リビング+:ニュース |
2003/08/21 23:51:00 更新 |
“ナチ”の隠れ家は、あなたのPCかも知れない
インターネットに“つないでいるだけ”で感染し、これといった症状も見られないNachi。Nachiの活動はネットワークに影響をおよぼし、一部のCATVインターネットでは、接続を停止される一般ユーザーも出ている。
Blasterワームに置き換わる形で、Nachiの拡大による被害が深刻化している。インターネットに“つないでいるだけ”で感染し、これといった症状も見られないNachiは、ユーザーにそれと悟らせずにPCに潜む。Nachiの活動によってインターネット接続サービス全体に影響を与えた例も報告されており、一部では感染したために接続を停止される一般ユーザーも出てきた。
Nachiは、別名を「MSBLAST_D」あるいは「Welchina」という。セキュリティベンダー各社が警報を出したのは8月18日のことだが、当初は“Blasterを退治し、パッチをあててくれる”奇妙なワームとして注目を集めた。しかし、実際は日本語環境のWindowsに対してパッチを適用することはなく、むしろBlasterよりも活発に“探査活動”を行うなど「Blasterよりも悪質」(ラック)なワームだ。バックドアを開けて放置するため、感染したPCは外部からリモート操作される可能性もある。
ネットワークが不安定に
現在広がっている被害は、PCが不調になるといった直接的な症状ではない。Nachiが次の感染先を探すために行う探査活動がネットワークに負荷を与え、障害を引き起こすケースが主だ。たとえば、東京・豊島区の豊島ケーブルネットワークでは、8月18日にインターネット接続サービスが不安定になり、21日20時現在も完全には復旧していない。また、武蔵野三鷹ケーブルテレビなどでも通信障害が発生している(別記事を参照)。
豊島ケーブルによると、Pingなどで使用される制御用プロトコルICMPのトラフィックがネットワーク内で急激に増大したために障害が発生したという。「インターネットに全くつながらないユーザーもいれば、時間をおくことでつながるユーザーもいる状況だ」(同社)。
接続を停止するケースも
Nachiは、感染したPCのIPアドレスをもとに、近いIPアドレスを選択し(感染したPCのIPアドレスを“A.B.C.D”とし、A.B.0.0から順に1ずつ加えたIPアドレスを選択)、pingを投げて応答のあったPCの135ポートに攻撃を仕掛ける。通常、IPアドレスは企業やISPなどに対してブロック(固まり)で配布されているため、例えばCATVユーザーが感染したとき、次のターゲットも同じCATVのユーザーである可能性が高い。つまり、1つのネットワークにNachiが入ると、同じネットワークにあるPCが次々と感染し、ネットワーク内で急激にICMPのトラフィックが増大するという図式だ。
豊島ケーブルでは、ICMPトラフィックを多く発生させているユーザーに直接連絡をとり、その後ネットワークへの接続を停止しているという。自力でパッチや駆除ツールを入手できないユーザーに対しては、フロッピーディスクの郵送や窓口配布といった救済策を実施する。「感染源を減らしていけばネットワークは安定するはずだが、今のところ完全復旧の時期はみえていない」(同社)。
目に見える症状がない
Blasterは、感染したPCが不安定になって再起動を繰り返すなど、ユーザーの目に見える症状もあった。しかし、Nachiの場合はPCに症状が現れず、そのため一般ユーザーの中には感染に気付かないケースも多い。逆に、Blasterに感染していたPCがNachiに感染すると、Blasterの活動が止まるため、PCが好調になったように感じることもあるという。
いずれもWindows Updateを確実に実行していれば感染は防げる。しかし、万が一感染した場合、接続の停止のみならずつらい目に遭うこともある。自分のPCをBlasterやNachiの“隠れ家”にしないよう、まずはパッチの適用とウイルスチェックを心がけたい。
Nachiが感染する可能性があるのは、Windows NT4.0/2000/XPとNT Server 4.0などのサーバOS。情報処理振興事業協会セキュリティセンター(IPA)では、“全てのWindowsユーザー”に対し、PCに異常な症状が見られない場合でもウイルスチェックを実施するように呼びかけている。
関連記事
特集:Windowsを危険にさらすRPCのセキュリティホール
関連リンク
トレンドマイクロ(ウイルスバスターオンラインスキャン)
シマンテック(ウイルススキャン)
新種「W32/Welchi」ワームに関する情報
日本ネットワークアソシエイツ:W32/Nachi.worm
シマンテック:W32.Welchia.Worm
トレンドマイクロ:WORM_MSBLAST.D
アンラボ:Win32/Welchia.worm
日本エフセキュア:Welchi
[芹澤隆徳,ITmedia]