あれから1年が経過した。Blasterが蔓延したのはちょうど昨年の今日8月12日。ITmediaが伝えた記事からBlaster騒動緊迫の10日間を振り返ってみよう。
第一報は、早朝米国から入った。昨年7月中頃にマイクロソフトから発表されたWindows RPCの脆弱性を悪用するワームが拡散を始めたとの報だ。一部システム管理者からの情報を元に、ネットワークに入ってくるトラフィックの10%がBlasterによるものだと伝えている。
これをきっかけにして、同日中、国内でも蔓延の兆候をキャッチした。Blasterが利用するTCP135番ポートのトラフィックが国内でも増加を見せ、セキュリティ企業もいち早くアドバイザリを公開。迅速な対応を呼びかけた。
とはいうものの、専門家はRPCの脆弱性の実証コードが公開されていることから、Blasterの登場を警戒するよう事前に呼びかけていた。7月16日にリリースされたパッチ(MS03-026)の適用を完了していれば、この騒動に巻き込まれることはなかったはずだった。
しかし、現実は異なった。BlaseterはWindowsサーバだけでなく、Windows XPの持つ脆弱性も利用していた。お盆休暇の最中、専門家とは到底縁のない老若男女、そして企業を被害に巻き込み、テレビニュースなどでも大きく報じられることとなった。パッチ適用の問題については、この後、マイクロソフトにとって大きな問題へ波及する。
Blaster登場3日後というわずかな期間に、「.b」「.c」と2種類の亜種も確認された。世田谷区のPCが感染し、住基ネットへの接続試験を停止する措置をとっていたことも伝わり、徐々に被害の状況が明らかになり始めた。同時に、16日にセットされていたWindows UpdateへのDoS攻撃が翌日へと迫っていた。
マイクロソフトはDoS攻撃を事前のDNS設定の変更により回避した。パッチ配布の主要手段である「Windows Update」に影響すれば、Blasterの収束はもっと遅かっただろう。これに対するマイクロソフトの動きは迅速で、Blaster発生の2日後の14日にはすばやくDNSの設定を変更していたようだ。
だがIPAは、午後1時時点でTCP135番ポートのトラフィックは減少していないことを理由に、感染活動は「収束に向かっているとは言えない」とコメント。予断を許さない状態が続く。
Copyright © ITmedia, Inc. All Rights Reserved.