複数の手段で急速に感染を広めるNimda
| 【国内記事】 | 2001.09.19 |
9月18日午後10時以降,国内でも相次いで「W32/Nimda」,通称Nimdaワームの感染と,それに伴うネットワークトラフィックの遅延が報告されている。
逆さに読めば「Admin 2(to?) 3W(War3?)」とも読めるこのワームは,急速に感染を広めている。既にCERTやIPAセキュリティセンター,各ウイルス対策ベンダーが情報をまとめ,警告を呼びかけている。
別記事のとおり,既に北米で多数の被害が報告されているだけでなく,国内でもMSNをはじめ複数のサイトが感染したとの報告があった。
たとえばSirCamは電子メール(Outlook/Outlook Express)を通じて自分のコピーをばらまき,またSadmindやCode Redはシステムのセキュリティ上の弱点を悪用して感染を広めた。Nimdaはその両方の性質を兼ね備えるだけでなく,ファイルコピーやWebの改ざんを通じても感染を広めている。極めて悪質なものといえるだろう。
Windowsマシンに広く影響
まず,影響のあるシステムだが,
クライアント:Microsoft Internet Explorer(IE)とOutlook/Outlook Expressを利用しているWindowsマシン(IE 6.0には影響なし)
サーバ:Microsoft IIS バージョン4/5を使用しているWebサーバ
となる。改めて整理すると,Nimdaは以下の経路を通じて感染を広めている。
1. Microsoft IIS 4.0/5.0そのものへの直接攻撃
IISのセキュリティ上の弱点やroot.exeを攻撃するhttpリクエストを16種類送り込み,感染が可能かどうかを試す。サーバにセキュリティパッチが当てられていなかったり,CodeRed IIによって設置されたバックドアが放置されている場合,TFTP(Trivial File Transfer Protocol)によって自身のコピーをサーバに転送し,侵入を果たす。その後自身を自身を「readme.eml」(OutlookExpressメール形式)という名称でコピーするとともに,Web関連ファイルの改ざんを行うことで,2)以下の攻撃にもつなげている。
2. Web閲覧を通じた感染
IISサーバに侵入したNimdaは,自分自身をコピーする。この際,コピーを行うフォルダの中にHTML形式のファイルがあれば,Webを見ただけで勝手にreadme.emlを実行するようなJavaScriptのコマンドが一行追加される。パッチを当てていないままのIEでこのWebページにアクセスすると,readme.emlが実行され,クライアントもNimdaに感染する(→1,3,4につながる)。
3. 電子メールを通じた感染
「readme.exe」という名称の添付ファイル付きHTMLメールの形で自己の複製を送り付ける。Microsoft Outlook/Outlook Expressをはじめ,HTMLメールの表示にIEを利用しているメーラーを用いており,しかもIEにセキュリティパッチを当てていない場合,プレビューするだけでNimdaに感染する。それ以外のメーラーを利用している場合,添付ファイルをクリックしなければ被害はない。
NimdaワームはSMTP機能を備えており,Outlook/Outlook Expressのアドレス帳を利用してウイルスメールを発信するため,履歴はメーラーには残らない。また同時に,ランダムなIPアドレスに向けてHTTPリクエストを繰り返し発信し,セキュリティホールがそのままになっているIISサーバを攻撃する(→1,2,4につながる)。
4. ファイルコピーを通じた感染
Nimdaがいったん侵入すると,ローカル,ネットワークを問わずすべてのドライブに自身のコピーを作成する。このファイルを開いたり実行すれば,そのクライアント/サーバもまたNimdaに感染する(→1,2,3につながる)。
このようにNimdaは,感染がさらなる感染を呼ぶような動きを取るため,被害拡大のスピードが非常に速い。クライアント,サーバを問わず,早急に対策を取る必要がある。
再度セキュリティパッチの確認を
クライアント側では,まずIE 5.01/5.5にサービスパック2(SP2)を当てるか,IE 6にアップグレードする。またその上で,ウイルスについてはたびたび言われてきたことだが,不用意に添付ファイルを実行しないことが重要だ。それが難しければ,少なくともセキュリティ設定を変更し,「ファイルのダウンロード」を無効にする。また19日に入って,各ウイルス対策ソフトウェアベンダーから対応定義ファイルがリリースされているため,これらのアップデートも必要だろう。
一方サーバ側だが,Webサーバのログを定期的に確認していれば,既に攻撃に気づいている場合も多いはずだ。その数の多さに驚いた管理者もいるに違いない。
IISサーバを運用している場合はまず,Code Redが蔓延した際にもたびたび呼びかけられたことだが,「IIS用の累積的な修正プログラム」や「セキュリティロールアップパッケージ」(Windows NT 4.0用)も含めてパッチを適用し,IISのセキュリティホールを塞ぐ。自力での対策に自信が持てない場合は,サーバをいったんネットワークから切断することも含めて対応すべきだ。
同時に,Tripwireなどを用いて,CodeRed IIなどによるバックドアが仕掛けられていないかどうかを確認したい。さらに,メールサーバの管理も行っている場合は,ゲートウェイのウイルス対策ソフトやフィルタリングによって,「readme.exe」の添付ファイル付きのメールを取り除くようにすべきだ。
先月活発に活動したCode Redは,脆弱なIISサーバを探そうとし,ネットワークやルータに負荷を与えた。16種類のhttpリクエストを送り込むNimdaは,Code Red以上にネットワークトラフィックに影響を与える可能性がある。プロキシやフィルタリングの設定によってある程度対処は可能だが,サーバのみならずルータの挙動も含め,今後も引き続き警戒が必要だ。
関連リンク
マイクロソフト:IIS 用の累積的な修正プログラム(MS01-044)
マイクロソフト:Windows NT 4.0のセキュリティロールアップパッケージ(SRP)
[高橋睦美 ,ITmedia]
