Blaster、Windows ワームの規則を書き換える

John Leyden
2003年8月14日 08:26 GMT

　ネット上の膨大な Windows マシンをクラッシュさせ混乱をもたらしたBlaster ワームが悪質なコード攻撃の規則を変えた。

　Blaster はSlammer や Nimda とは違い、あらゆる規模の企業がその影響を受けたものの、ホームユーザが攻撃の標的にさらされた。

　Blaster は、電子メールを介した攻撃手法がホームユーザにとって最も深刻な脅威という固定概念を打ち砕いた。パッチの更新およびファイアウォールの設置などのセキュリティ対策は、これまでも適切な考え方だったが、今や Windows ユーザにとっては必須の措置となった。

　Blaster の新亜種がネット上に出現したことに伴い、Blaster の特性や同ワームがもたらす損害そして感染防御策として講じるべき措置を再調査する。

●猛威を振るうワーム

　Blaster は重要なリモート・プロシージャ・コール（RPC）DCOM の不具合を悪用して脆弱な Windows マシンに感染する。その不具合を認識した時点で、我々はそれが通常の潜在的破壊力を超えていることに気付いた。

　Microsoft は先月、この問題を防御するパッチを発行したが、そのパッチの導入は予想された通り、遅々として進まなかった。そのため、無名のウイルス作者たちが Blaster ワーム（AKA Lovsan、MSBlast もしくは Poza) を引っさげて現われるまで、脆弱なマシンが大量に発生することになった。そして、Blaster ワームは月曜（8月11日）の夜、蔓延して行ったのである。被害対象となったのは、脆弱な Windows 2000 と Windows XP マシンだが、Windows 2003 と NT マシンも感染の恐れがある。Windows 95 と 98 は安全と考えられている。

　Mac、Linux OS/2、eComStation そして Unix コンピュータもこの Microsoft を狙った脆弱性の影響を受けない。

　Blaster ワームが脆弱な Windows マシンに感染した場合、マシンがネットワークに繋がると直ちにクラッシュする。ワームは悪質なコードをダウンロードし、実行しようとするが、大量メール送信機能は含まれていない。

　Blaster は感染したマシンを乗っ取り、8月16日に windowsupdate.com に対して DDoS 攻撃を仕掛けるようプログラムされている。

　この問題を最初に発見したとされる Internet Storm Centre の Blaster 解析は http://isc.sans.org/diary.html?date=2003-08-11 に掲載されている。セキュリティ情報センター CERT のアドバイザリは http://www.cert.org/advisories/CA-2003-20.html に掲載されている。

　Blaster の感染台数の推計は刻々と変わっているが、およそ数十万のマシンが感染したと思われる。例えば、Symantec は昨日の午後までに米国および英国を筆頭に 188,000 台のマシンが感染したと報じている。

●Blaster がもたらした被害

　Blaster が引き起こした問題およびその対応が徐々に明らかになりつつある。

　Washington Post が報じたところによると、メリーランド交通局はその日、オフィスを閉じた。理由は、システムが Blaster により深刻な被害を受け、通常通り機能しなくなる恐れがあるからだ。

　この予防的な閉鎖措置を効果があるとするよりもむしろ害になると見るむきもある。

　しかし多くの場合、企業はパッチをインストールするためシステムをオフラインにしているが、それは "予防のためのオフライン"（すなわち、自己作動型 DoS 攻撃に対しての）であり、システムが壊滅され、もしくはインターネットを放棄したオフラインとは全く異なるのである。

　ドイツの車メーカー BMW、スウェーデンの telco TeliaSonera、アトランタ連銀、フィラデルフィア市庁舎などの他の組織はワームの影響で、ネットワークのスローダウンやさらに深刻な被害に遭ったと報告している。

［情報提供：The Register］
http://www.theregister.co.uk/

［翻訳：関谷　麻美］

（詳しくはScan本誌をご覧ください）
http://shop.vagabond.co.jp/m-ssw01.shtml