| エンタープライズ:ニュース | 2003/08/15 20:01:00 更新 |
亜種も登場、広がるMSBlastの影
Windows RPCインタフェースの脆弱性を悪用するワーム「MSBlast」の被害が引き続き拡大している。亜種が登場したほか、マイクロソフトのWebサイトへのアクセスが集中するといった事態も発生した。
Windowsプラットフォームに存在したRPCインタフェースの脆弱性を悪用するワーム「MSBlast」の被害が引き続き拡大している。
情報処理振興事業協会セキュリティセンター(IPA/ISEC)には、8月15日の午後5時までに、900件以上の相談や届出が寄せられた。また、MSBlastの活動によるものと思われるTCP 135番ポート宛てのパケットの量も、いくぶん変動はあるものの、高い水準で推移している。特に、当初ワームが広がりを見せた米国発のパケットだけでなく、日本国内から発信されたパケットが増加していることに注意が必要だ。
2種類の亜種が登場
MSBlastが登場し、蔓延を始めたのは8月12日早朝のことだった。それからわずか数日しか経っていないにもかかわらず、「MSBLAST.B」「MSBLAST.C」という2種類の亜種が確認されている。
オリジナルのMSBLAST.Aとこれら亜種との違いは、ウイルス本体のファイル名だ。「msblast.exe」の代わりにそれぞれ「PENIS32.EXE」「TEEKIDS.EXE」というファイルが作成され、同名のプロセスが起動する。ただし、トレンドマイクロや日本ネットワークアソシエイツの情報によると、これら亜種による被害は国内では確認されていないという。
NT Workstationにも注意を
状況の推移に合わせ、マイクロソフトが提供する情報もアップデートされている。
まず注意が必要なのは、この問題の影響を受けるプラットフォームだ。これまで公式には、Windows 2003のほかXP、Windows 2000、Windows NT Server 4.0が影響を受けるとされてきたが、新たにWindows NT Workstation 4.0でも同様の問題が生じることが明らかにされた。
そもそもNT Workstation 4.0は、既にマイクロソフトによるサポートが終了している製品。自らの責任で運用すべきことに変わりはないのだが、改めて、放置されたNT Workstasion 4.0がネットワーク内に存在しないかどうか確認しておきたい。
もう1つは、分散COM(DCOM)の停止についてである。これまでMSBlastや、その元凶であるMS03-026のセキュリティホールを悪用したコードの影響を避けるための回避策の1つとして、DCOMの停止が挙げられてきた。
ただし、Windows 2000の場合は注意が必要だ。というのも、Windows 2000 Service Pack 2以下の場合、RPC DCOMを停止していてもワームの影響を受ける可能性があるからである。このことはセキュリティ関連メーリングリストで指摘されていたが、マイクロソフトも正式にこれを認め、「Windows 2000でDCOMを無効にするにはWindows 2000 SP 3以上の必要が」あるという注意を追加している。
DoS攻撃の前に輻輳状態に
MSBlastの機能(?)の1つに、8月16日になると、マイクロソフトのWindows Updateサービスに向けたDoS(サービス妨害)攻撃を仕掛けるというものがある。だが、このワームについてマスメディアでたびたび報道されたこともあり、マイクロソフトのWebサイトにアクセスが集中し、時間によってはアクセスしにくい事態が生じている。ワームによる攻撃が開始される前に、意図せず一種のDoS状態が生み出されているといってもいいだろう。
問題修正のためのパッチ本体は、Windows UpdateをはじめマイクロソフトのWebサイトにアクセスして入手するしかない。
問題修正のためのパッチ本体は、Windows UpdateをはじめマイクロソフトのWebサイトにアクセスして入手するしかない。しかし、「www.microsoft.com」以下がアクセスしにくい場合でも、http://support.microsoft.com/default.aspx?scid=kb;ja;826977などからリンクをたどり、パッチを入手することができる。このWebページでは、パッチをまだ適用していないPCを特定するためのツールを入手することもできる。
また関連情報ならば、一般的なWebだけでなくiモード(http://www.microsoft.com/japan/support/bi.asp)やPDA(http://www.microsoft.com/japan/support/mobile/)、FAX(03-5454-8100もしくは03-5972-7149)など、他の経路でも入手可能だ。
管理者サイドでは、「Software Update Service(SUS)」や「Systems Management Server(SMS)」が準備してあればベターだ。だがそれが無理だとしても、オフライン状態でウイルスの検出とパッチの配布、適用を行えるような仕組みを考えておくと、より速やかに作業を行えるだろう。これは、ウイルス対策ベンダーが提供する駆除ツールについても言えることである。
ただ、あるセキュリティ関連メーリングリストでは、MSBlastのトラフィックが原因となり、Cisco製ルータに障害が発生したとする投稿も寄せられている。今年初めのSlammerほどの事態が起こるとは考えにくいが、社内網およびインターネットで輻輳が起こり、全般にネットワーク接続が困難になる事態も考えられるため、リスク回避策を検討しておくに越したことはないだろう。
基本的な対策を取れば恐れるに足らず
MSBlastについては、経済産業省や総務省も文書を公開し、警戒を呼びかけている。幅広い報道もあって、対策が必要だと感じている人も多いだろう。だが一方で、具体的に何をどうすればいいのかが分からないとする声もあるという。
MSBlastは、ここしばらく猛威を振るい続けているKlezなどとは異なり、電子メールで感染を広めるわけではなく、特定のWebサイトにアクセスしたから被害を受けるというわけではない。MS03-026のセキュリティホールが残ったままのPCでインターネットに接続しているだけで、それと気づかないうちに感染するおそれがある。
だが、だからといってむやみにおびえる必要はない。改めてエンドユーザー向けの対策を挙げれば、
- 最新のウイルス定義ファイルを用いてウイルスチェックを行う
- Windows Updateなどを利用し、MS03-026を含む最新パッチを適用する
- パーソナルファイアウォールやブロードバンドルータで、TCP/UDP 135、TCP 139、TCP 445、TCP 593、TCP 4444、UDP 69の各ポートをフィルタリングする
の3つに集約できる。これらを適切に実行していれば、必要以上に大騒ぎする必要はないはずだ。なお上記の詳細は別記事にまとめているので、参考にしてほしい。
関連記事
国内でも蔓延し始めたMBlast、注意すべきは「休暇明けのPC」特集:Windowsを危険にさらすRPCのセキュリティホール関連リンク
マイクロソフト:Blaster に関する情報「W32/MSBlaster」ワームに関する情報[高橋睦美,ITmedia]
