米国時間8月11日以降,感染を広げている「Blaster」ワーム。情報処理振興事業協会セキュリティセンター(IPA/ISEC)によると,8月14日午後5時時点で600件を超える発見および被害報告が寄せられているという。【8月15日追記】8月15日午後5時点で,900件を超えた【以上追記】。8月16日には,BlasterによるDoS攻撃が開始される。その前に,自分のマシンが感染していないかどうか,感染する恐れはないかどうか,改めて確認する必要がある。身の回りのユーザーにもぜひ注意を呼びかけていただきたい。

 加えて,夏期休暇明けの8月18日も要注意だ。夏期休暇中に自宅で使用していたモバイル・コンピュータを安易にLANに接続すると,LAN中にワームをまん延させてしまう恐れがある。接続前にワームに感染していないことを必ず確認する必要がある。

 ラックが公開するレポートでも警告しているように,組織のファイアウオールでTCP135番をふさいでいても,感染したパソコンの持ち込みによるワームのまん延は防げない。「ファイアウオールで守っているから大丈夫」と考えて,対策をきちんと施していないマシンがワームの“餌食”となる。

 モバイルばかりではなく,ダイヤルアップなどでLANに直接接続するマシンから,感染が拡大する可能性もある。多くの企業で夏期休暇が終わる8月18日以降,国内で感染が急増する可能性は高い。LANに直接接続する前に,マシンにワームが感染していないかどうか,必ず確認したい。

 感染しているかどうかは,「msblast.exe」のプロセスが存在するかどうかを「タスクマネージャ」で調べれば分かる。マイクロソフトが公開する「Blaster ワームへの対策 - Windows XP 編」「Blaster ワームへの対策 - Windows 2000/Windows NT 4.0 編」,ラックが公開する「JSOC 緊急レポート(Blaster または Lovsan ワーム)」などが,図解入りで分かりやすい。

 感染している場合には,上記の情報やマイクロソフトの「Blaster ワームに感染した場合の対策について」などの情報を参考に取り除く。取り除く際には,マイクロソフトの情報にあるように,再感染を防ぐためにDCOMを一時的に無効にする。

 マイクロソフトの情報などを参考にすれば,手動でも取り除けるが,アンチウイルス・ベンダー各社は取り除くためのツールを用意しているので,必要に応じて活用したい。ツールを使えば,ワームのプロセスを終了するとともに,ワームに関するファイルを削除してくれる。加えて,ワームによって変更されたレジストリを元に戻す。また,これらの機能に加えて,DCOMを無効にする機能なども備えたツールをラックは公開している。ツールでDCOMを無効にしてからパッチをダウンロードできるので,対策を施している間にワームに感染する心配がない。

 なお,8月13日以降はワームのファイル(プロセス)名が異なる変種が出現している。アンチウイルス・ベンダーなどが公開する情報によれば,基本的な挙動は“オリジナル”とほとんど変わらない。変種はそれほど感染を広げていないようだが,こちらにも注意したい。

【8月15日追記1】8月15日午後3時現在,マイクロソフトのサイト(www.microsoft.com以下のページ)につながりにくくなっている。マイクロソフトに問い合わせたところ,ユーザーからのアクセスが集中しているために,つながりにくくなっている可能性が高いという。詳細については現在調査中である。

【8月15日追記2】BlasterのDoS攻撃は,感染しているマシンの時刻で開始される。すなわち,米国の感染マシンよりも国内の感染マシンのほうが,早く攻撃を開始することになる。マイクロソフトによると,各ISPと協力して,DoS攻撃に備えた対策を実施している最中であるという。

【8月15日追記3】8月15日午後8時現在,通常どおり,マイクロソフトのサイトに接続できるようになった。ユーザーからのアクセスが落ち着いたためだという。また,同社は,8月15日から8月18日(月)19時まで,24時間体制で電話によるウイルス相談を受け付けることを明らかにした

◎参考資料
【ワームの感染確認および駆除方法】
「Blaster に関する情報」(マイクロソフト)
「Blaster ワームへの対策 - Windows XP 編」(マイクロソフト)
「Blaster ワームへの対策 - Windows 2000/Windows NT 4.0 編」(マイクロソフト)
「Blaster ワームに感染した場合の対策について」(マイクロソフト)
「JSOC 緊急レポート(Blaster または Lovsan ワーム)」(ラック)
「W32.Blaster.Worm」(シマンテック)
「WORM_MSBLAST.A」(トレンドマイクロ)
「W32/Lovsan.worm」(日本ネットワークアソシエイツ)

【ワームの駆除ツール】
「W32.Blaster.Worm 駆除ツール」(シマンテック)
「トレンドマイクロ システム クリーナ ver. 3.0(TSC)」(トレンドマイクロ)
「AVERTウイルス駆除ツール」(日本ネットワークアソシエイツ)
「Blasterワーム対策ツール」(ラック)

【変種ワームの情報】
「W32.Blaster.B.Worm」(シマンテック)
「W32.Blaster.C.Worm」(シマンテック)
「WORM_MSBLAST.B」(トレンドマイクロ)
「WORM_MSBLAST.C」(トレンドマイクロ)
「W32/Lovsan.worm.b」(日本ネットワークアソシエイツ)
「W32/Lovsan.worm.c」(日本ネットワークアソシエイツ)

(勝村 幸博=IT Pro)