|
[ 66] 新種ワームはBlasterよりも悪質,気が付きにくい上にネットワークを“まひ”させる:ITpro
[引用サイト] http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20030820/2/
8月18日以降,各組織やベンダーが警告を呼びかけている新種ワーム「Welchi(Welchia,Nachi,MSBLAST.D)」の詳細が明らかになりつつある(関連記事)。新種ワームは,「Blasterと異なり,感染したマシンを不安定にしないために,ユーザーは気が付きにくい」「感染対象マシンを探すために送出するICMPパケットにより,ネットワークがまひする恐れがある」「感染するために起動したバックドア(リモート・シェル)をそのままにする(Blasterの場合には,感染後終了させる)」――などの特徴を持つため,Blasterよりも悪質である。
Blasterにたまたま感染しなかった未対策のマシンが,新種ワームに感染している可能性はある。しかし,ラックの JSOC事業本部 取締役本部長の西本逸郎氏によると「Blasterから新種に“置き換わっている”場合が多いようだ」という。新種ワームは,Blasterに感染しているマシンに感染すると,現在動いているBlasterのプロセスを終了し,Blasterのファイルを削除する。Blasterの代わりに,新種ワームが動き出すことになる。
複数のセキュリティ・ベンダーに話を聞いたところ,Blasterは,感染する際に感染対象マシンを不安定にするだけではなく,感染した後も不安定にする場合があるという。これに対して,「新種ワームは,感染したマシンを不安定にすることなく動作する」(ラック 西本氏)。Blasterの場合には,再起動を繰り返すといった“現象”が現れるので,ユーザーは感染に気付くが,新種ワームの場合には,ユーザーが知らないうちに感染し,他のマシンへの感染活動を続けている可能性がある。
西本氏によると,「マシンが再起動を繰り返していたが,ネットワークに接続していたら,いつの間にか直った」という現象が見られたら,Blasterに取って代わって,新種ワームが感染している可能性が高いという。もし身の回りでこのようなことを言っているユーザーがいたら,ぜひアドバイスしてあげてほしい。
新種ワームは,これから感染しようとするマシンが稼働しているかどうかを調べるためにpingを実行する(ICMP echoリクエストを送信する)。これによって発生するトラフィックによって,社内ネットワークが“まひ”する可能性がある。実際,「新種ワームによるトラフィックにより,ネットワークを利用できないといった報告を聞いている」(トレンドマイクロ トレンドラボ・ジャパン アンチ・ウイルスセンター ウイルスエキスパート 岡本勝之氏)。
新種ワームは,現在感染しているマシンのIPアドレスの“近傍”へ,まず感染を広げようとする(同様の性質はBlasterも持つ)。このため,感染マシンが1台社内ネットワークに持ち込まれると,瞬く間に感染を広げ,ICMPパケットによってネットワークがまひ――といったシナリオが十分考えられる。
「1台でも感染マシンが見つかったら,ルーターなどでそのサブネットを“隔離”して,他のサブネットに影響を及ぼさないようにしてから“犯人”探しを始めたほうがよい」(ラック 西本氏)
さらに新種ワームは,感染時に使用したバックドア(リモート・シェル)をそのままにする(Blasterの場合には,感染が終了すると,バックドアを終了する)。これを悪用すれば,ワームとは無関係の攻撃者が,そのマシンに侵入することが可能になる。トレンドマイクロによれば,バックドアが待ち受けるポートはランダムに決定される。666番から765番のいずれかになるという。
新種ワームは,Blasterが悪用するセキュリティ・ホール「MS03-026」に加え,3月18日に公開されたセキュリティ・ホール「MS03-007」も悪用する。「MS03-007」はWindows 2000/NT/XP が影響を受けるセキュリティ・ホールで,Internet Information Server/Services(IIS)のセキュリティ・ホールではない。しかし,新種ワームはTCP ポート80番へ攻撃を仕掛けるので,IISを稼働していなければ,「MS03-007」を悪用して感染させられることはない(もちろん,IISを稼働していなくても,「MS03-026」を悪用した感染攻撃は受ける)。
