| エンタープライズ:ニュース | 2003/08/26 03:40:00 更新 |
MSBlast、Nachiに続く第3のワームが登場
新たに登場したワーム「Gaobot」は、MSBlast同様にMS03-026のセキュリティホールを悪用するほか、IRCなどを通じて感染を広めようとする。
国内外を問わず幅広く感染し、システムに大きな影響を及ぼした「MSBlast」や、未だ衰えぬ勢いでICMPパケットを吐き出している「Nachi」に続き、またもや、Windows RPCの脆弱性を悪用するワームが登場した。マイクロソフトは8月25日、新種のワーム「Gaobot」(ウイルス対策ソフトベンダーによっては「Agobot」とも証している)の発見を受け、ユーザーに警告を呼びかけている。
このワームは、MSBlastと同様にWindowsに存在するRPC DCOMインタフェースの脆弱性(MS03-026)を悪用するだけでなく、今年1月に公開されたWindows Locatorサービスの脆弱性(MS03-001)を突いても侵入を試みる。さらに、ファイル共有を通じても自身を広めようとするという。したがってMSBlastやNachiと同じように、Windows NT 4.0や2000、Windows XP、Windows Server 2003と、広範なプラットフォームが影響を受けるおそれがある。
Gaobotはひとたび感染に成功すると、ターゲットPCのシステムフォルダ内に「Svchosl.exe」と「Winhl32.exe」という名前で自分自身をコピーする。その後、TCPポートをランダムに選んで特定のホストにアクセスし、独自のIRCクライアントを用いて、攻撃者からのコマンド送信を待ち受ける仕組みだ。
一連の試みが成功すると、Gaobotが開いたIRCチャネルを通じてバックドアプログラムのダウンロードや実行が可能となるほか、侵入用アカウントの追加、感染先PCの情報の盗用、さらには他のIRCユーザーに向けたワームの送信など、さまざまな不正アクセス行為が行われるおそれがある。
Gaobotは複数のセキュリティホールを悪用するだけでなく、IRCクライアントも併用すること、「Guest」や「Administrator」「Test」といった安易なアカウントと「password」などのやはりありがちなパスワードを試して共有ネットワークへの侵入を試みることなどから、単なるワームというよりも、いわゆる「複合型の脅威」に分類できるだろう。トレンドマイクロによると、Gaobotの全世界での感染報告数は8月25日で132件となっており、MSBlastやNachi、Sobig.Fなどに比べるとずっと少ないが、今後の推移には注意を払いたい。
Gaobotへの対処だが、まずは、MS03-026およびMS03-001の問題を修正するパッチの適用が上げられる。なおMS03-001の問題が存在するLocaterサービスだが、マイクロソフトによるとこのサービスは、ドメインコントローラやExchange Serverがインストールされている環境で動作しているほか、アプリケーションによっても動作しているケースがあるため、確認しておくのが望ましい。いずれにしてもパッチを適用しないことには、根本的な対策とはならないはずだ。ただ、特にドメインコントローラやサーバとして利用している場合には、パッチを適用することによってかえって動作が不安定になるというリスクを考慮する必要もあるため、頭の痛い問題ではある。
合わせて、ウイルス対策ソフトウェアベンダー各社が公開した、Gaobotに対応した最新のウイルス定義ファイルを適用する。これにより、水際でワームの侵入を防ぐことができるだろう。
さらに、GaobotはTCP 135番ポートを通じてMS03-026の脆弱性を、またTCP 445番ポートを通じてMS03-001の脆弱性を悪用しようとする。また、バックドアプログラムのダウンロード待ち受け用にTCP 22226番ポートも利用する。企業ファイアウォールおよびパーソナルファイアウォールの設定を見直し、これらポートを塞ぐことによって、二次感染を防ぐことが可能だ。また、これもMSBlastのときと同様、感染済みのノートパソコンなどの持ち込みによる被害発生・拡大にも留意したい。
関連記事
特集:Windowsを危険にさらすRPCのセキュリティホールWindowsのLocatorサービスに深刻度「緊急」の脆弱性関連リンク
マイクロソフト:Blaster に関する情報マイクロソフト:MS03-001に関する情報シマンテック:W32.HLLW.Gaobot.AAトレンドマイクロ:WORM_AGOBOT.P日本ネットワークアソシエイツ:W32/Gaobot.worm.ySophos:W32/Agobot-Q[高橋睦美,ITmedia]
