セキュリティ組織やベンダーは8月13日,Windowsの新しいセキュリティ・ホール「MS06-40」を悪用するボット(悪質なプログラムの一種)が確認されたとして注意を呼びかけた。ボットに感染すると,攻撃者にパソコンを乗っ取られる恐れがある。ただし米Microsoftによれば,現在確認されているボットには自動的に感染を広げる機能はなく,危険度は小さいとしている。
8月9日に公開されたWindowsのセキュリティ・ホール「Serverサービスの脆弱性により,リモートでコードが実行される (921883) (MS06-040)」は,細工が施されたデータを送られるだけで悪用される恐れがあるので,公開当初からベンダーや組織は特に注意を呼びかけていた(関連記事:「MS06-040」のパッチ適用を優先させるべき)。
実際,「MS06-040」の公開当日から,このセキュリティ・ホールを悪用する攻撃が確認され(関連記事:Windowsの新しいセキュリティ・ホールを突く攻撃が早くも出現),セキュリティ・ホールを突くプログラム(Exploit)もネット上で公開された(関連記事:Windowsの新しいセキュリティ・ホールを突くコードを確認)。
そして今回,「MS06-040」を突いて感染するボット・プログラムが確認された。ボットとは,他人のパソコンを悪用する目的で作成された悪質なプログラムのこと(関連記事:ネットの脅威「ボット」の現状)。攻撃者からの命令を待ち受け,その命令に従って何らかの動作(通常は,悪質な動作)をする。例えば,スパム・メールおよびDDoS(分散サービス妨害)攻撃の踏み台やフィッシング目的の偽サイトになる。バックドア(攻撃者がマシンに自由にアクセスできるようにするプログラム)やキーロガー(ユーザーのキー入力情報を盗むプログラム)などを仕掛けて,感染マシンから重要な情報を盗む場合もある。
今回確認されたボットは,「Graweg」や「Wargbot」「Mocbot」などと命名されている(呼び名はベンダーや組織によって異なる)。このボットは「MS06-040」を突いて,TCPポート445番経由でWindowsマシンに感染しようとする。感染対象はWindows 2000マシン。フィンランドF-Secureでは,Windows XP SP1マシンにも感染するだろうとしている。
感染したボットは,攻撃者からの命令を待ち受けるために,特定サイトのIRCサーバーに接続しようとする。また,レジストリ情報などを改変する。その結果,ユーザーがボットのプロセスを停止させようとすると,「このサービスを停止すると,システムが不安定になる」といったエラー・メッセージが表示されるという。
現時点で確認されているボットは2種類。ファイル名は「wgareg.exe」および「wgavm.exe」。Microsoftによれば,これらの危険度は低いという。過去に出現した「Blaster(MS-Blast)」などのワーム(インターネット・ウイルス)とは異なり,ネット経由で自動的に感染を広げる機能はないためだ。被害についても極めて限定的であるという。
これらのボットについては,ほとんどのアンチウイルス・ベンダーが対応済み。このため,最新のウイルス定義ファイル(パターンファイル)を使っていれば,ボットが感染した時点(マシン上にコピーされた時点)で検出・駆除できる。Microsoftが提供する「Windows Live Safety Center」でも対応済みだという。
とはいえ,より悪質なボット(プログラム)が今後出現する可能性は高い。ほとんどの企業/組織およびユーザーは対策済みだろうが,まだの場合には「MS06-040」のパッチを適用するなどして,すぐに対策を施したい。また,企業/組織においては,夏期休暇明けのボットなどの持ち込みにも警戒する必要がある。社外に持ち出したノート・パソコンなどを社内LANに接続させる際には要注意である。
・米SANS Instituteの情報
・米Microsoftの情報(1)
・米Microsoftの情報(2)
・フィンランドF-Secureの情報
