「かつては,深刻なワームは1年に1件ほどしか出現しなかった。ところが2001年以降には毎月のように出現している。ワームの“トレンド”を知り,適切に対処していかなければならない」---。米SecurityFocusのSenior Threat AnalystであるRyan Russell氏は2月27日,ネットワーク セキュリティ テクノロジー ジャパンが主催したセミナーで,ワームの最近の傾向を解説するとともに警告を発した(写真)。SecurityFocusは,セキュリティ関連のメーリング・リスト「Bugtraq」を運営することで知られるセキュリティ・ベンダーである。講演要旨は以下の通り。
複数の感染手法を持つ
「Nimda」に代表されるように,複数の感染手法を持つワームが増えている。Nimdaは,(1)電子メール経由,(2)クライアントからWebサーバー,(3)Webサーバーからクライアント,(4)共有ネットワーク(SMB)経由,(5)Nimdaに感染した実行ファイルの交換---で感染を広げる。「Adore」は,3種類のソフトウエア(DNS,lpd,statd)のセキュリティ・ホールを悪用して感染を広げる。
こういったワームに対抗するには,すべての感染経路で守りを固める必要がある。例えばNimdaの場合には,クライアント・マシンだけにウイルス対策ソフトやセキュリティ・パッチを適用しても不十分だ。サーバー・マシンにもパッチを適用するとともに,セキュアな設定に変更しなければならない。電子メールのフィルタリングも効果的だ。
プレビューするだけで勝手に実行
以前は,電子メールを悪用するワームに対しては,「添付ファイルを安易にクリックするな」や「ある特定のファイル名はウイルスなので削除しろ」などと警告できた。しかし,現在ではNimdaや「Aliz」といった,Internet Explorer(IE)のセキュリティ・ホールを悪用するワームが出現している。これらは,プレビューするだけで実行されてしまう。
IEのセキュリティ・ホールは頻繁に見つかる上に,それを悪用するのは比較的容易だ。ユーザーはパッチの適用やウイルス対策ソフトの使用で対処しなければならない。
セキュリティ・ホールが公開されるとすぐに出現
セキュリティ・ホール情報が公開されてから,それを悪用するワームやツールが出現するまでの時間が短くなっている。「Code Red」は,セキュリティ・ホールが公開されてから1カ月後に出現している。Telnetのセキュリティ・ホールを突く「x.c」というツールは,1カ月半後に出現した。
公開されていないセキュリティ・ホールを突く「HTR」ワームも出現している。ただし,幸いなことにこのワームはほとんど広がらなかった。
ユーザーとしては,できるだけ早く情報を入手し,すぐに対策を施す必要がある。
“巧妙”な手口は数々
これら以外にも,ワームは“巧妙”な手口を持つようになっている。例えば,1台のマシンには1つのワームしか起動しないようにしている。同時に複数のワームが動作すると,マシンが遅くなるなどして,ユーザーに気付かれてしまうからだ。「Code Red II」や「Code Blue」,Nimdaなどは,同じワームが動作しているかどうかをチェックする。
さらにNimdaは,感染するマシンのスペックに応じて挙動を変える。感染したマシンがサーバーの場合には,200台のマシンに同時接続して感染を広げようとするが,ワークステーションなどの場合には,60台のマシンにしか同時接続しない。これにより,感染マシンが遅くなることを防ぐ。
現在動いているプロセスのスレッドとして動作することで,発見されないようにするワームも存在する。Code Red や Code Red II は,Internet Information Server/Services(IIS)の一部として動作する。そのため,タスク マネージャで調べると,「IIS」と表示される。また,Nimdaはexplorer.exeのスレッドとして動作する。
OSに予約された特別なプロセス名で動作することで,発見されることや終了させられることを免れようとするワームもある。Windows 9x の場合,あるプロセス名で動作すれば,タスク マネージャには表示されない。また,「Leaves」はservices.exeというプロセス名を使用する。services.exeは特別なプロセス名なので,ユーザーが強制的に終了させることはできない。
ますます高まるワームの脅威には,パッチの適用や設定変更,そして迅速な情報収集などを組み合わせて対抗していく以外にない。
