• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

ニュース

Windowsの脆弱性を突く新種ワームに注意,ネットに接続するだけで感染する

勝村幸博 2005/08/15 ITpro

 マイクロソフト情報処理推進機構(IPA),米US-CERTなどは8月15日,8月10日に公表されたWindowsのセキュリティ・ホール(脆弱性)を突いて感染を広げるワーム(ウイルス)が出現しているとして注意を呼びかけた。セキュリティ・ホールが存在するWindowsマシンは,ネットに接続するだけで感染する恐れがある。対策は,マイクロソフトが公開している修正パッチを適用すること。ファイアウオールなどで不要なポートをふさいでおくことも重要である。

 ワームに狙われているセキュリティ・ホールは,8月の月例セキュリティ情報の一つとして公表された「プラグ アンド プレイ の脆弱性により,リモートでコードが実行され,特権の昇格が行なわれる (899588) (MS05-039)」。Windowsが備える「プラグ アンド プレイ」のサービスに見つかったバッファ・オーバーフローのセキュリティ・ホールである(関連記事)。細工が施されたデータを送信されると,任意のプログラムを実行されたり,権限の昇格を許したりする。最大深刻度は最悪の「緊急」。

 この「MS05-039」は危険なセキュリティ・ホールであるため,公開当初から悪用される可能性が高いとされていた。実際,公開直後にはセキュリティ・ホールを突くプログラム(コード)がインターネット上で公表され,US-CERTなどは米国時間8月12日に注意を呼びかけていた。そして今回,セキュリティ・ホールを突いて自動的に感染を広げるプログラム(ワーム)が確認された。

 現在確認されているワームは「Zotob」と呼ばれている。マイクロソフトでは,パッチ未適用のWindows 2000だけが感染するとしている。一方,Windows 2000だけではなくWindows XPも影響を受けるとしているベンダー/組織もある。米SANS Instituteでは,米国時間8月14日時点での情報として,Windows XP SP2およびWindows 2003は感染しないことが確認されているとしている。

 Zotobは,TCPポート445番経由でセキュリティ・ホールを突くプログラムを送り込む。このプログラムの実行に“成功”すると,そのプログラムは既にZotobが稼働しているマシンから,Zotob本体をFTPでダウンロードして実行する。

 Zotob本体が実行されると,マシンを起動するたびにZotobが実行されるようレジストリが変更される。また,hostsファイルを書き換えて,マイクロソフトやセキュリティ・ベンダーなどのサイトへアクセスできないようにする。加えて,Zotob本体は“ボット”として動作し,攻撃者からの命令を待ち受ける。そして,命令に従って特定のサイトへDoS(サービス妨害)攻撃を仕掛けたり,Zotob本体をアップデートしたりする。バックドアの“機能”も持つので,攻撃者が自由に感染マシンにアクセスできるようになる。

 Zotobは感染を広げるためのFTPサーバーとしても動作する。ZotobのFTPサーバーは,通常のTCPポート21番ではなく,33333番(ランダムなポート番号としているベンダー/組織もある)で待ち受ける。

 対策は,既に公開されている修正パッチを適用すること。特に,外部からアクセス可能なWindows 2000のサーバー・マシンは対策が急務だ。TCPポート445番や33333番などをファイアウオールでふさぐことも,外部からの感染を防ぐためには効果がある。ただし,LAN内部からの感染はふせげないので要注意。現在,夏期休暇の企業/組織では,自宅で感染したモバイルPCによって,ワームがLANに持ち込まれる可能性がある。管理者などは,休み明けにはパッチ未適用のマシンをLANに接続させないよう,ユーザーに注意を呼びかける必要がある。

 なお,トレンドマイクロの情報によれば,8月15日時点では,米国やドイツ,ニュージーランドなどでは感染が確認されているものの, 国内ユーザーからの感染報告は寄せられていないという。

◎参考資料
マイクロソフト セキュリティ アドバイザリ (899588)(マイクロソフト)
Zotob に関する情報(マイクロソフト)
Microsoft プラグアンドプレイの脆弱性(MS05-039) について(情報処理推進機構)
この脆弱性を攻略する新種ワーム「W32/Zotob」(情報処理推進機構)
Malware Exploiting Microsoft Plug and Play Vulnerability(米US-CERT)
Exploit for Vulnerability in Microsoft Plug and Play(米US-CERT)
Handler's Diary August 14th 2005(米SANS Institute)
WORM_ZOTOB.A(トレンドマイクロ)

(勝村 幸博=IT Pro)

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

サーバー/ストレージ

ネットワーク/通信サービス

セキュリティ

もっと見る