| エンタープライズ:ニュース | 2003/03/12 16:37:00 更新 |
警戒すべきは「Deloder」のみにあらず――CERT/CCが警告
米CERT/CCは米国時間の3月11日、Windows 2000/XPの「Administrator」権限やSMBファイル共有をターゲットとした攻撃行動がこの数週間で大幅に増加しているとして、DeloderワームやIRCを利用した「ボット」への警戒を呼びかけるアドバイザリを公開した。
米CERT/CCは米国時間の3月11日、Windows 2000/XPの「Administrator」権限やSMBファイル共有をターゲットとした攻撃行動がこの数週間で大幅に増加しているとして、アドバイザリを公開した。
既報のとおり、Windows 2000/XPをターゲットとした「Deloder」ワームについては、国内ウイルス対策ソフトベンダー各社が警告済みだ。このワームはホストに対し、TCP/445ポート経由で、Administorator権限でのリモートログインを試みる。
ここでDeloderが利用するのは、安易な、しかしおそらく多くのシステムで利用されているであろう、ごく簡単な組み合わせのパスワードリストだ。そのリストの中には、パスワード「なし」も含まれているところが興味深い。もし感染に成功すると、Deloderはシステム内に自身のコピーを作成するほか、レジストリの改変を行ったり、バックドアツールやリモートコントロールツール「PsExec」を仕掛けたりと、さまざまな活動を行う。
ところがCERT/CCの報告によると、こうした攻撃行動は、Deloderだけが仕掛けるものとは限らない。IRC経由のリモートコントロールツールで、DDoS用ゾンビを仕掛ける道具ともなる「GT-bot」「sdbot」や、Deloderとは別のワーム「W32/Slackor」などにも注意が必要だ。
CERT/CCが各所から受けたレポートによると、一連の攻撃行動は幅広い。Deloderでも警告されたTCP/445へのスキャンと、パスワードリストを用いた、Administoratorアカウントでのリモートログインの試行だけでなく、攻撃者からの指示待ちのためのIRCサーバへの接続やDDoSゾンビツールのインストールなどが報告されているという。
CERT/CCによると、一連の攻撃行動に関連したスキャンは、特にブロードバンド接続を利用している家庭ユーザーのIPアドレスに集中しているという。潜在的なDDoS攻撃網が形成されつつある可能性も否定できない。
対処策だが、クライアント側では、ウイルス対策ツールやバックドア検出ツールを用いて、自身に何らかのワームが仕掛けられていないかを確認する。パーソナルファイアウォールを用い、IRCなどを用いて、勝手に外部への接続が試みられることのないよう、監視することも1つの手だ。またWindows 2000/XPベースのサーバを運用している場合、よほどのことがない限り、外部とのファイル共有は不要と考えられるため、ルータもしくはファイアウォールでTCP/445をブロックする。
そして、あらゆるシステムにいえることだが、今回の事件を機にパスワードの設定を見直し、一定の長さと強度(推測されにくさ、ランダムさ)を備えたものに更新すべきだ。たまたま、Deloderのパスワードリストには載っていないパスワードを利用していたとしても、安心することはできない。世の中には辞書総当り攻撃を仕掛けるツールもあり、これを用いれば相当の割合でパスワードは破られてしまう。
なおTCP/445は、Windows 2000/XPの「ダイレクト・ホスティングSMBサービス(Direct Hosting SMB Service)」で利用されるポートだ。Windows NTやWindows 95/98などでは、TCP/137〜139ポートを用いてNetBIOS over TCP/IPが動作し、その上でSMBが実現されていたが、Windows 2000/XPでは、TCP/445上でダイレクト・ホスティングSMBが動作するという組み合わせに変更されている。数年前には、ファイアウォールで閉じられないままになっているTCP/137〜139、つまりWindowsファイル共有を狙った攻撃やワームが目立っていたことを考えると、今年になってTCP/445を狙うワームが登場してきたのも不思議ではない。
関連記事
Deloderワーム増殖、安易なパスワードが原因バックドアを仕掛ける「Delode」ワーム、国内でも被害関連リンク
CERT/CC[高橋睦美,ITmedia]
