エンタープライズ:ニュース 2003/08/15 20:00:00 更新


MSBlastに備える――エンドユーザーの、そして管理者の対策

国内でも猛威をふるい始めたMSBlast。このワームへの対策法をエンドユーザー向け、それに管理者向けにまとめてみた。

 ここでは簡単に、猛威を振るっているワーム「MSBlast」への対処策をまとめた。

エンドユーザー編

 エンドユーザー向けの対策については、マイクロソフトの情報(Windows XP編およびWindows 2000/Windows NT 4.0編)に詳しい。

 簡単にまとめると、

  1. まず、MSBlastに感染しているかどうかを確認するため、オフラインでPCを起動する。自らが感染源となり被害を広めないようにすることと、RPCサービスが不安定となり再起動を繰り返すのを防ぐためだ。LANケーブルを抜いてしまうのが一番分かりやすいが、無線LAN接続機能を内蔵している場合は注意が必要だ。
  2. Windows タスクマネージャを実行し、PC上で起動しているプロセスをチェックして「msblast.exe」(もしくは亜種のPENIS32.EXEやTEEKIDS.EXE)がないかどうかを確認する。
  3. 上記のファイルが見つからなければ、ネットワークに接続して改めてWindows Updateを実行し、最新のパッチを適用する。その上で、ウイルス対策ツールを最新のものにアップデートし、スキャンを行う。
  4. もしこれらファイルが見つかったらば、Windows タスクマネージャ上で「msblast.exe」のプロセスを停止させる。その後、Windows XPやWindows Server 2003ではインターネットファイアウォール機能を有効にしてから、またWindows 2000やNT 4.0ではDCOMを無効にしてからネットワークに接続し、Windows Updateから最新のパッチを適用する。その上で、下記に紹介するツールを用いてウイルス本体を駆除する。一連の作業が終わったら、DCOMなどの設定を元に戻す。
  5. 3、4いずれにしても、Windows OSそのものが備えるファイアウォール機能、もしくは別途パーソナルファイアウォールを導入するなどして、TCP/UDP 135、TCP 139、TCP 445、TCP 593をはじめとする不要なポートをふさぐ。自宅でブロードバンドルータなどを利用している場合は、そのルータの設定を見直す。

■MSBlast駆除ツール

管理者向け対策

 管理者の場合は、上記の対策をエンドユーザーに徹底するとともに、総合的な対策が必要だ。

  • エンドユーザーに対し「オフラインで」ウイルスおよび対策に関する情報を告知する。
  • 企業ファイアウォールの設定を見直し、ポートフィルタリングが適切に行われているかどうかを確認する。
  • サーバでパッチが適用されているかどうか改めて確認する。また「放置サーバ」「放置PC」がないか、検出ツールを用いて確認する。
  • ログ情報を見直し、社内から不審なパケットが出ていないか確認する。もしそうしたパケットが発見されれば、下記に示したツールを用いるなどして発信元の特定に当たる。特定できれば、当該PCを隔離の上、対策を施す。
  • 休暇が明けてからユーザーが社内に持ち込むPCについては、必ず、最新のパッチを適用済みであり、ウイルスには感染していないことを確認したうえで接続を許可する。

■MS03-026のセキュリティホールが残っているPCを検出するツール

関連記事
▼特集:Windowsを危険にさらすRPCのセキュリティホール

関連リンク
▼マイクロソフト:Blaster に関する情報
▼「W32/MSBlaster」ワームに関する情報

[高橋睦美,ITmedia]