警察庁やJPCERTコーディネーションセンター(JPCERT/CC)はそれぞれ1月6日と7日に,Welchia(Welchi,Nachi)ワームの感染活動が1月1日以降減少していることを観測したと発表した。
Welchiaは2003年8月に出現したワームである(関連記事)。Windowsのセキュリティ・ホール「MS03-026」および「MS03-007」を突いて感染を広げる。Welchiaは他のマシンに感染する際にpingコマンドを実行する。警察庁とJPCERT/CCはそれぞれのインターネット観測システムにおいて,pingで使用されるICMPのトラフィックが減少していることから,Welchiaの感染活動が減少していると推測している。
アンチウイルス・ベンダーなどの解析により,Welchiaには2004年1月1日に感染活動を停止して自分自身を削除することが明らかとなっている。ICMPのトラフィック減少は,この解析が正しいことを裏付けている。ただし,Welchiaが活動を停止するのは,2004年1月1日以降に感染マシンが再起動されたときである。このため,2003年から再起動することなく稼働している感染マシンではWelchiaは活動を続けている。
1月1日以降はWelchiaに感染する心配はない。しかし安心はできない。Welchiaと同じセキュリティ・ホールを突く変種や新種のワームが出現する可能性がある。「MS03-026」を突く「Blaster」ワームは依然活動を続けている。さらに,BlasterやWelchiaとは異なるセキュリティ・ホールを突くワームが出現する可能性も高い。警察庁とJPCERT/CCは引き続きセキュリティに注意を払うよう呼びかけている。
◎参考資料
◆年末年始におけるワームの活動状況について(警察庁)
◆Welchia/Nachi ワームの感染活動が減少していることを観測(JPCERT/CC)
◆W32.Welchia.Worm(シマンテック)
◆WORM_NACHI.A(トレンドマイクロ)
(勝村 幸博=IT Pro)
