NTTコムのVPN経由でウイルス感染

2009年4月9日，NTTコミュニケーションズ（NTTコム）の「Arcstar IP-VPN」を監視するシステムがウイルスに感染していたことが明らかになった。感染範囲はNTTコムの内部にとどまらず，Arcstar IP-VPNを利用する企業のパソコンまで被害が拡大した。NTTコムのシステム運用の甘さが露呈した格好だ。

　Arcstar IP-VPNには，ユーザー企業のルーターを監視する「ルーター監視オプション・サービス」がある。ウイルスに最初に感染したのは，同サービス向けの監視端末である（図1）。

図1●「Arcstar IP-VPN」でのウイルス感染の経緯

監視端末の1台が何らかの原因でウイルスに感染し，監視端末同士を結ぶネットワークを介して拡大した。さらに，感染した監視端末からIP-VPNにつながるユーザー企業のパソコンに感染した。

[画像のクリックで拡大表示]

　NTTコムが監視端末の感染を知ったのは，2009年4月9日の午前中。Arcstar IP-VPNのユーザー企業から「NTTコム側から不正なパケットが断続的に届いている」との報告があった。この申告に基づきシステムを調査したところ，監視端末のウイルス感染が見付かった。同日13時ごろに全監視端末をネットワークから切り離し，ユーザー企業への拡大阻止を図った。

　トレンドマイクロにウイルスの検体を提出し，解析を依頼したところ，新種のウイルス「WORM_NEERIS.A」だと判明した。トレンドマイクロは，翌10日の午前2時にWORM_NEERIS.A用のパターン・ファイルを完成，NTTコムはこれを使って監視端末のウイルスを駆除した。この処理を通じて，約200台の監視端末すべてがウイルス感染していたことが明らかになった。

原因はNTTコムのずさんな管理体制

　10日午前には監視を再開。復旧後，被害を与えた恐れのあるユーザー企業に電話で経緯を説明し，電子メールでウイルス駆除方法を通知した。この対応について，あるユーザー企業は「NTTコムの過失なのに，メール一本の指示だけでユーザーにウイルス・チェックさせるのはおかしい」と憤る。

　ウイルス感染が全監視端末に及んだのは，監視端末がLANに接続されていたためである。今回のウイルスは既知のWindowsのぜい弱性を突いてネットワーク経由で感染を拡大するという特徴を持っていた。監視端末はWindowsマシンで，ウイルスが攻撃するぜい弱性「MS08-067」をふさぐパッチが適用されていなかった。この結果，全体に感染が拡大し，今回の事態に陥ったと推測される。

　さらに，監視端末とユーザー企業の間にファイアウォールなどはなく，すべてのパケットがやり取りできる状態になっていた。そのため，監視端末の感染がユーザーのネットワークにまで拡大した。ユーザー企業は「IP-VPNはセキュアな網」と考えて運用しているため，完全に盲点を突かれた格好だ。

　監視システムにウイルスが侵入した原因は不明である。「ログを精査したところ決定的な証拠は見付からなかったが，ユーザー企業のIP-VPNから感染した可能性が最も高い」（広報部）。

　今回の事故の収束後，NTTコムは監視端末への最新パッチを定期的に適用し，ウイルス対策ソフトのパターン・ファイルを常時最新にする運用に変えた。また，ユーザー網との間では，監視に必要なパケット以外は排除する設定にしている。