| エンタープライズ:ニュース | 2003/12/24 22:06:00 更新 |
警察庁がワーム発信元に注意喚起、対象者は「すぐに受け入れ」
警察庁は、SlammerやMSBlastの感染活動元と思しきIPアドレスの管理者に対し、直接注意を呼びかける活動を開始した。
警察庁は12月22日、SlammerやMSBlast(Blaster)が感染を広めるために吐き出していると思しきパケットの送信元に対し、直接注意を呼びかける活動を開始したことを明らかにした。
今年1月に発生したSlammer、8月に発生したMSBlastはいずれも、既知のセキュリティホールを突いて感染を広めるタイプのワームだ。ひとたびあるホストに感染すると、次なる犠牲者を求めてパケットを投げつける。
いずれのワームも、感染開始直後のような爆発的なトラフィックこそなくなったものの、感染活動によるものと思われるトラフィックが一定レベルで続く一種の「小康状態」が続いている。これは同庁の観測からも、またIPA/ISECなど他の機関やセキュリティベンダーによる観測からも明らかだ。
しかもMSBlastについては、その後に現れた新ワーム「Nachi」によって、活動が押さえ込まれている側面がある。Nachiは、対象PC上でMSBlastが動作しているかをチェックし、そのプロセスを停止させる動きをするワームだ(ただし、感染の根本原因であるMS03-026のセキュリティホールに対する修正パッチの適用は、日本語版では行われない)。このNachiが2004年1月1日以降活動を停止することから、MSBlastの活動が再び活発化する恐れがあるという。
こうした状況を踏まえて警察庁では、12月10日から19日までの間に検知したSlammer、MSBlast両ワームの感染活動元に対し、注意喚起を行うこととした。対象となるのはSlammerでは46の管理者(IPアドレス数では182)、MSBlastは112管理者(IPアドレス数では2405)。ユーザー個々に直接注意を呼びかけるのではなく、インターネットサービスプロバイダーや企業が中心だ。まずネットワーク管理者に対して直接注意を行い、そこから実際に感染しているユーザーに対処を呼びかけてもらう形を取る。
ウイルスによるものと見られるトラフィックがやってきた場合、民間企業や個人がそれを指摘し対処を求めたとしても、無視されたり、時にはトラブルの元になる場合も珍しくない。しかし警察庁によると、注意に対していわゆる“逆切れ”を起こす事業者はまずなく、「ほとんどがすぐに注意を受け入れ、対処に動いている」(同庁広報担当)という。まだこの活動を始めたばかりであり、その成果がすぐトラフィックに反映されているわけではないが、一定の効果は収められているのではないかという見方だ。
なおWindowsプラットフォームには、MSBlastが蔓延の際に悪用したセキュリティホールの後にも、同程度に深刻なセキュリティホールがいくつか発見され、パッチが公開されている。また同庁では特に触れていないが、これらワームが引き続き蔓延し続ける理由の1つとして、パッチを当てることだけで満足し、潜んでいたワームに気付かずにPCを使い続けるユーザーの存在も挙げられる。周囲に迷惑をかけないためには、最新のパッチの適用と対策ソフトによるウイルスの駆除の両方が必要とされるだろう。
関連記事
Windowsを危険にさらすRPCのセキュリティホール関連リンク
警察庁(@police)[高橋睦美,ITmedia]
Copyright © ITmedia, Inc. All Rights Reserved.