しかし,ラックによると,日本語環境においては「MS03-007」を悪用した感染は確認していないという(英語環境では確認している)。同社の検証でも感染しないし,感染を観測もしていない。現時点では解析中としながらも,「日本語環境においては『MS03-007』を悪用した感染はうまくいかないというのが,現時点での見解である」(ラック 西本氏)。
とはいえ,全く安心はできない。当初は,「Blasterを“退治”するワーム」という見方もあった新種ワームだが,以上のように,Blasterよりも悪質である。しかも,新種ワームは日本語版の「MS03-026」はパッチをダウンロードしない。英語環境などでは,新種ワームは現在動いているBlasterのプロセスを終了し,Blasterのファイルを削除するとともに,「MS03-026」のパッチをダウンロードして適用するものの,日本語環境では「MS03-026」のセキュリティ・ホールをふさがない。
「“正義の味方”に見せかけているが,実は危険なワームだ。一刻も早く対策を施す必要がある」(ラック 西本氏)
新種ワームに感染すると,Blaster同様,ネットワークに接続している限り,感染被害を拡大してしまう。しかも,Blasterとは異なり,ユーザーは感染に気が付かない可能性が高い。少しでも不安を感じるユーザー,対策を施している自信がないユーザーは,ネットワークから切り離して,システム管理者などに指示を仰ぎたい。
個人ユーザーで,かつ,安全と確信できるマシンがほかにない場合には,オフラインで情報を入手して対処する。マイクロソフトが用意する電話相談窓口「セキュリティ情報センター」が有用だ。電話番号は「0120-69-0196」。8月20日13時以降,24時間体制で相談を受け付けている(8月25日からは通常の体制に戻す予定)。
アンチウイルス・ベンダー各社も対応する。ウイルス対策ソフトのユーザーは,マニュアルに記載されているサポート・デスクに問い合わせれば対応してくれるはずだ。
また,マイクロソフトはトレンドマイクロとラック,およびセキュリティ・ベンダーと協力して,Blasterやその変種および新種ワームを駆除するためのツールと,必要なパッチを含んだCD-ROMを無償で提供する予定である。提供方法や申し込み方法については現在検討中。提供開始は今週末を予定している。それまで待てるユーザーは,このCD-ROMを入手して対策を施すのが確実だ。
◆Windowsのセキュリティ上の弱点を利用するワーム 『Blasterワーム』に関する対策情報に関するお知らせ(続報3)
■新種ワームが感染を拡大中,「Blaster」と異なるセキュリティ・ホールも悪用 (2003/08/20)
■Blasterを回避しただけでは安心できない,“超特大”ホールに関する情報の継続的なチェックが必要 (2003/08/20)
■Blasterの“持ち込み”を許すな,システム管理者は就業前に全ユーザーに告知を (2003/08/16)
日立製作所 ソフトウェア事業部 販売企画センタ ジョブ管理の安定稼働を支え,オンデマンド化への要求にも柔軟に応える「JP1」
日立製作所 ソフトウェア事業部 販売企画センタ 日立の統合システム運用管理「JP1」〜NTT西日本・NTTネオメイト事例
リコー お客様相談センター 「imagio MPシリーズ」と「JP1/秘文」の連携で紙文書のセキュリティを強化
ITpro協力誌 日経コンピュータ 日経コミュニケーション 日経SYSTEMS 日経情報ストラテジー 日経NETWORK 日経ソリューションビジネス 日経ソフトウエア 日経Linux 日経ニューメディア 日経BPガバメントテクノロジー 日経パソコン
IT経営 システム開発 プロマネ&アーキテクト ネットワーク最新テクノロジー 業績&業界動向 セキュリティ Windows オープンソース
製品&サービス・ディレクトリ 業務アプリケーション 設計開発 OS/DB/ミドルウエア サーバー/ストレージ 運用管理 ネットワーク セキュリティ SIサービス 通信サービス クライアント/OA機器
|
