「『Sasser』ワームについて,ワールドワイドの届け出数に比較すると国内ユーザーからの届け出数は少ない。しかし,だからといって被害が少ないとはいえないので注意してほしい」――。シマンテックのSymantec Security Response星澤裕二マネージャはプレス向けの説明会で強調した(写真)。併せて,Sasserの駆除ツールにみせかけた「Netsky」の変種についても注意を呼びかけた。
米Symantecに世界中から寄せられたSasserの発見届け出件数は,5月6日18時時点で,オリジナルのSasserが459件,Sasser.Bが112件,Sasser.Cが172件,Sasser.Dが81件である。「ワールドワイドでは,出現当初の報告件数はBlasterよりも多い。ただし,現在では減少傾向にある」(星澤氏)
一方,国内からの発見届け出数は,Sasserが2件,Sasser.Bが112件,Sasser.Cが5件,Sasser.Dが0件と少ない。「とはいえ,過去のウイルス/ワームについても,海外に比較すれば,国内からの報告件数は少ない。報告件数がそのまま被害状況を反映しているとは限らない。また,海外の状況と国内ではタイムラグがある場合がある。現時点での報告件数が少ないからといって,今後増えないという保証はない」(星澤氏)。油断は禁物である。今後も,Sasserを社内に持ち込まないように,ノート・パソコンなどを安易に社内ネットワークに接続してはいけない。
また,星澤氏は今後出現するであろう変種についても警告する。Sasserおよびその変種は,プライベート・アドレス(10.0.0.0~10.255.255.255,172.16.0.0~172.31.255.255,192.168.0.0~192.168.255.255)を持つマシンには攻撃パケット(感染パケット)を送信しない。このため,各マシンにプライベート・アドレスを割り当てている企業ネットワークでは感染の心配はないと思われるかもしれないが,「まったく安心はできない。プライベート・アドレスを感染対象とする変種が出現する可能性は高い」(星澤氏)と注意を呼びかける。
【5月7日追記】シマンテックは5月7日,当初「Sasser.A~Dは,プライベート・アドレスを持つマシンには攻撃パケットを送信しない(プライベート・アドレスを持つマシンには感染しない)」としていたが,「プライベート・アドレスを持つマシンへ攻撃パケットが送信される場合もある」と訂正した。【以上,5月7日追記】
さらに,Sasserに“便乗”したウイルスについても,星澤氏は注意を呼びかけた。Netskyの新たな変種「Netsky.AC」である。メールで感染を広げるNetsky.ACは,メールの内容を“工夫”して,添付されているNetsky.AC自身をSasserの駆除ツールに見せかける場合がある。
具体的には,メールの差出人(Fromヘッダー)を「support@symantec.com」「support@nai.com」「support@norman.com」「support@sophos.com」のいずれかにして,アンチウイルス・ベンダーからのメールに見せかける。そして本文には,「添付されているのは<特定のウイルス>を駆除するツールなので実行してください」と英文で書かれている。この<特定のウイルス>として,「NetSky.AB」「Sasser.B」「Beagle.AB」「Mydoom.F」「MSBlast.B」――のいずれかが指定される。
「シマンテックに限らず,いずれのベンダーもメールでツールなどを配布することはないので,このようなメールを受け取ったらウイルスだと考えてほしい」(星澤氏)。Netsky.ACについては,警察庁(@police)も注意を呼びかけている。
なお,今回の「Sasser」は,Windowsに見つかった「LSASS(Local Security Authority Subsystem Service)の脆弱性」を突く(関連記事)。星澤氏によると,この“LSASS”から“Sasser”と名付けられたという。
◎参考資料
◆W32.Netsky.AC@mm(シマンテック)
◆Netskyウイルスについて(警察庁)
(勝村 幸博=IT Pro)
