エンタープライズ:ニュース 2003/08/20 05:44:00 更新


感染を広める新ワーム「Nachi」、日本語版Windowsでは脆弱性はそのまま放置

8月18日に登場した新種のワーム「Nachi」。当初「パッチを適用してくれる」と表現したこのワームだが、日本語版Windowsではパッチはインストールされず、感染は広まるばかりのようだ。

 Windows RPCのセキュリティホールを悪用する新たなワーム「Nachi」(ウイルス対策ベンダーによっては「Welchia」と称されている)は、警告が出された8月18日以降、引き続き感染を広めている。

 Nachiは、先週登場したMSBlastとは別のワームで、Windows 2000とXPに感染する。8月18日午後から急増し、19日には各ウイルス対策ベンダーのほか、警察庁経済産業省情報処理振興事業協会セキュリティセンター(IPA/ISEC)などが警告を発し、警戒を呼びかけている。

 Nachiは、RPC DCOMのセキュリティホール(MS03-026)を利用し、TCP 135番ポート経由で感染を試みる。同時にWindows 2000のコンポーネントに存在したセキュリティホール(MS03-007)を悪用し、TCP 80番ポートを用いるWebDAVサービス経由でも増殖しようとする。しかも、次なるターゲットを探し出すためのスキャン範囲を決定するロジックはMSBlastに比べ洗練されたものになっており、感染力は高い。この結果、郵政公社をはじめ多くの組織で感染が広がっているという。

 Nachiの特徴の1つに、まず一定範囲のIPアドレスにpingを投げ、応答のあったものに攻撃を仕掛けることが挙げられるが、この余波でネットワーク上を流れるICMP echoパケットの量が急増している。また、MS03-007を悪用して感染を広めようとする活動を示すものか、HTTPリクエストの増加も見られるという。この結果、ルータの性能や設定によってはネットワークの性能に影響が及んでしまい、業務に支障を来たすケースもあったということだ。

日本語版パッチの適用は「ない」

 このように広範に影響を及ぼしているNachiだが、インターネット セキュリティ システムズの分析や、その他ウイルス対策ベンダーの情報によると、本体にはウイルスやDDoS用のペイロードは含まれていない。つまり、悪意ある攻撃のためのコードは含まれていない模様だ。

 しかも既に報じたとおり、Nachiは感染後、ターゲットPC上でMSBlastが動作しているかをチェックし、感染している場合はプロセスを停止させる。そして、レジストリキーの削除までは行わないまでも、「MSBLAST.EXE」本体ファイルの削除を試みる。さらにユニークなのは、マイクロソフトのサイトにアクセスし、MSBlastとNachi自身が悪用しているMS03-026の修正用パッチをダウンロードしようとする点だ。

 しかし、NachiがアクセスしようとするURLは英語版と中国語版、韓国語版のパッチのみで、日本語版のものはない。したがって、日本語版Windows 2000/XPを利用している場合、Nachiに感染したうえに肝心のセキュリティホールは放置されたまま、という状態に置かれることになる(その意味で、当初の記事で、「パッチを当てる」という誤解を招く表現を用いていたことをお詫びします)。しかも、もう1つの感染源であるMS03-007のパッチも適用されるわけではなく、次々と感染が広まることになる。この点が、日本国内におけるNachi蔓延が目立って多い理由の1つと考えられる。

深く潜行する可能性も

 たとえ別のワームを停止させ、パッチの適用を試みるといっても、Nachiそのものもれっきとしたワームである。しかも、大量のICMPおよびHTTPパケットを作り出し、LANおよびインターネット接続に影響を及ぼしていることも事実だ。

 したがって、最新のウイルス定義ファイルを用いたNachi本体の検出と一連のパッチ適用といった対策が早急に求められるだろう。19日に入ってからは、ウイルス対策ベンダーがNachi削除用のツールを提供しており、これらを活用することもできる。一時的な対処策として、PCの時計を進めて2004年1月1日以降にしてもNachiは消滅するが、その後、きちんとパッチを適用しない限り、再度感染する可能性は高い。逆に言えば、このワームもMSBlast同様、少なくとも公開済みのパッチを適用していれば感染を防ぐことができる。

 なおNachiの蔓延に関連して、インターネット セキュリティ システムズは興味深い指摘をしている。つまり、先週一気に広まったMSBlastの大半がNachiに置き換わった可能性が高く、マイクロソフトによるWindows Updateのアドレス変更をはじめとするMSBlast対策が効果を持たない可能性が高いという。

 また、これは日本語版Windowsでは当てはまらないが、NachiがMSBlastに入れ替わり、かつMS03-026のパッチを適用することにより、実際に被害を受けたマシンが見つかりにくくなるおそれがあるという。既に公開済みの、MS03-026のセキュリティホールを残したままの端末を検査するスキャナでは検出されなくなる上、NachiのCPU負荷も低いため、「静かに、深く潜行する可能性がある」(同社IT企画室室長の高橋正和氏)。

関連記事
▼特集:Windowsを危険にさらすRPCのセキュリティホール

関連リンク
▼IPA/ISEC:新種「W32/Welchi」ワームに関する情報
▼インターネット セキュリティ システムズ:MSRPC DCOM ワーム「MS Blast」の蔓延
▼日本ネットワークアソシエイツ:W32/Nachi.worm
▼シマンテック:W32.Welchia.Worm
▼トレンドマイクロ:WORM_MSBLAST.D
▼アンラボ:Win32/Welchia.worm
▼日本エフセキュア:Welchi

[高橋睦美,ITmedia]