米CERT/CCは米国時間3月11日,Windows 2000/XPマシンに感染を広げる「Deloder」ワームを警告した。ここ数週間で被害報告が増加しているという。DeloderはWindowsのファイル共有プロトコルを使って,TCPポート445番経由で侵入を試みる。管理者アカウントである「Administrator」にパスワードを設定していない,あるいはDeloderにあらかじめ含まれているパスワードを設定している場合には,Deloderの侵入を許し,マシンを乗っ取られる恐れがある。
対策は,「ウイルス対策ソフトを適切に使用する(最新のウイルス定義ファイルを用いて,常駐させて使用する)」「不要なファイル共有を無効にする」「推測しにくいパスワードを設定する」――など。
CERT/CCによると,ホーム・ユーザーからの感染報告が多いという。ホーム・ユーザーといえども,きちんと対策を施さないと被害に遭う。上記3点はいずれもセキュリティ対策の“セオリー”なので,必ず実施したい。特にWindows XP Home Editionにおいては,デフォルトではAdministratorのパスワードは設定されていない。早急に設定しよう。
Deloderが侵入する際に使用するパスワード例は以下の通り(下記以外のパスワードについては,CERT/CCやアンチウイルス・ベンダーなどの情報を参照のこと)。
(パスワードなし),123,123123,1234,aaa,abc,Admin,admin,
administrator,login,pass,root,win,xp,xxx
Administratorにパスワードを設定していない場合,および上記のパスワードを設定している場合にはDeloderの侵入を許すことになる。
侵入に“成功”したDeloderは,そのマシン上に自分自身のコピーを複数作成する。そしてレジストリを変更して,コピーの一つ(ファイル名はdvldr32.exe)がマシンの起動時に実行されるように設定する
その後Deloderは,他のマシンにも侵入を試みる。CERT/CCの情報によれば,Deloderが侵入したマシンのIPアドレスと上位2バイトが同じIPアドレスをまずスキャンし,TCPポート445番が開いていないかどうかを調べるという。
加えて,バックドア・プログラムをそのマシンに仕掛ける。バックドア・プログラムはTCPポート5800番あるいは5900番で攻撃者からのアクセスを待つ。このバックドア・プログラムを使えば,任意のプログラムの実行や,悪意があるプログラムの送信,マシン内のファイルの奪取――といった,さまざまな操作が可能となるので,そのマシンを事実上乗っ取ることができる。
バックドア・プログラムは,自分自身へのアクセスが可能な状態になると,特定のIRCサーバーへ接続して通知する。IRC経由でバックドア・プログラムにコマンドを送ることもできる。なおバックドア・プログラムは,マシンの起動時に自分自身が実行されるように,レジストリを変更する。
対策は,「ウイルス対策ソフトを適切に使用する(最新のウイルス定義ファイルを用いて,常駐させて使用する)」「不要なファイル共有を無効にする」「推測しにくいパスワードを設定する」――といった,“通常”のセキュリティ対策を施すこと。
ほとんどのアンチウイルス・ベンダーは対応済みなので,最新のウイルス定義ファイルを用いたウイルス対策ソフトを常駐させておけば,Deloderがマシン上にコピーされた段階で検出できる。Deloderへの対応状況や,Deloderが検出された場合の削除方法などについては,各ベンダーが公開している情報を参照してほしい。削除用のツールを用意しているベンダーもある。
他のマシンとファイルを共有する必要がないマシンについては,ファイル共有を無効にしておく。Windows 2000/XPでは,Deloderが悪用する「管理用共有(Administratorとしてのファイル共有)」はデフォルトで有効になっている。共有する必要がないマシンについては,マイクロソフトが公開する「[HOWTO] Windows XP で管理用共有を作成する方法および無効にする方法」などを参考に,無効にしておきたい。
推測しにくいパスワードを用いることも重要だ。Administratorに限らず,すべてのアカウントで実施したい。Deloderが使うとされるパスワード以外ならば安全というわけではない。さらに多くのパスワード候補を備えた変種あるいは新種ワームが出現する可能性は十分ある。また,ワーム対策としてだけではなく,不正アクセス対策として,強固なパスワードを設定することは重要である。多くのマシンでは,パスワードが本人認証の唯一の手段なのだ。そのことを肝に銘じてパスワードを設定したい。
なお,DeloderはTCPポート445番経由で感染を広げるので,Windows 2000/XPだけが対象となったが,137~139番を使用するワームが出現する可能性もある。他のWindowsユーザーも,上記の対策は,セキュリティ対策の“セオリー”として,必ず実施しておきたい。
◎参考資料
◆CERT Advisory CA-2003-08 Increased Activity Targeting Windows Shares(米CERT/CC)
◆WORM_DELODER.A(トレンドマイクロ)
◆W32.HLLW.Deloder(シマンテック)
◆W32/Deloder.worm(日本ネットワークアソシエイツ)
◆[HOWTO] Windows XP で管理用共有を作成する方法および無効にする方法(マイクロソフト)
(勝村 幸博=IT Pro)