セキュリティ組織である米SANS Instituteは米国時間5月17日,TCP 5000番ポートへのアクセスが急増していることを警告した。同ポートへアクセスする新種ワーム「Kibuv.B」と「Bobax」が原因と見られている。警察庁も5月18日,TCP 5000番ポートへのアクセス急増を警告している。これらのワームは,Windowsなどのセキュリティ・ホールを突いて感染を広げるので,パッチが適用されていること,不要なポートがきちんとふさがれていることなどを改めて確認しておきたい。
米国時間5月15日に出現した「Kibuv.B」は,複数のセキュリティ・ホールを突く。「Sasser」ワームが突く「LSASSの脆弱性」のほか,「メッセンジャ サービスの脆弱性」,「IIS 5.0 WebDAVの脆弱性」,「RPC インターフェイスのバッファ・オーバーランの脆弱性」,「ユニバーサル プラグ アンド プレイ (UPnP) サービスの脆弱性」――を突いて感染を広げようとする。さらに,Sasserワームのセキュリティ・ホールも突く。つまり,Sasserに感染しているマシンは,Kibuv.Bにも感染する可能性がある。
Windows XPでは,UPnPサービスがTCP 5000番ポートでリクエストを待ち受けている。このため,測定されている5000番ポートへのアクセスの一部は,「UPnP サービスの脆弱性」を突くKibuv.Bによるものだと考えられている。
もう一つの原因とされている「Bobax」は「LSASSの脆弱性」を突く。Kibuv.Bとは異なり「UPnP サービスの脆弱性」は突かない。ただし,相手が感染対象かどうか判断するために,まずはTCP 5000番ポートへアクセスする。同ポートでUPnPサービスが稼働していれば,感染可能なWindows XPと判断して,「LSASSの脆弱性」を突くデータを送り込もうとする。
セキュリティ・ホールや不要なポートをきちんとふさいでいれば,これらのワームに感染する恐れはない。アンチウイルス・ベンダーがこれらのワームに設定している危険度も低い。しかしながら,SANS Instituteによると,同組織が観測しているだけでも50万台のマシンに感染しており,この感染台数の多さはSasserやBlasterと同程度だという。きちんと対策が施されていることを改めて確認したい。
◎参考資料
◆Port 5000 increase due to two worms: Bobax and Kibuv(米SANS Institute)
◆W32.Kibuv.B(シマンテック)
(勝村 幸博=IT Pro)
