休暇明けにはまず検査を――Windowsの脆弱性狙うボットに警戒

Microsoftが修正したばかりの脆弱性を狙ったボットが登場。パッチ適用などの対策が改めて急がれる。

[高橋睦美，ITmedia]

　Microsoftが修正したばかりの脆弱性を狙ったボットが登場したことを受け、セキュリティ各社が注意を呼びかけている。パッチの適用、ウイルス対策ソフトの更新やTCP 139／445ポートの遮断といった対策が必要だ。

　Microsoftやセキュリティ各社は8月13日以降、MS06-040の脆弱性を狙うボット「Graweg」（Microsoftでの呼称）への注意を呼びかけた。ボットは2種類あり、名称はウイルス対策企業によって異なる。Symantecでは「Wargbot」、Trend Microでは「IRCBOT.JK」「同JL」、McAfeeは「Mocbot」、F-Secureでは「IRCBOT-ST」と命名されている。

　MS06-040の脆弱性は、Microsoftが8月8日に公開した月例パッチの1つで修正された問題だ。悪用されれば、ネットワークにつながっているだけで悪意あるコードを実行されたり、PCを乗っ取られたりする恐れがあり、危険性は高い。しかも、パッチが公開されたその日のうちに、脆弱性を悪用する攻撃コードが公開されていた。

　これらのボットはこの攻撃コードを利用したものだ。感染すると、「wgareg.exe」もしくは「wgavm.exe」というファイル名で自分自身をコピーするほか、レジストリを改ざんし、攻撃者からの命令を待ち受ける。eEye Digital Securityの情報によると、ボット本体のサービスを手動で停止しても、自動的に再開されてしまうという。

　感染を広める方法は2種類確認されている。1つは、AOL Instant Messenger（AIM）経由で、自分のコピーをダウンロードするように仕掛けたリンクを送りつけるという手法。もう1つは、パッチが適用されておらずMS06-040の脆弱性が残ったままのPCを探索し、ネットワーク共有を通じて感染を広める方法だ。

　ただしMicrosoftは、セキュリティアドバイザリの中で「現時点において、インターネット全域に自己複製を行うようなワームは確認されていない」と述べている。一方でSANSは、「技術的に見ればボットネットだが、ワームと同じように感染を広げていた」と指摘している。

　もし感染し、ボットネットに組み込まれてしまうと、あとはバックドアを通じて攻撃者からの命令に従うことになる。DDoS（分散型サービス妨害）攻撃やスパムメールの送信、ボット本体のアップデートなど、あらゆる可能性が考えられる。

　幸いなことに、ラックやトレンドマイクロの情報によると、国内での感染はほとんど報告されていない。しかし、夏期休暇の間、自宅などに持ち帰っていた脆弱なままのPCがGrawegに感染し、社内LANなどに持ち込まれる可能性もあるため、注意が必要だ。

　セキュリティ企業各社やSANSなどの関連機関では、以下のような対策を呼びかけている。

エンドユーザー向け

• MS06-040も含めた最新のセキュリティパッチを適用する
• パーソナルファイアウォールを有効にし、TCP 139／445の通信を遮断する
• すべてのベンダーが対策しているわけではないが、ウイルス対策ソフトの定義ファイルを最新のものに更新する

管理者向け

• ゲートウェイ部分のファイアウォールでTCP 139／445の通信を遮断する
• 二次被害を防ぐため、ボットネットの司令塔となっている「bniu.househot.com」と「ypgw.walloan.com」への通信を遮断する
• Snortなど、不正侵入検知システム（IDS）のシグネチャを最新のものに更新する

　また、夏期休暇中に社外に持ち出していたPCを再び社内LANに接続する際には、c:\windows\system32以下に「wgareg.exe」や「wgavm.exe」といったファイルがないかチェックし、ボットに感染していないかを確認することが望ましい。同時に、最新のパッチが適用されているか、ウイルス定義ファイルが更新されているかどうかも検査すべきだろう。