セキュリティ組織の米SANS Insituteなどは現地時間8月14日,Windowsの新しいセキュリティ・ホールを突くボット(悪質なプログラムの一種)を企業・組織のLANに持ち込まないよう注意を呼びかけた。このボットはネットワーク経由で感染する「ワーム」の性質を持つために,LAN中に感染が広がる恐れがあるためだ。
現在話題になっているボットは,8月9日に公開された「Serverサービスの脆弱性により,リモートでコードが実行される (921883) (MS06-040)」を悪用する(関連記事:Windowsのセキュリティ・ホールを突くボットが出現)。ボットは,「Graweg」や「Wargbot」「Mocbot」などと呼ばれており,ベンダーや組織によって名称が異なる。
ボットは「MS06-040」を突いて感染する。感染するとマシン上で動作し,IRC経由で攻撃者からの命令を待ち受ける。そして,命令に従ってDDoS(分散サービス妨害)攻撃やスパム送信などをおこなう。
同時にボットは,AIM(AOL Instant Messenger)を使って感染を広げる。具体的には,感染マシンで稼働するAIMに登録されているユーザーに対して,ボットが置かれているサイトのURLが記されたメッセージを送信する。受信ユーザーがリンクをクリックしてボットをダウンロードおよび実行すると,感染することになる。
加えて,ネットワーク経由でも感染を広げる。具体的には,「MS06-040」のセキュリティ・ホールが存在するマシンを探し,見つけるとボットを送り込んで感染させる。このため,インターネット/LAN境界のファイアウオールなどでボットのトラフィックを遮断していても(TCP ポート135-139や445をブロックしていても),ボット感染マシンをLANに接続してしまうと,LAN中に被害が拡大する恐れがある。
米Microsoftのセキュリティ・チーム「Microsoft Security Response Center(MSRC)」は8月13日,公式ブログにおいて,「現在確認されているボットには自動的に感染を広げる機能はない」としているが,組織やベンダーのなかには,この機能を持つとしているところも少なくない。例えばSANS Instituteでは,今回のボットを「ワームのように感染を広げる」として注意を呼びかけている。ユーザーや管理者としては,ネット経由でも感染する可能性があると考えて警戒したほうがよいだろう。
対策は,とにかく「MS06-040」のパッチを適用すること。パッチはマシンの再起動しないと有効にならないため,SANS Instituteでは,適用後にマシンを再起動することを忘れないよう警告している。ただしパッチを適用していても,ユーザーがボット・プログラムを明示的に実行してしまえば,マシンを乗っ取られるので要注意。パッチの適用に併せて,信頼できないファイルは実行しないことが重要である。
ウイルス対策ソフトの利用も対策として有用である。ただし,ベンダーのなかには未対応のところもある。自動的に更新される定義ファイル(パターンファイル,シグネチャ)ではなく,手動で適用する緊急の定義ファイルでのみ対応している可能性もある。このため対応状況については,利用している製品のベンダーのWebサイトなどで確認する必要がある。
国内においては,多くの企業・組織が夏期休暇に入っているだろう。「休暇中はノート・パソコンを自宅などで使用して,休暇明けには企業・組織のLANに接続する」というケースは少なくないはずだ。このとき,悪質なプログラムをLANに持ち込まないように,ユーザーや管理者は十分注意したい。少なくてもLANに接続する前には,パッチ適用の確認とウイルス・チェックを実施したい。少しでも不安な場合(例えば,パソコンの動作が不安定な場合)には,接続前にシステム管理者などに相談してほしい。
