マイクロソフトや情報処理推進機構(IPA),米US-CERTなどは8月15日,8月10日に公表されたWindowsのセキュリティ・ホール(脆弱性)を突いて感染を広げるワーム(ウイルス)が出現しているとして注意を呼びかけた。セキュリティ・ホールが存在するWindowsマシンは,ネットに接続するだけで感染する恐れがある。対策は,マイクロソフトが公開している修正パッチを適用すること。ファイアウオールなどで不要なポートをふさいでおくことも重要である。
ワームに狙われているセキュリティ・ホールは,8月の月例セキュリティ情報の一つとして公表された「プラグ アンド プレイ の脆弱性により,リモートでコードが実行され,特権の昇格が行なわれる (899588) (MS05-039)」。Windowsが備える「プラグ アンド プレイ」のサービスに見つかったバッファ・オーバーフローのセキュリティ・ホールである(関連記事)。細工が施されたデータを送信されると,任意のプログラムを実行されたり,権限の昇格を許したりする。最大深刻度は最悪の「緊急」。
この「MS05-039」は危険なセキュリティ・ホールであるため,公開当初から悪用される可能性が高いとされていた。実際,公開直後にはセキュリティ・ホールを突くプログラム(コード)がインターネット上で公表され,US-CERTなどは米国時間8月12日に注意を呼びかけていた。そして今回,セキュリティ・ホールを突いて自動的に感染を広げるプログラム(ワーム)が確認された。
現在確認されているワームは「Zotob」と呼ばれている。マイクロソフトでは,パッチ未適用のWindows 2000だけが感染するとしている。一方,Windows 2000だけではなくWindows XPも影響を受けるとしているベンダー/組織もある。米SANS Instituteでは,米国時間8月14日時点での情報として,Windows XP SP2およびWindows 2003は感染しないことが確認されているとしている。
Zotobは,TCPポート445番経由でセキュリティ・ホールを突くプログラムを送り込む。このプログラムの実行に“成功”すると,そのプログラムは既にZotobが稼働しているマシンから,Zotob本体をFTPでダウンロードして実行する。
Zotob本体が実行されると,マシンを起動するたびにZotobが実行されるようレジストリが変更される。また,hostsファイルを書き換えて,マイクロソフトやセキュリティ・ベンダーなどのサイトへアクセスできないようにする。加えて,Zotob本体は“ボット”として動作し,攻撃者からの命令を待ち受ける。そして,命令に従って特定のサイトへDoS(サービス妨害)攻撃を仕掛けたり,Zotob本体をアップデートしたりする。バックドアの“機能”も持つので,攻撃者が自由に感染マシンにアクセスできるようになる。
Zotobは感染を広げるためのFTPサーバーとしても動作する。ZotobのFTPサーバーは,通常のTCPポート21番ではなく,33333番(ランダムなポート番号としているベンダー/組織もある)で待ち受ける。
対策は,既に公開されている修正パッチを適用すること。特に,外部からアクセス可能なWindows 2000のサーバー・マシンは対策が急務だ。TCPポート445番や33333番などをファイアウオールでふさぐことも,外部からの感染を防ぐためには効果がある。ただし,LAN内部からの感染はふせげないので要注意。現在,夏期休暇の企業/組織では,自宅で感染したモバイルPCによって,ワームがLANに持ち込まれる可能性がある。管理者などは,休み明けにはパッチ未適用のマシンをLANに接続させないよう,ユーザーに注意を呼びかける必要がある。
なお,トレンドマイクロの情報によれば,8月15日時点では,米国やドイツ,ニュージーランドなどでは感染が確認されているものの, 国内ユーザーからの感染報告は寄せられていないという。
◎参考資料
◆マイクロソフト セキュリティ アドバイザリ (899588)(マイクロソフト)
◆Zotob に関する情報(マイクロソフト)
◆Microsoft プラグアンドプレイの脆弱性(MS05-039) について(情報処理推進機構)
◆この脆弱性を攻略する新種ワーム「W32/Zotob」(情報処理推進機構)
◆Malware Exploiting Microsoft Plug and Play Vulnerability(米US-CERT)
◆Exploit for Vulnerability in Microsoft Plug and Play(米US-CERT)
◆Handler's Diary August 14th 2005(米SANS Institute)
◆WORM_ZOTOB.A(トレンドマイクロ)
(勝村 幸博=IT Pro)
