して求められる点だろう。製造ラインに影響するため、再起動もなるべく避けたい。

　2のダウンアド再感染は、脆弱性に対する修正パッチを適用していなかったこと、クローズドネットワーク配下にあったことが原因だ。たとえばWindows XP端末のウイルスを駆除しても、他の感染端末から脆弱性を突いた攻撃を受けるため、一度ウイルスを駆除した端末が再感染するといった事象が見られた。

　3は、製造ラインの端末に見られる問題だ。OSの修正パッチを適用することでメーカーの動作保障外となる問題があるため、修正パッチは適用されてこなかった。そのため、脆弱性を利用して感染活動をするUSBウイルスの活動を許してしまった。また、端末を止めることができない点とも関連するが、修正パッチをインストールすると端末の再起動が必要となることも、修正パッチの適用がされていない理由の1つであろう。

医局のシステムからUSB経由で医療棟へ感染拡大

　次に病院での被害事例を紹介する。ここで被害にあった病院では、医療事務部門と院内薬局の端末でクローズドネットワークが構築され、インターネットへの接続はされていなかった。

図2　病院での被害事例

　しかし、医療事務システムの動作が遅くなり作業に支障をきたすようになったこと、システムサーバーのエラーが発生したことから、担当者がウイルス検索を行ないウイルス感染が判明した。ウイルス駆除と復旧のために3日間の徹夜作業が行なわれたが、その間は医療事務システムが使用できないため、会計窓口で、手作業で計算することになった。この間、患者の支払いにも影響することになった。

　ウイルス感染の原因は、医療事務データを外部に持ち出す際に使用したUSBメモリであることが後日判明した。なお、データの外部持ち出し自体が、院内規約違反であった。

　製造ラインの端末と同様に、院内のシステムサーバーも、24時間365日稼働し続けなければならないという制限があった。そのため、OSアップデート時の再起動や適応テストのためのシステム停止が難しい。セキュリティソフトは使用していたが、手動でパターンファイルをクローズドネットワーク配下の端末にコピーしていたため、最新パターンでの対応が難しい状態だった。

　以上2つの被害事例から、オフライン端末特有の課題が浮かび上がってくる。加えて、各企業の取り組み状況が、さまざまであることも伺い知ることができよう。製造業の例では、インストールの制限からウイルス対策ソフトがインストールされていなかった。一方、病院の例では、ウイルス対策ソフトがインストールされている状況であった。

　次回は、企業のオフライン端末に対するセキュリティ対策状況を詳しく見ていこう。

ツイートする

カテゴリートップへ