リビング+:ニュース |
2003/08/18 23:59:00 更新 |
“Blaster”はなぜ広がった?
とくに新しい技術が使われたわけではない。1カ月も前に発見された既知のセキュリティホールを利用しただけの「Blaster」ワームがお盆休みの日本を襲った。ごく当たり前のセキュリティ対策を行っていれば防げたはずのBlasterが、ここまで広がったのはなぜだろうか?
お盆休み明けの感染拡大が懸念されていたBlaster(「WORM_MSBLAST」「W32/Lovsan」などとも呼ばれる)だが、ウイルス対策ベンダーのシマンテックによると既に収束傾向にあるという。既報の通り、BlasterはWindows RPCのセキュリティホールを悪用し、TCP 135番ポートを通じて他のPCに侵入する。何の対策も施されていないPCなら、“インターネットに接続”しているだけで感染する危険性が高い厄介なワームだ。
ただし、Symantec Security Responseの星澤裕二マネージャによると、Blasterに使われている技術は「特に革新的なものではない」という。ネットワーク経由で感染するウイルスやワームには「Slammer」「CodeRed」といった前例があり、DoS攻撃を行うものも初めてではない。そしてBlasterが悪用したセキュリティホールは、1カ月も前に発見されていたものだ。
理由が見あたらない
RPC インタフェースの脆弱性が報告されたのは7月16日(MS03-026)。いつも通り、マイクロソフトは、Webサイトに情報を掲載すると同時にパッチをリリースした。「パッチをあてていればBlasterに簡単に侵入されることはなく、ウイルス対策ソフトがあれば感染は防げる」(星澤氏)。
また、Windows XPには自動アップデート機能「Windows Update」がある。Windows Updateはパッチがリリースされてから「遅くても1〜2日以内には“更新あり”というメッセージを表示する」(マイクロソフト)ため、とりあえずOSの指示に従うだけでXPマシンの対策は終了するはずだ。
にもかかわらず、国内の感染被害はシマンテックに寄せられたものだけで174件(8月18日午前9時現在、亜種を含む)、またIPAに報告されたものは累計2080件に及ぶ(8月18日の午後5時現在)。この数が多いか少ないかは判断の分かれるところだが、水面下ではさらに多くのPCが感染被害に遭っていると予想される(報告されていないケースも多く、また企業などでは複数のPCが感染した場合でも報告は1回とカウントされる)。
星澤氏は、「他のウイルスに比べると、Blasterが広がった理由が見あたらない」と首を傾げた。
“複合型”の不正プログラム
あえてBlasterが急速に拡大した理由を挙げるなら、やはりPCユーザーの“セキュリティ意識の低さ”ということになりそうだ。星澤氏は、「セキュリティ情報は出ても、見ない人は見ないもの。未だにKlezがウイルス報告件数の上位にいることからも分かるように、感染に気づかずに使い続けている人も多い」と指摘する。
とくにBlasterの場合は、不正アクセスから始まり、ワーム本体をダウンロードし、他のPCにも不正アクセスを行う“複合型”の不正プログラム。シマンテックでは「ウイルス」や「不正アクセス」といった従来のジャンル分けを超えた複合型プログラムを「Blended Threat」と呼ぶが、Blasterもこれにあたる。
不正プログラムが複雑化している一方で、一般ユーザーの中には感染経路や対応策を誤解しているケースも多い。例えば、記者の知人の中にも「WindowsはWebブラウザだけ。メールはMacで受け取るから大丈夫」という人がいた。感染経路を誤解していたわけだ。
また、「ダイヤルアップだから」と、マイクロソフトのアップデータを入れたことがない人もいた。インターネットに接続したとき、Windows Updateが動くとWebブラウザの動作が遅くなり、そのうえインストール後に再起動を求められるのが煩わしいのだという。
XP標準のファイアウォールでは防げない
「ファイアウォールがあるから大丈夫」という人もいる。確かに、Blasterは特定のポートから侵入するため、個々のPCにデスクトップ・ファイアウォールを導入し、正しく設定すれば侵入を防ぐことができる。例えば、「Norton Personal Firewall」なら、デフォルトの設定でもポート135やポート4444を塞いでくれる。
そこで彼は、Windows XPに標準搭載されているファイアウォール機能をオンにしていたのだが、実はBlasterに対しては有効ではない。マイクロソフトによると、XP標準のファイアウォールはポート単位の設定が行えず、デフォルト設定ではポート135などを開けたままだという。理由は、利便性と安全性のトレードオフだ。
「一般のユーザーは、ポートの状態を意識することは少ない。例えば、特定のポートを使う新しいアプリケーションが登場したとき、デフォルト状態でポートが閉じていては導入時の設定が難しくなってしまう」(マイクロソフト)。
幸い、Blasterは沈静化の方向にある。しかし、当たり前のセキュリティ対策を行ってさえいれば広がる理由もなかったBlasterの流行により、ユーザーのセキュリティ意識の低さが改めて露呈したかたちだ。ブロードバンドインフラの普及が一般家庭にも常時接続をもたらした現在、高度化する不正プログラムに対抗するには、セキュリティ意識の向上とともに正しい情報の入手方法も考える必要がありそうだ。
関連記事
亜種も登場、広がるMSBlastの影
ひとまず回避されたMSBlastのDoS攻撃
MSBlastに備える――エンドユーザーの、そして管理者の対策
国内でも蔓延し始めたMSBlast、注意すべきは「休暇明けのPC」
Windowsを危険にさらすRPCのセキュリティホール
関連リンク
Blasterに関する情報
「W32/MSBlaster」ワームに関する情報(IPA)
[芹澤隆徳,ITmedia]