ニュース
2004/02/14 17:30:00 更新
改ざん被害も発生、Nachi.Bの挙動に警戒を
2月12日以降、Windowsに存在する脆弱性を悪用して感染を広めるワーム「Nachi.B(Welchia.B)」の活動が広がっているようだ。実際に改ざんの被害を受けたサイトもある。
2月12日より、Windowsに存在する脆弱性を悪用して感染を広めるワーム「Nachi.B(Welchia.B)」の活動が広がっており、関連組織やベンダーが警戒を呼びかけている(2月13日の記事参照)。
このワームは、昨年8月に登場したNachi原種と同様、Windowsのセキュリティホールを悪用して感染するものだ。感染すると、英語版、中国版や韓国語版のOSではMS03-026のセキュリティ修正プログラムをダウンロードし、最近流行している「Mydoom.A」や「Mydoom.B」に関連するファイルを削除する。一方で、感染先のOSが日本語版の場合は、IISのフォルダを検索し、中にあるHTMLファイルを改ざんする。
Nachi.Bが悪用するセキュリティホールは、いずれも昨年明らかになったものだ。具体的には、MSBlast(Blaster)が狙ったのと同じWindows RPCの問題(MS03-026)およびWindows 2000のコンポーネントに存在したセキュリティホール(MS03-007)。それに加えて、公表時に「MSBlast級のインシデント」が懸念されていたMS03-049も悪用する。
したがって、基本的にはマイクロソフトが提供しているパッチを適用していれば被害は免れることができる。だが残念ながら、2月12日朝に被害に遭ったローソンチケット・ドットコムのWebサイトのように、Nachi.Bに感染し、このワームによってWebを改ざんされたところも存在する。
警察庁では2月12日の22時時点で、TCP/445番ポートを狙ったトラフィックが増加していことを踏まえ、これがNachi.Bによるものである可能性が十分考えられるとし、警告を呼びかけた。さらにNachi.Bに関する概要も公開している。
ただ一方で、JPCERT/CCが運用している定点観測システム(ISDAS)の場合、一部のセンサーではTCP/445へのトラフィックの増加が観測されているものの、他のセンサーでは異常は観測されていないという。これを踏まえ、Nachi.Bの影響については「もう少し分析と状況観察が必要」という。
いずれにしてもこのワームは、その挙動を見るに日本語環境を狙っていることは明らかだ。パッチの適用、ポートのフィルタリングとウイルス対策製品の適切な運用という基本策を改めて確認しておくべきだろう。
関連記事
日本語版Windows狙う「Nachi.B」浮上関連リンク
警察庁インターネット定点観測システム[高橋睦美,ITmedia]
Copyright © ITmedia, Inc. All Rights Reserved.
