News 2001年8月6日 07:33 PM 更新

危険度はオリジナルを超える新種「Code Red II」

Code Redの新種「Code Red II」が発見された。感染した時の被害は,Code Redをはるかにしのぐ悪質なものだ。また,オリジナルのCode Redは,国内だけで数千サーバが感染している可能性もあるという。IISの脆弱性については必ずチェックしておくべきだろう。

 情報処理振興事業協会セキュリティセンター(IPA/ISEC)が,「Code Red」の新種について注意を呼びかけている。8月4日に発見された新種は,オリジナルと同様にIISサーバのバッファオーバフローを利用して感染するワームだが,新種はさらに,バックドア型のトロイの木馬「Trojan.Virtual Root」をインストールし,リモート操作でWebサーバに不正侵入できるようにしてしまうなど,より悪質になっている。

 IPA/ISECによれば,この新種は「IISの脆弱性を突くところなど,機能はCode Redに似ているが,プログラムは全くの別物」(にもかかわらず,プログラムの中には“Code Red II”と記されているという)。また,「Code Redでは感染サーバのリストを作成することができることから,不正アクセスの被害に遭う可能性は非常に高い」(同)と警告する。

 「Code Redはメモリ上に展開されるので,再起動すればワームは削除されるが,Code Red IIに感染した場合は,OSのクリーンインストールならびにフルバックアップからのリストアが必要になる」(IPA/ISEC)。Code Red IIから感染を目的とする攻撃を受けると,IISのログに「GET /default.ida?XXXXX〜」というURLが記録される(Code Redの場合は「GET /default.ida?NNNNN〜」)

国内数千サーバ感染の恐れ

 8月6日時点で,IPA/ISECに寄せられたCode Redのオリジナル/新種の感染報告は2件だけ。しかしながら,IPA/ISECでは「Code Redからの攻撃を受けているという情報は多く,国内だけでも数千のサーバが感染している恐れがある」と指摘する。

 実際,東京めたりっく通信は,8月1日から2日にかけて発生したサービス障害が,「契約ユーザーのIISサーバが,Code Redに感染したことが原因の可能性もある」とユーザーに通知している(8月3日の記事参照)。

 また,Code Redに感染するのはWebサーバだけだと安心してはいけない。あるWebサーバ管理者は,「Code RedはWebサーバだけでなく,IISがインストールされているWindowsマシンにも感染する。Code Redは,5分から10分に1回のペースで攻撃をしかけてくるが,ダイヤルアップユーザーからと思われるものも数件確認している」と指摘している。

 なお,シマンテックならびに日本ネットワークアソシエイツでは,IISの脆弱性をチェックする無償の検査ツールを公開しているので,Windows NT4.0/2000/XP(ベータ版)に,IIS 4.0/5.0ならびにIndex Server 2.0/Indexing serviceをインストールしているユーザーは試してみるべきだろう。

SirCamは「極めて大きな実質的被害」

 また,活動を再開したCode Redとは反対に,沈静化に向かいつつある「SirCam」ウイルスだが,その被害状況が明らかになった。

 IPA/ISECによれば,SirCamに感染した電子メールを受け取ったユーザーのうち,実際に感染してしまった割合は20%を超えたという。「極めて大きな実質的被害だ。MagistrやSirCamなど,届出件数で上位にある“データ破壊型ウイルス”の実害率が高い」(同)。

 SirCamに感染すると,「Outlook」「Outlook Express」のアドレス帳に登録されている全てのアドレス,ならびに閲覧したWebページに掲載されているアドレスに対し,「マイドキュメント」フォルダ内の「Word」「Excel」などのファイルを添付してメールが送信されてしまう。また,10月16日になると20分の1の確率でハードディスク内の全ファイルが削除される危険性もある。

 さらに,SirCamのIPA/ISECへの届出件数は520件を記録。これは,新種ウイルスの当月届出件数としては過去最多になる(これまで最も多かったのは2000年11月の「Navidad」で437件」)。このため,7月のウイルス届出件数は,全体で前年同月約2.5倍の1738件にのぼった。

関連記事
▼ Code Redに変種,猛威をふるう
▼ 相次ぐウイルス騒動でセキュリティサイトへのアクセス急増
▼ 東京めたりっく通信の通信障害はCode Redが原因か
▼ 勢いの鈍ったCode Red,しかしまだ要注意
▼ Code Red,8月1日に再び感染開始へ

関連リンク
▼ 情報処理振興事業協会セキュリティセンター

[中村琢磨, ITmedia]

Copyright © ITmedia, Inc. All Rights Reserved.