今回の脆弱性を悪用する「Win32/IRCbot.BH」の詳細（米マイクロソフトの情報）

[画像のクリックで拡大表示]

　米マイクロソフトやセキュリティ企業各社は2008年11月25日、同年10月24日に公表されたWindowsの脆弱（ぜいじゃく）性を悪用するウイルス（ワーム）が続出しているとして注意を呼びかけた。セキュリティ更新プログラム（修正パッチ）を適用していないパソコンでは、インターネットに接続するだけで感染し、パソコンを乗っ取られる恐れがある。

　ウイルスが悪用するのは、セキュリティ情報「［MS08-067］Serverサービスの脆弱性により、リモートでコードが実行される (958644)」に含まれる脆弱性。影響を受けるのは、Windows 2000/XP/Server 2003/Vista/Server 2008。深刻度は、Windows 2000/XP/Server 2003が「緊急」で、Windows Vista/Server 2008が上から2番目の「重要」。

　マイクロソフトは、同社製品のセキュリティ情報と修正パッチを、毎月第2火曜日（米国時間。日本時間ではその翌日）に公開している。しかしながら、この脆弱性については、細工が施されたデータを送信されるだけで悪質なプログラム（ウイルスなど）を実行される恐れがあるため、セキュリティ情報と修正パッチを緊急リリースした。

　実際、セキュリティ情報の公開前から、この脆弱性を悪用した攻撃は確認されていた。公開以降も、セキュリティ企業各社は、この脆弱性を悪用する攻撃やウイルスを報告。そして今回、脆弱性悪用のウイルスが続出しているとして、各社は改めて注意を呼びかけた。

　マイクロソフトによれば、「MS08-067」のパッチを適用していないユーザーから、ウイルス感染報告が多数寄せられているという。報告されているウイルスの一例は「Win32/IRCbot.BH」と呼ばれるもの。ボットの一種であり、感染すると、攻撃者にパソコンを乗っ取られてしまう。

　米マカフィーが最近確認したウイルスとして挙げているのは「W32/Conficker.worm」。感染すると、特定のWebサイトから別のウイルスをダウンロードして感染させる。加えて、脆弱性のあるパソコンを見つけると、ネットワーク経由でウイルス本体を送り込み感染させる。

　米トレンドマイクロでは、「WORM_DOWNAD.A」や「WORM_NETWORM.C」を例示。いずれもW32/Conficker.wormと同様に、特定サイトから別のウイルスをダウンロードして実行するとともに、ネットワーク経由で自動的に感染を広げようとする。

　脆弱性を悪用されないための最善策は、マイクロソフトが提供する修正パッチを適用すること。修正パッチは「Microsoft Update（Windows Update）」から適用可能。自動更新機能を有効にしていれば自動的に適用される。特別な理由がなければ、必ず適用しておきたい。

• 米マイクロソフトの情報