ニュース
2004/01/09 19:31:00 更新
Nachi、鎮静化――脆弱性放置PCの多さも明らかに
2004年の年明けとともに、Nachi(Welchia)ワームの活動が沈静化に向かっていることが明らかになった。センサーの実装による興味深い観測結果も。
2003年の夏とは異なり、2004年の年明けは静かに過ぎたようだ。そして、この年越しとともに、Nachi(Welchia)ワームの活動が沈静化に向かっていることが、いくつかの観測結果から明らかになっている。
警察庁(@Police)が1月6日に、そしてJPCERT/CCのインターネット定点観測システム「Internet Scan Data Acquisition System(ISDAS)」が1月7日に公開した報告によると、Nachiが生成していると思しきICMPパケットの検出件数は、1月1日以降明らかに減少している。
Nachiは、その直前に登場したMSBlast(Blaster)同様、WindowsのRPCに存在したセキュリティホール(MS03-026)を悪用して広がるワームだ。その前段階として一定範囲のIPアドレスにpingを投げ、応答のあったものに対して攻撃を仕掛けるロジックになっている。このため、ネットワーク上のICMPパケットの流量は、Nachiの活動状況を示す指標と見なすことができる(2003年8月の記事参照)。
複数のウイルス対策ベンダーではNachiを解析した結果、このワームは2004年1月1日に活動を停止し、自身を削除する仕組みになっているとしていた。ICMPパケットの減少により、その予測が証明されたことになる。
@PoliceとJPCERT/CCの観測結果からは、興味深い事柄も浮かび上がった。いずれの観測においてもICMPパケットの量は減少している。しかしTCP/135に対するアクセスとなると@Policeでは「微増」。これに対しJPCERT/CCでは、TCP/135へのスキャンは「減少」となっているのだ。
JPCERT/CCによるとこれは、各システムの「ICMPに対する挙動の違い」が原因という。ISDASのセンサーはICMPに応答する仕様を取っているのに対し、警察庁のものは応答しない実装になっているという。
Nachiはターゲットに対し、まずICMP Requestを投げかけ、応答があったものに対し今度はTCP/135番ポート経由で感染を試みる仕組みを取っている。ISDASのセンサーはICMP Requestに応答する実装となっていたがゆえに、Nachiの次の感染ステップ――TCP/135へのスキャン――も観測していた。そして、Nachiの活動収束とともに、TCP/135へのスキャンの大幅な減少が見られたというわけだ。一方@Police側のセンサーでは、Nachiの活動収束はTCP/135番ポートのスキャン数に影響を及ぼさないという結果になった。
JPCERT/CCはこうした結果を、センサーの仕様の違いが観測結果に影響する“好例”であるとし、それゆえに「さまざまな組織がさまざまな実装で定点観測を行うことに意味がある」とコメントしている。もし自宅などで同様にトラフィックを計測しているならば、その結果と引き比べてみるのも面白いだろう。
Nachiの活動停止によってかえってリスクも?
先に警察庁が警告(2003年12月24日の記事参照)していたとおり、Nachiの活動が停止したとしても、根本原因であるセキュリティホールがなくなったわけではない。かえって、ICMPパケットの送出という、感染PCを見分けるための目印がなくなり、「どのPCが感染元か」「どのPCにセキュリティホールが残っているか」の判別が困難になってしまったと受け取ることもできる。
そもそも、「大幅にICMPのスキャンが減ったということは、それだけ多くのPCがWelchia/Nachiに感染していたということを意味しているし、またほぼ間違いなく、それらのPCでは脆弱性が放置されたままになっていると考えられる」(JPCERT/CC)。
つまりNachiの活動停止は、いかに多くのWindows PCでパッチが適用されることなく、セキュリティホールがそのままになっているかをあぶり出したものだ、と見ることができる。
これを踏まえて、ネットアークの松本直人氏は、「企業・学校などの組織では、組織内のPCに対し、脆弱性スキャナなどを用いてセキュリティ監査を行い、セキュリティ脆弱性を持つ環境を改善するなどしておくとよい」とコメント。合わせて、さまざまな組織から出される注意喚起の報道を確認し、それに沿って適切に対処するなど、地道ながら基本的な対策を確実に行うべきだと述べている。
関連記事
警察庁がワーム発信元に注意喚起、対象者は「すぐに受け入れ」感染を広める新ワーム「Nachi」、日本語版Windowsでは脆弱性はそのまま放置関連リンク
JPCERT/CC@Police[高橋睦美,ITmedia]
Copyright © ITmedia, Inc. All Rights Reserved.
