経済産業省(経産省)商務情報政策局情報セキュリティ政策室は5月5日,「Sasser」ワームを改めて警告した関連記事)。Sasserには,これから感染しようとするマシンが稼働しているかどうかを調べるためにpingを実行する(ICMP echoリクエストを送信する)変種が出現している。そのような変種を社内ネットワークに持ち込むと,感染を広げられるばかりか,ネットワークが麻痺する恐れもあるという。休暇中に自宅で使用したノート・パソコンを社内ネットワークに接続する前(接続させる前)には,十分注意する必要がある。

 Sasserには次々と変種が出現している。情報セキュリティ政策室では,今後は「感染したパソコンから情報を流出させる変種が出現する可能性もある」としている。同室が述べているように,どのような変種が出現しても不思議はない。Sasserの影響を過小評価せず,万全の体制で休み明けに臨みたい。

 会社でも使用するノート・パソコンで,自宅などでインターネット接続している場合には,会社へ持っていく前に,マイクロソフトのサイトで,Sasserに感染しているかどうかをチェックしておきたい。「感染していない(Your PC Is Not Infected.)」と表示されても,「マシンがいつもより遅い」「再起動を繰り返す」といった“異変”が見られる場合には要注意である。変種に感染している可能性が高い。社内ネットワークに接続する前に,管理者に相談したり,ワームに感染する心配がないマシンでマイクロソフトやアンチウイルス・ベンダー各社の情報を調べたりする必要がある。

 Sasserの挙動は,2003年8月に出現した「Blaster」や「Welchi」ワームと酷似している。BlasterやWelchiを社内ネットワークに侵入させてしまい,復旧に大変な手間をかけた企業は少なくない。二の舞にならないように,ユーザーと管理者は十分に注意していただきたい。

 情報セキュリティ政策室では,「企業ユーザーにおけるSasserワーム対策 四カ条」を公開している。ユーザーに対しては,「コンピュータの電源はシステム担当者の指示を得てから投入する」ことを呼びかけている。

 システム管理者には「すべてのユーザーに感染の危険性を事前に知らせる」「ワームの侵入・拡大を防ぐようネットワークを設定する」「ワームの駆除と感染予防を行う」――ことを呼びかけている。

◎参考資料
マイクロソフト社製OSの脆弱性を攻撃するワームへの緊急の対応及び大型連休明けの情報セキュリティ対策の徹底要請について(経産省)
企業ユーザにおけるSasser(サッサー)ワーム対策 四カ条(経産省)
Sasser ワームについてのお知らせ(マイクロソフト)
ホームユーザー向け - Sasser ウイルスに関する情報 Windows XP 編(マイクロソフト)
ホームユーザー向け - Sasser ウイルスに関する情報 Windows 2000 編(マイクロソフト)
W32/Sasser ワーム(JPCERT/CC Vendor Status Notes)

(勝村 幸博=IT Pro)