Windowsのセキュリティ・ホールを悪用するワーム「Blaster(MSBlaster,RPC DCOM WORM)」が国内でも感染を広げている(関連記事)。コンピュータ・ウイルスの届け出先機関である情報処理振興事業協会セキュリティセンター(IPA/ISEC)には,8月13日正午の時点で70件を超える被害および発見届け出が寄せられているという。アンチウイルス・ベンダー各社も,被害報告が増えているために,Blasterの危険度を上げている。十分注意が必要だ。
【8月14日追記】IPA/ISECによると,8月13日午後5時の時点で,Blasterに関する相談および届け出は120件以上になっているという。【以上,8月14日追記】
米国時間8月11日に出現したBlasterは,確実に感染を広げている。このため,例えばトレンドマイクロでは,出現当初は「3」に設定していた“脅威度”を,8月12日に「2」に引き上げた(脅威度は5段階で,「1」が一番高い)。同様に,シマンテックでは“危険度”を「3」から「4」に引き上げた(危険度は5段階で,「5」が一番高い)。
今後,感染はさらに拡大すると予想される。パッチをきちんと適用していること,不要なポートをふさいでいることを改めて確認したい。特に,ホーム・ユーザーやモバイル・ユーザーは注意したい。
ワームが出現した当初は,さまざまな情報が出回っていたが,現時点では解析が進み,ある程度明らかになってきた。当初は,ワームがWindowsを終了,あるいは再起動すると伝える情報が流れていたが,実際にはその“機能”はないようだ。ワームの攻撃により,Windowsが不安定になって,異常終了するようだ。ワームは,Windowsを起動するとワーム自身が動き出すようにレジストリを変更するだけである。
また,ワームが悪用するセキュリティ・ホール「RPC インターフェイスのバッファ オーバーランによりコードが実行される (823980) (MS03-026)」は,Windows NT Server 4.0/Server 4.0,Terminal Server Edition/2000/XP/2003 に存在するが,今回のワームは Windows 2000とXPだけに感染する。とはいえ,Windows NTや2003を感染対象にするワームが出現する可能性は高い。これらのWindowsでも,パッチの適用などの対策は不可欠である。
実際,同じセキュリティ・ホールを悪用する,別のワームがメーリング・リストなどで公開されている。これ自身は,今回のワーム同様,Windows 2000とXPだけを対象とするが,ソース・コードも同時に公開されているので,これに手を加えて,Windows NTや2003用を対象とするワームに改変することは可能である。
マイクロソフトでは,「RPC インターフェイスのバッファ オーバーランによりコードが実行される (823980) (MS03-026)」の回避策の一つとして,「Dcomcnfg.exe」を使ってDCOMを無効にすることを挙げている。しかしながら,米eEye Digital Securityの情報によれば,Windows 2000(無印~SP2)ではDcomcnfg.exeを使用しても,実際にはDCOMの機能は無効になっていないので,パッチを適用していない場合にはワームに感染するという。この方法で回避しているユーザーは注意が必要だ。
もしワームに感染した場合には,パッチを適用するだけでは不十分である。今後の感染は防げるが,現在感染しているワームを取り除くことはできない。マニュアルあるいはツールを使って取り除き,変更されたレジストリを元に戻す必要がある。具体的な手順は,マイクロソフトが公開する情報に記載されている。アンチウイルス・ベンダー各社は,取り除くためのツールを公開している。
今後,セキュリティ・ベンダーなどによる解析が進めば,より詳しい情報が公開される可能性がある。しばらくは,セキュリティ組織やセキュリティ・ベンダーの情報を頻繁にチェックしたい。
◎参考資料
◆「W32/MSBlaster」ワームに関する情報(IPA/ISEC)
◆「Blaster Worm Analysis」(米eEye Digital Security)
◆「W32/Blaster worm」(米CERT/CC)
◆「RPC DCOM WORM (MSBLASTER)」(米SANS Institute)
◆「Blaster に関する情報」(マイクロソフト)
◆「WORM_MSBLAST.A」(トレンドマイクロ)
◆「W32/Lovsan.worm」(日本ネットワークアソシエイツ)
◆「W32.Blaster.Worm」(シマンテック)
(勝村 幸博=IT Pro)
