Trend Micro TippingPoint
不正侵入防御システム(IPS)

ワシントン大学様

実験

Zotob(ゾトブ)ワームとは?
日本時間2005年8月15日午前からアメリカ、ドイツ、ニュージーランドなどで流行が確認されているワームです。これは一般的に「ワーム」に分類されるトロイの木馬型不正プログラムです。自宅などで利用していたパソコンをLANにつなぐ前には、パッチを適用していることや感染していないこと(変な挙動をしていないこと)を確認する必要があります。社内LANに持ち込まれると、爆発的に感染を広げる恐れがあります。

米国ワシントン大の医学部では、一週間で803,000件のZotob攻撃が発生しています

課題

世界トップクラスの医療レベルで有名なワシントン大学医学部では1,000名以上の専門医が患者治療に従事しています。 ここでは病院の要である重要なアプリケーションとか、患者カルテの機密性を危険に脅かすようなワーム、ウィルスおよびスパイウェアといった攻撃から保護するような健全なネットワーク環境が必要です。

同大学医学部付属の2つの病院では、136サブネットによって20,000人のユーザをサポートしている大規模なギガビット・ネットワーク全体のセキュリティをカバーする必要があります。

1つの病棟は、450台のベッド収容のワシントン大学医療センター(国内でベスト9位にランク)で、もう1つが、413台のベッド収容のハーバビュー医療センター(ワシントン州キング郡での災害コントロールセンターとして使用)です。両センターでは、マルチベンダー機器で構築されたギガビット・ネットワークでオンラインによる患者とのリアルタイムビデオ問診、心電モニター、診断装置のような重要な医療機器をサポートしています。

2003年のMSRPCワームの攻撃後に、同大学医学部はそれぞれのサブネットにBlackICE FirewallとSnort IDSを導入しました。

しかし、これらのシステムは、色々な悪意のある攻撃に対して防御できなかったばかりか、ネットワークのどこから攻撃されたのかを追跡することもできませんでした。

そして、ワームやウイルスの感染場所を特定するのに11名のIT専門スタッフはフルに5ヶ月を要し、数十万ドルのコストがかかりました。

ここで重要なことは、これらのセキュリティソリューションでは、サイバー攻撃に対して、同大学医学部環境での脆弱性の分析とか攻撃のプロアクティブな防御がまったくできなかったということです。

ページのTOPへ

なぜTippingPoint?

2004年の夏、同大学医学部のITチームはいくつかのセキュリティソリューション製品を調査・分析し始め、数々の賞を受けているTippingPointのIPS製品が同業界においてどのようにプロアクティブな防御を提供しているのかの一連の情報を収集しました。

「TippingPoint IPS製品がプロアクティブに攻撃を阻止したという色々な事例に納得し、我々も実際にトライしてみようと決心した」とシンディー・ジェンキンズ氏、同大学医学部セキュリティ・エンジニアが話してくれました。そして、「実際にTippingPoint IPSをテスト稼動した後に、我々のニーズを満たしてくれる唯一のソリューションであることを知りました。そして、TippingPoint IPSがブロッキングする色々な脅威の状況を見て、私たちはこの製品を購入しました。」と彼は付け加えました。

ページのTOPへ

導入メリット:803,000件のZotob エクスプロイトをブロック

同大学医学部ではポータルのゲートウエイで、 TippingPoint IPSによって、現在、一週間で200万件以上の攻撃をブロックしています。たとえばワーム、ウィルス、トロイの木馬、ウェブサーバー改ざん、DoSおよびその他の悪意のあるホスト攻撃等。
同大学医学部は今までの中で最も重大な脅威に直面しました。それがZotob(ゾトブ)という世界中で猛威を 振るう最新のウイルスです。TippingPointのディジタルワクチンのおかげでリアルタイムのワクチンサービスによって同大学医学部は、Zotob侵入を阻止できました。

2005年8月9日、MS05-039 Plug & Playの 脆弱性がマイクロソフト発刊の月報で発表されました。そして、マイクロソフト社発表後、数時間内で、TippingPointはそのデジタル・ワクチンの自動 アップデートサービスによってバーチャルソフトウェア・パッチをリリースしました。このフィルタは、この脆弱性の潜在的な攻撃に 対して防御するように設計され、顧客サイトのSMS 機器に自動的に配信されました。

その発表時点では、実際の攻撃の報告はありませんでしたが、TippingPointのデジタル・ワクチン・ セキュリティ研究チームのエキスパートは、ワーム の感染を恐れ、8月9日付けで以下のプレス発表を行いました。「Windows2000上で走るPlug & Play サービスが 攻撃者によってエクスプロイトされ、脆弱なシステムが完全に攻撃者によってリモートコントロールされ ます。Windows2000はまだまだ、幅広く使用され ているので、この脆弱をターゲットとするネットワーク・ワームは広範囲に及ぶ損害を引き起こすかもしれ ません」とRohit Dhamankar氏(デジタル・ワクチン・セキュリティ調査チームのマネージャー)が警告しました。TippingPointのデジタル・ワクチン・サービスによって配信されたバーチャル・ソフトウェア・パッチは、エクスプロイトの出現に先立って脆弱のための早期防御を促進する最良のソリューションです。

脆弱が発表されたちょうど2日後の8月11日に、MS05-039のエクスプロイトコード(これがZotobワームに結びつく)が、インターネット上に投函されました。このエクスプロイトが8月13日に自動的にZotobワームになって、Plug & Playのbuffer overflowの脆弱をついて、システムのバックドアを開けて、FTPサーバーをスタートさせました。このワームは、さらにシステムの定期的なアンチウイルスアップデートを妨害しました。8月15日(月曜)の午後4時〜午後5時の間に、TippingPointソリューションは、同大学医学部で、短時間に160,000件にも及ぶZotob攻撃を阻止しました。そして、TippingPoint IPSは全体のネットワークに感染させずに、合計803,000のZotob攻撃を防御しました。1つのセキュリティ・フィルタで、TippingPointはオリジナルのZotobワーム、その後の変形、および他のワームファミリー(IRBot,EsBot,Bobax)をもブロックしました。Zotobは、現在B,D,Eとかの10以上の変形版があります。

これは、多くの企業に感染を増大させる可能性を秘めています。「我々のセキュリティチームは試みとしてネットワーク上に無防備のウインドウズボックスを置いたところ、8秒で感染しました。」と同大学医学部セキュリティエンジニアのJenkins氏は語りました。そして、さらに彼は「このボット・ワームは、ネットワーク上の近隣デバイスを攻撃するので、もし803,000件の攻撃のうち100件でもシステムに入り込んでいれば、感染率は悲惨な数字になるでしょう。我々のネットワークの半分以上が直ちに感染したかもしれない。そしてこれによって我々の病院あるいは患者の治療がシャット・ダウンしたかもしれません。TippingPointのIPSによって防御されたことはすばらしいことです。去年からずっと、TippingPoint IPSは、サーバーの脅威から継続的に我々を守ってくれています。しかも、ネットワークのパフォーマンスの改善とリスクを最小限にして。」と説明を付け加えてくれました。

ページのトップへ

お問い合わせ
  • お問い合わせフォーム
  • 資料請求フォーム
Trend Micro TippingPoint 不正侵入防御システム(IPS)に関するお問い合わせ
Tel:03-3237-3291

ページのトップへ