「MS08-067」の悪用ワーム、世界で350万台強に感染:感染の手口も複雑化
F-Secureによれば、1月13日から14日にかけての1日だけで、控えめに見積もっても100万台以上が新たに感染したという。
「MS08-067」悪用ワーム、世界で350万台強に感染
F-Secureによれば、1月13日から14日にかけての1日だけで、控えめに見積もっても100万台以上が新たに感染したという。
セキュリティ企業のF-Secureは1月14日のブログで、「Downadup」ワームに感染したコンピュータが世界で350万台を超えたと報告した。前日からの1日だけで、控えめに見積もっても100万台以上が新たに感染したと推計している。
Downadup(別名Conficker)は米Microsoftが10月の臨時パッチ「MS08-067」で対処した脆弱性を悪用するワーム。11月ごろから出回り始め、その後新たな亜種も出現して企業ネットワークなどを介して感染を広げている。
F-Secureによれば、Downadupは複雑なアルゴリズムを用いて毎日違ったドメイン名を多数作成するため、対策側にとってはワームが実際に使っているWebサイトを突き止めて閉鎖させるのが極めて難しいという。国別に見ると、中国、ブラジル、ロシアなどの感染件数が突出して多く、日本で感染したIPの数は13日現在で1193件となっている。
米Symantecによると、12月末に見つかった亜種の「W32.Downadup.B」は、リムーバブルメディアやネットワークドライブに「autorun.inf」ファイルを作成。このドライブにアクセスしたユーザーのマシンに感染し、さらにこのマシンがアクセスする別のドライブにもautorun.infを作成して、感染拡大を図る。
さらに、ドメインへのDNS要求に含まれる文字列を監視してアクセスをブロックし、ネットワーク要求がタイムアウトしたかのように見せかけて、セキュリティソフトウェアのアップデートなどを妨害するほか、辞書攻撃でローカルネットワークの共有パスワードを盗む。
Microsoftが1月の月例パッチと併せてリリースした悪意のあるソフトウェア削除ツール(MSRT)では、このワームを検出できるようにした。ワームの影響が出ている場合、まず全コンピュータにアップデートを適用し、ネットワーク共有のパスワードを強力なものに変更した後、MSRTを実行してワームを駆除するようMicrosoftは呼びかけている。企業環境でのMSRTの使い方を解説した技術文書も公開された。
関連記事
- 「MS08-067」の脆弱性悪用ワームが感染拡大
Microsoftが臨時パッチ「MS08-067」で対処した脆弱性を悪用するワームが、企業ネットワークで感染を広げている。 - 企業の脆弱性対応の遅れが明らかに、12月の動向から
Microsoft製品の脆弱性を悪用する不正プログラムの被害が企業に集中していることが、トレンドマイクロの調査で判明した。 - 10月のMS脆弱性問題、企業ばかりに被害多発
10月に発見されたMicrosoft Windowsの脆弱性問題では、アンチウイルスのみの対策をしていた企業に多数の被害が発生したという。 - MSが臨時のセキュリティパッチ公開、Windows狙いのワーム出現の恐れ
この脆弱性を突いた攻撃が既に発生し、ワーム作成に利用される恐れもあるため、Microsoftは臨時パッチ公開に踏み切った。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.