米マカフィーなどは2007年4月16日(米国時間)、Windows 2000 ServerやWindows Server 2003のぜい弱性(セキュリティホール)を突いて感染を広げる新たなウイルス(悪質なプログラム)が確認されたとして注意を呼びかけた(マカフィーの情報)。感染するとコンピューターを乗っ取られてしまう。Windows 2000 Professional/XP/Vistaには、今回のウイルスが悪用するぜい弱性は存在しない。
今回確認されたウイルスが悪用するのは、マイクロソフトが4月13日に公表した「Windows DNSサーバーのRPCの脆弱性により、リモートでコードが実行される」。これは、Windows 2000 ServerとWindows Server 2003が備えるDNSサーバーサービスのぜい弱性。細工が施されたデータを送信されるだけで、悪質なプログラムを勝手に実行される恐れがある。実際、このぜい弱性を突くプログラムが、4月14日以降、ネット上で公開されている。
影響を受けるのは、DNSサーバーサービスを有効にしているWindows 2000 ServerとWindows Server 2003。DNSサーバーサービスを無効にしている場合には影響を受けない。また、Windows 2000 Professional/XP/Vistaには、今回のぜい弱性が見つかったコード(プログラム)が含まれていないため、影響を受けない。
マカフィーなどが確認したウイルスは、このぜい弱性を突いて自動的に感染を広げるもの。感染すると、攻撃者にコンピューターを自由に操作されてしまう。いわゆる「ボット」である。例えば、迷惑メール(スパム)送信やDDoS(分散サービス妨害)攻撃の踏み台などに悪用される危険性がある。コンピューターに保存されている情報を盗まれたり、別のウイルスをインストールされたりする恐れもある。
現時点(4月17日)では、修正パッチ(セキュリティ更新プログラム)は準備中。このため修正が間に合わない、いわゆるゼロデイ攻撃を受ける可能性がある。現在のところ防御策は、マイクロソフトが公開する方策を施すこと。具体的には、(1)レジストリキーの設定を変更してDNSサーバーのRPC機能のリモート管理を無効にする、(2)ファイアウオールなどで、TCP/UDP 445番ポートおよび1024番ポート以上の要求していない受信トラフィックをブロックする――など。設定変更の詳細については、セキュリティアドバイザリの「推奨するアクション」の項を参照してほしい。
