MS-Blaster について SecuriTeam vs SCAN 編集部 | ScanNetSecurity
2024.05.27(月)

MS-Blaster について SecuriTeam vs SCAN 編集部

>> 感染への対処では世界ワーストの日本 セキュリティ水準の低さが浮き彫り

製品・サービス・業界動向 業界動向
facebookLINE
>> 感染への対処では世界ワーストの日本 セキュリティ水準の低さが浮き彫り

SCAN:MS-Blaster の騒動はまだ続いていますが、いろいろな面で日本と諸外国の体制や動きの違いを浮き彫りにした騒動だったと思います。例えば、Dshield( http://www.dshield.org/ )の統計を見ると日本はいまだにポートへのアタックが増加傾向にあります。現在、世界でもっともポート135へのポートアタックの多い国になっています。

SecuriTeam:MS-Blaster は急速に感染を拡大しました。われわれのいるイスラエルでもそれは同じでした。世界中で 350,000 台のマシンに感染したと推定されています。それぞれの国の状況によって感染状況に差異があったようです。ブロードバンドが普及している国ではホームユーザへの感染が進んだと思います。イスラエルでもファイアウォールなしでブロードバンドを利用しているユーザはすぐに感染しました。
 非常に興味深いのは高い感染率にも関わらず、その感染が早い段階で食い止められたことです。およそ48時間程度で感染率は急速に下がりました。その理由としては、ISPがポート135を閉じたこと、新聞やコンピュータ関連WEBでパッチの適用を進める記事が掲載されたことなどがあげられます。

SCAN:日本ではワームの感染拡大から沈静化までの時間が非常に時間がかかったと思います。ワームの感染がはじまった12日頃と沈静化が進んだ17日を比べると、日本での対応の遅れが目立ちます。例えば韓国では17日のポートアタックの数は12日の約19%でした。これに対して日本では47%までしか下がっていませんでした。残念ながら日本のこれはセキュリティ水準の低さを物語っているとしか思えません。

SCAN:今回は感染の拡大の割りにはDDOSなどの影響があまりなかったようです。MS-Blaster はマイクロソフトのサイトをターゲットとしていました。マイクロソフトが、ねらわれたサイトを早々に閉じたこともよかったようですね。

SecuriTeam:ワームは単に windowsupdate.com のみにDDOSをしかけるようになっていました。マイクロソフト社は windowsupdate.com を閉じて windowsupdate.microsoft.com を代わりに使うことで攻撃を回避しました。
 ワームは、windowsupdate.com のポート 80 に SYN FLOOD を送ります。ワームは、GETHOSTBYNAMEによってそのホスト名のためのIPアドレスを決定します(オリジナルのコード・レッド・ワームにあったように、IPアドレスそのものは埋め込まれていません)。しかし、該当するホストがないため、攻撃を実行することができなかったのです。


>> 初動でつまづいていた日本 諸外国ではワーム登場1週間前に周知徹底

SCAN:実は今回の騒動で非常に気にかかるのは、初動捜査というか、初期の予防体制が不十分だったのではないかという点です。われわれの知る範囲では、わが国ではワームそのものの発生まで、ワームについての情報および情報に基づく予防措置はじゅうぶんとはいえませんでした。しかし、実際には、今回のワームはかなり以前からその存在が知られていたようですね。

SecuriTeam:われわれはワームが登場する1週間前に顧客に対して警告を発していました。そのようなワームが開発されたという情報が underground ですでに出回っていたからです。もちろん、われわれだけでなく、FBIをはじめとする米国機関も米国の企業に警告を発していました。実際にワームが登場する前に、そのための準備が整っていたわけです。

SCAN:日本では経済産業省が8月5日の段階でワームの登場を見越したような警告を発しています。Windows RPCの脆弱性をねらうワームが登場する可能性を指摘し、早急にパッチをあてるようにという指摘でした。

SecuriTeam:イスラエルや米国では、ワームが登場するまでに問題となる脆弱性への対処方法などを含めた情報が新聞やWEBサイトに数多く掲載されていました。そのためワーム登場後、スムーズにその対処が進んだと考えられます。


