8月18日以降,各組織やベンダーが警告を呼びかけている新種ワーム「Welchi(Welchia,Nachi,MSBLAST.D)」の詳細が明らかになりつつある(関連記事)。新種ワームは,「Blasterと異なり,感染したマシンを不安定にしないために,ユーザーは気が付きにくい」「感染対象マシンを探すために送出するICMPパケットにより,ネットワークがまひする恐れがある」「感染するために起動したバックドア(リモート・シェル)をそのままにする(Blasterの場合には,感染後終了させる)」――などの特徴を持つため,Blasterよりも悪質である。
知らぬ間にBlasterから新種に置き換わる
Blasterにたまたま感染しなかった未対策のマシンが,新種ワームに感染している可能性はある。しかし,ラックの JSOC事業本部 取締役本部長の西本逸郎氏によると「Blasterから新種に“置き換わっている”場合が多いようだ」という。新種ワームは,Blasterに感染しているマシンに感染すると,現在動いているBlasterのプロセスを終了し,Blasterのファイルを削除する。Blasterの代わりに,新種ワームが動き出すことになる。
複数のセキュリティ・ベンダーに話を聞いたところ,Blasterは,感染する際に感染対象マシンを不安定にするだけではなく,感染した後も不安定にする場合があるという。これに対して,「新種ワームは,感染したマシンを不安定にすることなく動作する」(ラック 西本氏)。Blasterの場合には,再起動を繰り返すといった“現象”が現れるので,ユーザーは感染に気付くが,新種ワームの場合には,ユーザーが知らないうちに感染し,他のマシンへの感染活動を続けている可能性がある。
西本氏によると,「マシンが再起動を繰り返していたが,ネットワークに接続していたら,いつの間にか直った」という現象が見られたら,Blasterに取って代わって,新種ワームが感染している可能性が高いという。もし身の回りでこのようなことを言っているユーザーがいたら,ぜひアドバイスしてあげてほしい。
社内ネットワークが“まひ”
新種ワームは,これから感染しようとするマシンが稼働しているかどうかを調べるためにpingを実行する(ICMP echoリクエストを送信する)。これによって発生するトラフィックによって,社内ネットワークが“まひ”する可能性がある。実際,「新種ワームによるトラフィックにより,ネットワークを利用できないといった報告を聞いている」(トレンドマイクロ トレンドラボ・ジャパン アンチ・ウイルスセンター ウイルスエキスパート 岡本勝之氏)。
新種ワームは,現在感染しているマシンのIPアドレスの“近傍”へ,まず感染を広げようとする(同様の性質はBlasterも持つ)。このため,感染マシンが1台社内ネットワークに持ち込まれると,瞬く間に感染を広げ,ICMPパケットによってネットワークがまひ――といったシナリオが十分考えられる。
「1台でも感染マシンが見つかったら,ルーターなどでそのサブネットを“隔離”して,他のサブネットに影響を及ぼさないようにしてから“犯人”探しを始めたほうがよい」(ラック 西本氏)
さらに新種ワームは,感染時に使用したバックドア(リモート・シェル)をそのままにする(Blasterの場合には,感染が終了すると,バックドアを終了する)。これを悪用すれば,ワームとは無関係の攻撃者が,そのマシンに侵入することが可能になる。トレンドマイクロによれば,バックドアが待ち受けるポートはランダムに決定される。666番から765番のいずれかになるという。
日本語環境では2つの例外が
新種ワームは,Blasterが悪用するセキュリティ・ホール「MS03-026」に加え,3月18日に公開されたセキュリティ・ホール「MS03-007」も悪用する。「MS03-007」はWindows 2000/NT/XP が影響を受けるセキュリティ・ホールで,Internet Information Server/Services(IIS)のセキュリティ・ホールではない。しかし,新種ワームはTCP ポート80番へ攻撃を仕掛けるので,IISを稼働していなければ,「MS03-007」を悪用して感染させられることはない(もちろん,IISを稼働していなくても,「MS03-026」を悪用した感染攻撃は受ける)。
しかし,ラックによると,日本語環境においては「MS03-007」を悪用した感染は確認していないという(英語環境では確認している)。同社の検証でも感染しないし,感染を観測もしていない。現時点では解析中としながらも,「日本語環境においては『MS03-007』を悪用した感染はうまくいかないというのが,現時点での見解である」(ラック 西本氏)。
とはいえ,全く安心はできない。当初は,「Blasterを“退治”するワーム」という見方もあった新種ワームだが,以上のように,Blasterよりも悪質である。しかも,新種ワームは日本語版の「MS03-026」はパッチをダウンロードしない。英語環境などでは,新種ワームは現在動いているBlasterのプロセスを終了し,Blasterのファイルを削除するとともに,「MS03-026」のパッチをダウンロードして適用するものの,日本語環境では「MS03-026」のセキュリティ・ホールをふさがない。
「“正義の味方”に見せかけているが,実は危険なワームだ。一刻も早く対策を施す必要がある」(ラック 西本氏)
オフラインで情報入手を
新種ワームに感染すると,Blaster同様,ネットワークに接続している限り,感染被害を拡大してしまう。しかも,Blasterとは異なり,ユーザーは感染に気が付かない可能性が高い。少しでも不安を感じるユーザー,対策を施している自信がないユーザーは,ネットワークから切り離して,システム管理者などに指示を仰ぎたい。
個人ユーザーで,かつ,安全と確信できるマシンがほかにない場合には,オフラインで情報を入手して対処する。マイクロソフトが用意する電話相談窓口「セキュリティ情報センター」が有用だ。電話番号は「0120-69-0196」。8月20日13時以降,24時間体制で相談を受け付けている(8月25日からは通常の体制に戻す予定)。
「FAX情報サービス」も用意している。情報の入手方法は次のとおり。FAX番号は「03-5454-8100」または「03-5972-7149」,手順は「『1』+『#』を入力」→「『1』+『#』を入力」→「BOX番号『324618』+『#』を入力」→「音声ガイドに従う」。iモード用のサイトも用意している(URLは http://www.microsoft.com/japan/support/bi.asp)。
アンチウイルス・ベンダー各社も対応する。ウイルス対策ソフトのユーザーは,マニュアルに記載されているサポート・デスクに問い合わせれば対応してくれるはずだ。
また,マイクロソフトはトレンドマイクロとラック,およびセキュリティ・ベンダーと協力して,Blasterやその変種および新種ワームを駆除するためのツールと,必要なパッチを含んだCD-ROMを無償で提供する予定である。提供方法や申し込み方法については現在検討中。提供開始は今週末を予定している。それまで待てるユーザーは,このCD-ROMを入手して対策を施すのが確実だ。
◎参考資料
<マイクロソフトの対応>
◆Windowsのセキュリティ上の弱点を利用するワーム 『Blasterワーム』に関する対策情報に関するお知らせ(続報3)
◆マイクロソフト,セキュリティベンダーと共同で『Blasterワーム』緊急対策用無償CDを提供
<新種ワームに関する情報>
◆新種「W32/Welchi」ワームに関する情報(IPA/ISEC)
◆JSOC 緊急レポート(ICMP スキャンの増加について) (ラック)
◆新種ワームの発生に関する注意喚起について(経済産業省)
◆W32.Welchia.Worm(シマンテック)
◆WORM_MSBLAST.D(トレンドマイクロ)
◆Nachi(日本ネットワークアソシエイツ)
◆Blaster ワームの亜種 にご注意ください(マイクロソフト)
(勝村 幸博=IT Pro)
