図 Downadaupが悪用したのはWindowsのRPCサービス
図 Downadaupが悪用したのはWindowsのRPCサービス
[画像のクリックで拡大表示]

 Downadupとは、OSのぜい弱性を狙うウイルスだ。自らコピーする能力(自己増殖能力)を有する「ワーム」に分類される。2009年を象徴するウイルスの一つである。

 なぜ2009年、Downadupが流行したのかを見ていこう。最大の原因は、多くの企業が定期的にOSをアップデートしていなかったからである。Downadupは、Windowsが標準で搭載するRPC(remote procedure call)サービスのぜい弱性を悪用する。不正コードを入れたRPCリクエストを、待ち受けポートの一つである445/tcpに送る。それを受け取ったコンピュータが不正なコードを実行してしまい感染する(図)。

 このぜい弱性に対して、マイクロソフトは2008年10月24日に修正プログラム「MS08-067」を公開した。だがその後も多くの企業が被害に遭っており、修正プログラムを適用していない企業が多かったことが明らかになった。

 その後、Downadupの被害は亜種の登場によってさらに広がった。当初は前述のようにWindowsのRPCサービスのぜい弱性を悪用していたが、(1)ネットワーク内の共有フォルダに対してIDとパスワードを推測してアクセスを試みる手法、(2)USBメモリーにウイルスをコピーし、そのメモリーを利用した別のコンピュータに侵入する手法が登場。ネットワークにつながっていないコンピュータにまで被害が及んだ。

 対処方法としては、ウイルス対策ソフトの機能の一つである「不正侵入検知」(intrusion prevention system)が有効だ。企業の業務システムにおいては、修正プログラムを反映するにしても事前の動作検証が欠かせず、すぐに反映できない場合が多い。そのためIPSを使ってネットワークを監視して通信が不正か否かを判断するのが有効である。