| エンタープライズ:ニュース | 2003/09/03 21:03:00 更新 |
MSBlastなどの影響くっきり、IPA/ISECのウイルス届出状況
IPA/ISECがまとめた2003年8月のコンピュータウイルスおよび不正アクセス情報の届出数には、MSBlast、Nachi、それにSobig.Fという3種類のウイルスの影響がはっきりと現れている。
情報処理新興事業協会セキュリティセンター(IPA/ISEC)は9月3日、2003年8月のコンピュータウイルスおよび不正アクセス情報の届出数をまとめ、公開した。
IPA/ISECによると、8月中のウイルス被害状況を一言で表せば「史上最悪の混乱」になる。改めて言うまでもないかもしれないが、Windowsに存在するセキュリティホールを悪用した「MSBlast(Blaster)」「Nachi(Welchi)」、それに大量の電子メールをばら撒く「Sobig.F」という、8月中旬以降に登場した3種類のワームが全世界的に大きな影響を及ぼした。IPA/ISECのまとめた数値にも、それが如実に表れている。
| 順位 | ウイルス名 | 届出件数 |
| 1 | W32/Sobig | 542 |
| 2 | W32/Klez | 409 |
| 3 | W32/MSBlaster(MSBlast) | 315 |
| 4 | W32/Bugbear | 153 |
| 5 | W32/Mimail | 107 |
| 6 | W32/Welchi(Nachi) | 86 |
この3カ月間というもの、IPA/ISECがまとめたウイルス届出件数は、ほぼ1400件強で推移してきた。それが8月は、今年最悪となる2014件に上っている。実際に被害を受けた割合も増加し、21.6%という高い割合を記録した。
なお、「ウイルスを発見した」という届けではなく、ウイルスに関する相談の数となるとさらに大きな数となる。IPA/ISECが受け付けた相談件数は3065件、経済産業省が設置した緊急対応窓口では1180件といい、それ以外の機関やベンダーが設けた窓口への相談も含めると、相当数のユーザーが一連のワーム騒動の影響を受けたと推察できる。
このことは、不正アクセスの届出件数からも明らかだ。8月中の不正アクセス届出件数は45件と、今年最悪の数を記録した。しかもそのうち「ワーム感染」が4件、「ワーム形跡」は13件といい、MSBlastやNachiの影響がここにも現れた形だ。また、企業システム内でワームの感染が広まり、それが吐き出すトラフィックでネットワークが輻輳し、業務に支障を来たしたという内容の届出もあったという。
MSBlastが蔓延する根本的な原因は、Windows RPCインタフェースに存在するセキュリティホール(MS03-026)だ。このセキュリティホールを放置していると、ユーザーが何らかのアクションを取らずとも、インターネットに接続しているだけでワームに感染してしまう。
IPA/ISECでは、Windowsプラットフォームにこのような重大なセキュリティホールが存在していたうえ、パッチの適用など、そのセキュリティホールを修正するための予防策が取られなかったことが被害の拡大を招いたと分析している。
さらに混乱を大きくしたのがMSBlast感染の副作用だ。このワームに感染するとPCが再起動を繰り返すケースがあり、例えば、自宅に1台しかないPCが感染した場合は、対処策を調べるためにインターネットに接続することも、パッチ適用を行うこともできない状態に陥った。この一件はマイクロソフトも反省しているようで、同社は現在、パートナー各社を通じて駆除ツールとパッチを同梱したCD-ROMの配布を行っている。
パッチ適用とワーム駆除の両輪を
IPA/ISECが更新してきたMSBlast関連情報やNachi関連情報によると、寄せられる相談件数などは小康状態にあるようだ。またMSBlastなどが感染の際に利用するTCP 135番ポートへのアクセスは、緩やかな減少を見せている。
だが、実際にはワームは根絶されるどころか、依然として多い状況にあるという。
これらの原因として、パッチを適用してセキュリティホールを塞いだものの、ワーム本体を駆除していないユーザーが多数存在することが挙げられるとIPA/ISECは指摘している。ユーザー本人は、パッチを適用し、PCの挙動が安定したことで問題が解決したと思っていても、それだけでは不十分だ。実際には、PCに潜んだワームが継続的に他のWindowsマシンに攻撃を仕掛けているおそれがある。パッチの適用だけでなくワーム本体の検出・駆除の両方の対処が必要だ。
特に、MS03-026のセキュリティホールを悪用して感染を広め、MSBlastの活動を停止させるNachiについては警戒が必要だ。IPA/ISECが観測したデータによると、Nachiが送り出していると見られるping(ICMP Echo リクエスト)のトラフィック量には、減少の気配が見られない。しかもNachiはMSBlastの活動を停止させ、PCの稼動を安定させるように見せかけてユーザーの油断を誘いやすい。IPA/ISECが公開している上記の情報を元に、確実に対策がなされているかどうかを確認しておくのが望ましいだろう。
もう1つ、ここ数カ月の間届出件数の首位に上がっていたKlezだったが、とうとうその座をSobigに譲っている。いずれも、電子メールを悪用して感染を広めるタイプのウイルスで、しかも、そのメールの送信者を詐称することから、これらも長期にわたるまん延が懸念される。この点でも、不審な添付ファイルは決して実行しないという基本的な対策が改めて求められるだろう。
関連記事
Sobigの被害額、世界で約300億ドル二つのワームの猛攻でネットワーク大混乱IPA/ISECが7月のウイルス届出件数などを公表、改めてパッチの適用を呼びかけ特集:Windowsを危険にさらすRPCのセキュリティホール関連リンク
IPA/ISEC[高橋睦美,ITmedia]
