ニュース
» 2004年08月12日 11時30分 公開

あれから1年:Blaster騒動、緊迫の10日間を振り返る (1/2)

あれから1年が経過した。Blasterが蔓延したのはちょうど昨年の今日8月12日。ITmediaが伝えた記事からBlaster騒動緊迫の10日間を振り返ってみよう。

[堀 哲也,ITmedia]

8月12日:Blaster拡散開始

Windows RPCの脆弱性狙ったワームが拡散を開始
国内でも蔓延し始めたMSBlast、注意すべきは「休暇明けのPC」

 第一報は、早朝米国から入った。昨年7月中頃にマイクロソフトから発表されたWindows RPCの脆弱性を悪用するワームが拡散を始めたとの報だ。一部システム管理者からの情報を元に、ネットワークに入ってくるトラフィックの10%がBlasterによるものだと伝えている。

 これをきっかけにして、同日中、国内でも蔓延の兆候をキャッチした。Blasterが利用するTCP135番ポートのトラフィックが国内でも増加を見せ、セキュリティ企業もいち早くアドバイザリを公開。迅速な対応を呼びかけた。

 とはいうものの、専門家はRPCの脆弱性の実証コードが公開されていることから、Blasterの登場を警戒するよう事前に呼びかけていた。7月16日にリリースされたパッチ(MS03-026)の適用を完了していれば、この騒動に巻き込まれることはなかったはずだった。

 しかし、現実は異なった。BlaseterはWindowsサーバだけでなく、Windows XPの持つ脆弱性も利用していた。お盆休暇の最中、専門家とは到底縁のない老若男女、そして企業を被害に巻き込み、テレビニュースなどでも大きく報じられることとなった。パッチ適用の問題については、この後、マイクロソフトにとって大きな問題へ波及する。

8月15日:亜種も出現

亜種も登場、広がるMSBlastの影
MSBlastに備える――エンドユーザーの、そして管理者の対策
世田谷区が所内のウイルス感染をうけ、住基ネット接続を停止

 Blaster登場3日後というわずかな期間に、「.b」「.c」と2種類の亜種も確認された。世田谷区のPCが感染し、住基ネットへの接続試験を停止する措置をとっていたことも伝わり、徐々に被害の状況が明らかになり始めた。同時に、16日にセットされていたWindows UpdateへのDoS攻撃が翌日へと迫っていた。

8月16日:マイクロソフト、DoS攻撃回避

ひとまず回避されたMSBlastのDoS攻撃
ワーム対策でWindows Updateのアドレス変更

 マイクロソフトはDoS攻撃を事前のDNS設定の変更により回避した。パッチ配布の主要手段である「Windows Update」に影響すれば、Blasterの収束はもっと遅かっただろう。これに対するマイクロソフトの動きは迅速で、Blaster発生の2日後の14日にはすばやくDNSの設定を変更していたようだ。

 だがIPAは、午後1時時点でTCP135番ポートのトラフィックは減少していないことを理由に、感染活動は「収束に向かっているとは言えない」とコメント。予断を許さない状態が続く。

8月18日:沈静化へ

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