マイクロソフトや警察庁,アンチウイルス・ベンダー各社は5月1日以降,Windowsのセキュリティ・ホールを突いて感染を広げる「Sasser」ワームを警告している。セキュリティ・ホールがあるWindows 2000/XPマシンは,ネットワークに接続するだけで感染する恐れがあるので十分注意してほしい。

 特に連休明けは,自宅で使用している間にワームに感染したノート・パソコンによって,社内LANにワームを持ち込まれる恐れがある。2003年8月に流行した「Blaster」の二の舞にならないように,ユーザーおよび管理者は注意する必要がある。

 Sasserが突くのは,「MS04-011」で公開されたセキュリティ・ホールの一つ「LSASS の脆弱性」である。LSASS(Local Security Authority Subsystem Service)とはWindowsが備える認証サービスの一つ。この実装にバッファ・オーバフローのセキュリティ・ホールがあるため,Windows 2000/XPでは,細工が施されたデータを送信されるだけで任意のプログラムを実行させられる恐れがある。

 なお,Windows Server 2003/XP 64-Bit Edition Version 2003では,攻撃者は攻撃対象マシンにログオンする必要があるので,影響は小さい。Windows 98/98 SE/Me/NT 4.0 には,このセキュリティ・ホールは存在しない。

 Sasserは以下のように感染を広げる。まず,Sasserはランダムに選択したIPアドレス,あるいは現在感染しているマシンの近傍のIPアドレスに対して攻撃パケットを送信する。具体的には,攻撃対象マシンのTCPポート445番にSMBセッションを使って送信する。対象マシンに「LSASS の脆弱性」が存在する場合には,バッファ・オーバーフローが発生し,攻撃パケットに含まれたプログラムが実行されるか,マシンを再起動させられる。

 攻撃パケットに含まれたプログラムが実行されると,プログラムはTCPポート9996番を開いて,Sasserの感染元マシン(攻撃パケットを送り込んだマシン)のTCPポート5554番に接続する。感染元マシンでは,SasserがFTPサーバーとして動作し,TCPポート5554番で接続を待ち受けている。攻撃対象マシン上で動作するプログラムは,FTPを使って感染元マシンからSasser本体のコピーをダウンロードして,攻撃対象マシン上で実行する。

 Sasser本体が実行されると,マシンを起動するたびにSasserが実行されるようにレジストリが改変される。同時に,SasserがFTPサーバーとして動作するとともに,他のマシンに感染を広げるための攻撃パケットを送信する。

 対策は「MS04-011」のパッチを適用すること。TCPポート445/5554/9996番をふさぐことでもSasserの感染を防げるが,別のポートを狙う新種/変種ワームには対応できないので,パッチを適用することが第一である。

 ただし,パッチを適用する際には注意が必要である。Windows Updateを実施するためにセキュリティ・ホールがあるマシンでインターネットに接続すると,Sasserに感染する恐れがある。「パーソナル・ファイアウオール(機能)を有効にしてからインターネットに接続する」「セキュリティ・ホールがない別のマシンでパッチをダウンロードする」――といった注意が必要だ(関連記事)。

 「マシンが繰り返し再起動する」といった現象が見られる場合には,既にSasserに感染している可能性が高い。Sasserに感染している場合には,アンチウイルス・ベンダー各社が公開するツールを使って駆除する。また,米MicrosoftはSasserの駆除およびSasserが感染しているかどうかを確認できるWebサイトを公開している。英語のサイトではあるが,マイクロソフトが利用手順を日本語で紹介しているので,ぜひ活用したい。

◎参考資料
Microsoft Windows 環境に複数の脆弱性(JPCERT/CC Vendor Status Notes)
Sasser ワームに関する情報(マイクロソフト)
W32.Sasser.worm ウイルスの発生について(5/2)(警察庁)
Microsoft LSASS Sasser ワームの拡散(インターネット セキュリティ システムズ)
Sasser ワームに関するウイルス対策情報(マイクロソフト)
W32.Sasser.B.Worm(シマンテック)
WORM_SASSER.B(トレンドマイクロ)
W32/Sasser.worm.b(日本ネットワークアソシエイツ)

(勝村 幸博=IT Pro)