ニュース
2004/03/22 13:14 更新


ISS製品の脆弱性を狙うワーム「Witty」登場

ISS製品の深刻な脆弱性が明らかになった直後、この脆弱性を狙ったワーム「Witty」が登場した。このため発信元ポートがUDP/4000番のパケットが急増している。

 警察庁は3月20日、UDP/4000番ポートを発信元とするトラフィックが増加していることを受け、警戒を呼びかけている。

 同庁およびいくつかのセキュリティ企業の発表を総合すると、このトラフィック増加の原因は、インターネット セキュリティ システムズ(ISS)の多くの製品に存在する脆弱性(別記事参照)を悪用したワーム「Witty」と見られる。

 このワームは、ISSの「BlackICE」や「RealSecure」などに存在するPAM/ICQルーチンの脆弱性を悪用したもの。ISC(Internet Storm Center)Symantecの報告によれば、Wittyはひとたび感染すると、発信元ポートはUDP/4000、送信先ポートは無作為のパケットを、複数のIPアドレスに対して大量に送信する。さらにこのワームは、感染先のマシンをクラッシュに陥れるほか、ハードディスク内のランダムなセクターを上書きするといった悪影響を及ぼすケースも報告されているという。

 しかもWittyは、電子メールではなくもっぱらネットワーク経由で感染を広めるため、ウイルス対策ソフトウェアのでの検出が難しい。

 対策としては、まず、ISS製品を利用している場合は早急にパッチを適用する。またルータやファイアウォールでは、発信元ポートがUDP/4000のパケットをフィルタするよう設定する。それが不可能な場合は、BlackICEなどISS製品を導入しているホストを、一時的にネットワークから隔離するしかないだろう。

関連リンク
▼警察庁:UDP4000番ポートを発信元ポートとするトラフィックの増加について(3/20)
▼日本エフ・セキュア

[ITmedia]

Copyright © ITmedia, Inc. All Rights Reserved.