エンタープライズ:ニュース 2003/08/12 19:16:00 更新


国内でも蔓延し始めたMSBlast、注意すべきは「休暇明けのPC」

Windows RPCインタフェースの脆弱性を悪用するワーム「MSBlast」は、北米のみならず、国内にも影響を及ぼし始めている。お盆休暇明けの対処に万全を期すならば、休日出勤もやむを得ないかもしれない。

 Windows NT Server 4.0やWindows 2000、XPなど広範なWindowsプラットフォームに、任意のコードを実行されかねないRPC インタフェースの脆弱性(MS03-026)が発見されたのは7月半ばのことだった。以降、脆弱性実証コード(Exploit)の公開、このセキュリティホールを悪用したトロイの木馬の登場と、リスクはどんどん高まってきていたが、8月12日にはとうとう、自らを複製する能力を備えたワーム「MSBlast」が登場。北米を中心に、急速に感染を広めている。

 MSBlast(ウイルス対策ベンダーによっては「Lovsan」とも称している)は、既に報じられているとおり、TCP 135番ポートを通じ、Windows RPCのセキュリティホールを悪用して感染を広めようとする。8月16日以降には、Windows Updateサービスに対するサービス妨害(DoS)攻撃を仕掛けようとする仕掛けも備えている(別記事参照)。

12日早朝に急激に増加

 このワームは、Internet Storm CenterがまとめたTCP 135番のトラフィックを見ても分かるとおり、活発に活動しており、余波は日本国内にも及んでいる。例えば、情報処理振興事業協会セキュリティセンター(IPA/ISEC)が公開した警告によると、12日16時現在、10件の相談が寄せられたという。またウイルス対策ソフトウェアベンダーのトレンドマイクロでは、同日12時の時点で45件の感染被害報告を受けたということだ。

 不正侵入検出ツールなどを用いてトラフィックの監視を行っている企業の報告によると、ワームのものと見られる不審な動きはさらに顕著になる。

 ラックのJSOC(Japan Security Operation Center)では、12日午前2時ごろから、宛先ポート番号がTCP 135となっているトラフィックが増加傾向にあることを検出した。前日の数値では、1時間当たり20万程度だったログが12日午前3時から急激に増加し、午前5時から6時にかけては100万を突破した。その後やや落ち着きを見せたが、それでも1時間当たり60万前後という高い数字で推移しているという。

 またインターネット セキュリティ システムズ(ISS)が都内においているセキュリティ オペレーション センター(SOC)の報告によると、やはり12日早朝からワームからのアクセスと思われるスキャンの数が増加し、午前6時から7時にピークを記録した。

 一連の動きを受けて、これらセキュリティ企業やウイルス対策ソフトウェアベンダー、マイクロソフト自身がアドバイザリを公開し、警戒を呼びかけている。

 対策としては、まず、自分が利用しているウイルス対策ソフトの定義ファイルを最新のものにした上でスキャンを行い、MSBlastに感染していないかどうか確認すべきだ。感染が確認された場合は、ウイルス対策ベンダーが提供している駆除ツールを利用するなどして、ウイルスがダウンロードしてきたファイルを削除する(手動でも可能だが、レジストリを変更する必要があるためややリスクが伴う)。

 感染がなかったとしても、改めて、MS03-026を含むセキュリティパッチを適用しているかどうかを確認したい。同時に、ゲートウェイ部分においてはファイアウォールやルータ、各端末ではOSのフィルタリングやパーソナルファイアウォールの設定を見直し、TCP/UDP 135番はもちろん、TCP 4444やUDP 69の各ポートを塞ぎ、ワームからのアクセスをブロックする。

万全の対策を期すならば「休日出勤」を

 MS03-026を悪用したワームについては、前々から存在が懸念されていたこともあり、各マシンにパッチを適用したうえで、十分に警戒していた企業もあることだろう。にもかかわらずMSBlastはかなりの勢いで感染を広めている。

 MSBlastの抜け道の1つとして考えられるのは、まだ対策を施していないマシンが、ユーザーの手によって企業システム内に持ち込まれてしまうというケースだ。現にラックのJSOCでは、社内に持ち込まれたパソコンからMSBlastの感染が拡大したという事例の報告を受けたという。

 ラックは緊急レポートを公開し、パソコンの持ち込みのほか、ダイヤルアップ接続などにより、ファイアウォールを経ることなく直接インターネットに接続するケースについて注意を呼びかけ、「社内における機器の接続・利用規定について十分な指導が必要」としている。

 その意味では、休暇を取る人の多い「お盆休み」のさなかにMSBlastが登場してしまったことに注意が必要だ。休みが明けて、自宅にPCを持ち帰っていた多くのユーザーが企業ネットワークに接続するようになったとたん、MSBlastが急激に増加する可能性は十分に考えられる。

 これを踏まえてISSでは、管理者に対し、「できれば休日中に1度会社に出向き、ファイアウォールのログを確認する」のが望ましいとしている。もしも社外に向けてTCP 135や139、445、593などのパケットが出ている場合には、ワームに感染したマシンが存在する可能性が高い。この場合は、送信元を割り出し、netstatコマンドやイベントログを参照しながら、ワームの駆除やバックドアの除去など必要な対処を行うべきという。

 同時にISSは、休暇中、自宅などに持ち出されたパソコンについては、「msblast.exe」をはじめ、ワームの痕跡がないかどうかを確認した上で社内ネットワークに接続すべきとアドバイスしている。

 さらに同社は、不必要なポートを塞ぐほか、パッチが適用されないままになっているサーバやクライアントを検出し、遺漏なく予防策を施すべきという。無論、一連の作業を人手に頼るのは負担が大きいため、ISSでは無償で適用している各種ツールを活用することも手段の1つに挙げている。ISSはまた、ファイアウォールのログを定期的にチェックし、ワームが発生した際に、それを迅速に検知する手法を確立しておくことも重要としている。

 管理者以外の個々のユーザーとしても、同僚や第三者に被害を与えないためにも、パッチの適用と、最新の定義ファイルを用いたウイルスチェックが欠かせない。ラックはさらに、自宅からインターネットを利用する際には、ブロードバンドルータやパーソナルファイアウォールの設定を確認し、TCP/UDP 135番のほか139、445、593、4444、UDP 69の各ポートをブロックするといった対策を推奨している。

関連記事
▼Windows RPCの脆弱性狙ったワームが拡散を開始
▼Windowsワームに欠陥、専門家は修正版登場を懸念
▼特集:Windowsを危険にさらすRPCのセキュリティホール

関連リンク
▼CERT Advisory CA-2003-20 W32/Blaster worm
▼Internet Storm Center: RPC DCOM WORM (MSBLASTER)
▼IPA/ISEC: 「W32/MSBlaster」ワームに関する情報
▼マイクロソフト: Blasterに関する情報
▼インターネット セキュリティ システムズ: MSRPC DCOM ワーム「MS Blast」の蔓延
▼ラック JSOC緊急レポート
▼シマンテック: W32.Blaster.Worm
▼トレンドマイクロ: WORM_MSBLAST.A
▼日本ネットワークアソシエイツ: W32/Lovsan.worm
▼F-Secure: Lovsan
▼Sophos: W32/Blaster-A

[高橋睦美,ITmedia]



Special

- PR -

Special

- PR -