>> 体制がかわらない限り悪夢は何度でも起こる さらに凶悪なワーム Sobig.F

SCAN:ちなみに、アメリカでは12日を100%とした場合、17日は48%でした。ほぼ、日本と同じ水準の下がり方といえます。アメリカを模倣することを優先している現状の体制から考えれば、日本とアメリカが同水準というのはよくわかる結果です。しかし、編集部ではかねてから、アメリカのセキュリティ体制は重要インフラを優先し、個人や中小企業の優先度を低くしたものであるという指摘をしてきました。その結果、個人や中小企業は、CodeRed、Nimdaといった災厄に何度も襲われて来たわけです。
 日本も同じ施策を模倣する限りにおいて、同様の災厄に何度でも襲われる可能性が高いといえます。何度も繰り返すように重要インフラも個人も同じネットワークを共用している以上、一部のみを確実に守る方法はないと考えた方がよいでしょう。この変化の激しい時期において2年も前に掲載されたコラムがいまだに引できるのはさびしい限りです。

大量無差別攻撃に無防備なサイバーテロ対策 その1(2001.10.29)
by Prisoner Langley
https://www.netsecurity.ne.jp/article/7/3144.html
大量無差別攻撃に無防備なサイバーテロ対策 その2(2001.10.30)
by Prisoner Langley
https://www.netsecurity.ne.jp/article/7/3147.html

 すでに、次の災厄 Sobig.F があらわれています。


Scan Security Wire
http://www.vagabond.co.jp/c2/scan/ct.html
http://www.ascii-store.com/catalog.cgi?id=00050244
「Prisoner Langley the column vol.01」を発売(バガボンド)(2003.7.17)https://www.netsecurity.ne.jp/article/10/10589.html


《ScanNetSecurity》

PageTop

アクセスランキング

  1. 「mixi」に不正ログイン、個人データが第三者に漏えいしたおそれ

    「mixi」に不正ログイン、個人データが第三者に漏えいしたおそれ

  2. 岡山県精神科医療センターにランサムウェア攻撃、電子カルテのシステムで不具合

    岡山県精神科医療センターにランサムウェア攻撃、電子カルテのシステムで不具合

  3. 2 時間後に気づいたサポート詐欺 ~ 大東文化大学 非常勤講師 PC に不正アクセス

    2 時間後に気づいたサポート詐欺 ~ 大東文化大学 非常勤講師 PC に不正アクセス

  4. 半数の中小企業経営者、セキュリティ対策の必要性「感じたことがない」

    半数の中小企業経営者、セキュリティ対策の必要性「感じたことがない」

  5. 2023年にネットバンキングの不正送金が急増した理由

    2023年にネットバンキングの不正送金が急増した理由

  6. インテンス運営「fofo」に不正アクセス、15,198 件のカード情報が漏えい

    インテンス運営「fofo」に不正アクセス、15,198 件のカード情報が漏えい

  7. メール誤送信後に隠蔽を行った25歳職員を懲戒処分(川崎市)

    メール誤送信後に隠蔽を行った25歳職員を懲戒処分(川崎市)

  8. 攻撃者のあの手この手、リアルな攻撃&リアルな現状を知る専門家が警鐘を鳴らす ~ JPAAWG 6th General Meeting レポート

    攻撃者のあの手この手、リアルな攻撃&リアルな現状を知る専門家が警鐘を鳴らす ~ JPAAWG 6th General Meeting レポート

  9. 島根県が使用していたドメインを第三者が取得、GoToEat キャンペーンやスモウルビー・プログラミング甲子園ほか

    島根県が使用していたドメインを第三者が取得、GoToEat キャンペーンやスモウルビー・プログラミング甲子園ほか

  10. 日経225企業 9割 DMARC導入も「quarantine」「reject」設定は 26.8%、ワンクリック購読解除利用率は 77.7%

    日経225企業 9割 DMARC導入も「quarantine」「reject」設定は 26.8%、ワンクリック購読解除利用率は 77.7%

ランキングをもっと見る
ホーム 製品・サービス・業界動向 業界動向 記事
TOP