Confickerと同じ脆弱性を突くワームが出現:ワーム作者に仲間意識か
新たに見つかった「Neeris」ワームの亜種は、Confickerと同じ「MS08-067」の脆弱性を悪用する機能を採用していた。
米Microsoftは、悪名高いConfickerワームと同じWindowsの脆弱性を突くワームの亜種を新たに見つけたと伝えた。
ConfickerはWindows Serverサービスの脆弱性「MS08-067」(昨年10月にMicrosoftがパッチを公開済み)を突いて感染を広げたが、今回見つかった「Neeris」ワームの亜種は、これと同じ脆弱性を悪用していた。
Neerisの最初の亜種が出現したのは2005年5月。これまでは別の脆弱性「MS06-040」を悪用していた。Autorunを使って感染する手口などはConfickerと共通しており、特に今回の亜種はConfickerとよく似た特徴を持っているという。
しかもこの亜種は、Confickerの動向が注目された3月31日から4月1日にかけて急増した。ただしConfickerによってNeerisがダウンロードされたわけではなく、両ワームの関連は実証されていないという。
Microsoftによれば、もとはConfickerの作者がNeerisを真似た可能性もあるが、その後、NeerisがMS08-067の脆弱性悪用機能を採用した状況を見ると、両ワームの作者は手を組んでいるか、少なくとも互いに意識し合っているともみられる。
セキュリティ企業の米McAfeeも、このワーム(McAfeeは「IRCbot.gen.a」と命名)がConfickerと同じ脆弱性を突いていることを確認した。ワームを作成する側はMS08-067の脆弱性が「またとないチャンス」ととらえてボットネット拡大を図っていることがうかがえると同社は指摘。MicrosoftとMcAfeeは、自社のウイルス対策製品の定義ファイルを更新し、この亜種を検出できるようにしている。
関連記事
- Conficker騒動はセキュリティ対策を見直すきっかけに
4月1日に予想されたConfickerワーム騒動は平穏な結果に終わったが、これをきっかけにセキュリティ対策を見直す必要がありそうだ。 - 「MS08-067」の悪用ワーム、世界で350万台強に感染
F-Secureによれば、1月13日から14日にかけての1日だけで、控えめに見積もっても100万台以上が新たに感染したという。 - MSが臨時のセキュリティパッチ公開、Windows狙いのワーム出現の恐れ
この脆弱性を突いた攻撃が既に発生し、ワーム作成に利用される恐れもあるため、Microsoftは臨時パッチ公開に踏み切った。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.