ニュース
2004/05/08 12:09 更新


プライベートアドレスまで対象にするSasser、週明けにも注意を

これまで、Sasserは4種ともグローバルIPアドレスのみを攻撃対象にすると説明されてきた。だが、どうやらそれは間違った情報だったようだ。

 先週発生したSasserウイルスは、数十万台規模に上り、列車などのインフラにも影響を及ぼしたという海外での被害に比べると、国内では比較的小規模にとどまっている。

 しかし日本ネットワークアソシエイツによると、5月7日16時時点までに同社ソフトで検出されたSasserの数は、4種合計で187社、980台。前日に比べ倍近くに増加していることから、引き続き警戒を呼びかけている。

 しかも、これまでSasserは4種ともグローバルIPアドレスのみを攻撃対象とし、プライベートアドレスには攻撃しないと説明される場合があった。だが、どうやらそれは間違った情報だったようだ。ウイルス対策ベンダー各社が更新した情報によれば、プライベートアドレスが割り当てられたマシンが攻撃されるケースもあるという。このため、プライベートアドレスを利用している企業LAN内でも、改めて注意が必要だ。

 幸いにして、「多くのポートを使いすぎるからか、Sasserは今ひとつ広がりを見せない」(インターネット セキュリティ システムズの高橋正和氏)。しかし、「この2日間ですべてのユーザーがオフィスに復帰したわけではない」(トレンドマイクロ)、「製造業などでは、今週いっぱいは全面的に休業しているところもある」(マイクロソフト)ことから、来週いっぱいは注意が必要という。

回避策追加も、やはり最終的には……

 この日マイクロソフトは、Sasserに関する情報提供を、フリーダイヤルのほか携帯電話やFAXでも提供することを発表(5月7日の記事参照)。

 またこれに先立つ5月5日には、MS04-011の情報を更新し、Sasserが悪用するLSASSの脆弱性を回避する方策について、記述を追加している。

 ウイルス対策ソフトの運用やパーソナルファイアウォールの設定ももちろんだが、Sasserへの感染を防ぐためには、マイクロソフトが提供するパッチの適用が最も確実な対処策となる。だが一方で、さまざまな副作用が生じることから、パッチを適用したくともできないユーザーも存在する。

 そこでマイクロソフトでは、パッチを適用できないユーザーに対し、「パーソナルファイアウォールを使用する」「ファイアウォールで不必要なポートをブロックする」「TCP/IP フィルタリング機能を利用する」「IPSecを利用する」といった回避策を紹介してきた。さらに、システム中に含まれる「%systemroot%\debug\dcpromo.log」という名前のファイルを、読み取り専用の属性で作成することでも問題を回避できるという。

 マイクロソフトによると、「%systemroot%\debug\dcpromo.log」ファイルの作成は「非常に効果の高い回避策」だという。一連のSasserウイルスやその元となったExploitコードの動きを無効化するだけでなく、LSASS内の処理の流れを変えることにより、脆弱性の悪用そのものを抑止するということだ。

 ただ、このファイル作成は、LSASSの脆弱性しか回避できないことにも注意が必要だ。MS04-011で修正が施されている他の13種類の脆弱性――中にはSSLの脆弱性など同様に深刻なものも含まれる――については、修正されない。したがって、やはり「パッチの適用がお勧め」だという。

 そのためにも、Windows 2000やNTで生じる副作用を修正した、修正版MS04-011の登場を待ちたいところだ。

関連記事
▼MS、「Sasser」情報提供を拡大 携帯やFAXでも
▼Sasserの国内被害、連休明け急拡大
▼Sasserワーム、Netskyと合体して凶悪化の可能性
▼Sasserに便乗するNetsky亜種、作者のつながりも?
▼Sasser作者に追跡の手を伸ばすMicrosoft
▼ネット接続だけで感染する「Sasser」発生、連休明けに厳重注意を

関連リンク
▼マイクロソフト:Sasser ワームについてのお知らせ
▼マイクロソフト:MS04-011
▼IPA:新種ワーム「W32/Sasser」に関する情報

[高橋睦美,ITmedia]

Copyright © ITmedia, Inc. All Rights Reserved.