警察庁は2月12日,Windowsのセキュリティ・ホールを突いて感染を広げる「Welchia.B(NACHI.B)」ワームを警告した。Welchia.Bは2003年8月に出現したWelchiaワームの変種。Welchia.Bは,Welchiaが使うセキュリティ・ホールに加え,2003年11月に公開されたセキュリティ・ホールも突く。このため,Welchiaに感染しなかったマシンでも,Welchia.Bに感染する可能性がある。警察庁によれば,Welchia.Bのものと思われる,TCP 445番ポートへのアクセス増加を検知しているという。Windows Updateを実施するなどして,きちんと対策が施されていることを確認しよう。
アンチウイルス・ベンダー各社の情報によれば,Welchia.Bは米国時間2月10日に出現した。Welchia.Bは,Welchiaと同じセキュリティ・ホールを突いて感染しようとする。具体的には,Windowsのセキュリティ・ホール「RPCインターフェイスのバッファオーバーランによりコードが実行される(MS03-026)」と「Windows コンポーネントの未チェックのバッファによりサーバーが侵害される(MS03-007)」を突く。
加えて,オリジナルのWelchiaが出現した後に公開されたセキュリティ・ホール「Workstation サービスのバッファ オーバーランにより,コードが実行される(MS03-049)」も突く。
以上3種類のセキュリティ・ホールが1つでも存在すると,マシンをインターネットに接続しただけでWelchia.Bに感染する(「MS03-007」については,IISが稼働しているマシンだけが感染対象となる)。
Welchia.Bに感染すると,別のマシンへ感染を広げるための踏み台として利用されることになる。Welchia.Bは,ランダムに選択したIPアドレスのTCP ポート135番,80番,139番および445番へ,自分自身を感染させるためのデータを送信する。TCP ポート135番へは「MS03-026」を突くためのデータ,80番へは「MS03-007」,139番および445番へは「MS03-049」を突くためのデータを送信する。警察庁では,Welchia.Bによるものと思われる,TCP 445番へのアクセス増加を検知しているという。
さらに,Welchia.Bは感染したマシンのHTMLファイルなどを特定の文字列で上書きする。公開用Webサーバーとして稼働させているマシンが感染した場合には,Webページを改ざんされることになる。一部報道によると,実際に改ざんされた商用サイトがあるようだ。
Welchia.BはオリジナルのWelchia同様,感染したマシンのWindowsが中国語版や韓国語版,英語版の場合には,「MS03-026」のパッチをダウンロードして適用しようとする。加えてWelchia.Bは,感染マシンに「Mydoom」あるいは「Mydoom.B」が既に感染している場合には,それらに関するファイルを削除する。
「MS03-049」を突くワームは今までほとんど出回っていない。Welchia.Bがほとんど初めてである。パッチを適用していないマシンやパーソナル・ファイアウオールなどを利用していないマシンは,インターネットに接続するだけで感染する。Windows Updateを利用するなどして,パッチがきちんと適用されていることを改めて確認したい。
Windowsには危険なセキュリティ・ホールが次々と見つかっている。2月11日に公開されたセキュリティ・ホール「MS04-007」は特に危険だ(関連記事)。このセキュリティ・ホールを悪用するワーム(ウイルス)が出現する可能性は極めて高い。セキュリティ専門家の多くが,「MS04-007」の危険性を訴えている。Welchia.B対策としてだけではなく,今後のためにも,Windows Updateを必ず実施しておきたい。IT Pro読者のほとんどは実施済みだと思うが,身の回りの方にも実施するよう勧めていただきたい。
ただし注意すべきは,パッチを適用していないマシンでWindows Updateにアクセスすると,その時点でWelchia.Bなどのワームに感染する可能性があることだ。パッチを適用していないマシンでは,まずはパーソナル・ファイアウオールやXPの「インターネット接続ファイアウオール機能(ICF機能)」を使って守りを固めた上で,インターネットに接続する必要がある。マイクロソフトは「インターネットに接続する前に行うステップ」という情報を公開しているので,参考にしてほしい。
◎参考資料
◆Welchia.B(NACHI.B)ワームの発生について(2/12)(警察庁)
◆TCP445番ポートに対するトラフィックの増加について(2/12)
◆TCP445番ポートに対するトラフィックの増加について(PDFファイル)
◆W32.Welchia.B.Worm(シマンテック)
◆WORM_NACHI.B(トレンドマイクロ)
◆W32/Nachi.worm.b(日本ネットワークアソシエイツ)
◆「新しいパソコン購入者やリカバリを予定しているユーザーへ,セキュリティ対策のお願い インターネットに接続する前に行うステップ」(マイクロソフト)
(勝村 幸博=IT Pro)
