Downadupワームの対策指南、セキュリティ各社が紹介:過去数年では最悪の脅威
USBメモリなどのリムーバブルメディアとネットワークを介して増殖を続けるDownadup。感染を防ぐための対策は?
世界各地で猛威を振るっている「Downadup」(別名Conficker)ワームの勢いが止まらない。セキュリティ各社は今後甚大な被害が出る恐れがあると警告し、感染を防ぐための早急な対策を促している。
F-Secureの推計によると、同ワームに感染したマシンは16日までに890万台に達し、状況はさらに悪化しているという。
感染の主要経路は、USBメモリなどのリムーバブルメディアと企業などのネットワーク。ネットワークでは弱いパスワードを破って社内のマシン全体に感染を広げ、リムーバブルメディアではAutorun機能を利用する。
Downadupワームのautorun.infファイルは、自動実行のオプションとして最上位に「プログラムのインストールまたは実行」が表示されるが、それに付随するアイコンは「フォルダを開いてファイルを見る」と記載されている。つまり、ユーザーはファイルを開くつもりでワームをインストールしてしまう恐れがあるという。
Symantecによると、Downadupは現時点では、感染を広げる以外に悪質な動作はしていない。しかし、現代のマルウェアは金目当てのものが主流である。Downadupはそのコードの特徴から、アドウェアや偽ウイルス対策ソフトなどの不正ソフトを配布している組織が関係していると、Symantecはみている。
実際、Downadupは追加機能を実装するための仕組みを2つ持っているという。1つは同ワームが日々大量に生成しているドメインにアクセスして追加機能ファイルを取得する方法。さらに、感染マシン同士でP2Pの仕組みを使ってファイルを共有する機能も備えているという。
感染がここ数年で最大の規模に達していることを考えると、同ワームは甚大な被害を引き起こす可能性があるとSymantecは警告する。
対策としては、まず「MS08-067」のパッチを一刻も早く適用すること。社内でパッチを当てていないマシンが1台でもあれば、ネットワーク全体にワームが感染する恐れがあるとTrend Microは釘を刺している。社内のマシンはもちろん、パートナー企業や提携先など外部のマシンをネットワークにアクセスさせる場合もパッチ適用状況に気を配る必要がある。
さらに、リムーバブルメディアのAutorun機能を無効にすること、強力なパスワードを設定することを、セキュリティ各社は促している。
関連記事
- 「MS08-067」の悪用ワーム、世界で350万台強に感染
F-Secureによれば、1月13日から14日にかけての1日だけで、控えめに見積もっても100万台以上が新たに感染したという。 - 「MS08-067」の脆弱性悪用ワームが感染拡大
Microsoftが臨時パッチ「MS08-067」で対処した脆弱性を悪用するワームが、企業ネットワークで感染を広げている。 - 10月のMS脆弱性問題、企業ばかりに被害多発
10月に発見されたMicrosoft Windowsの脆弱性問題では、アンチウイルスのみの対策をしていた企業に多数の被害が発生したという。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.