8月15日以降,「Zotob」ワーム(ウイルス)の変種が続出している(関連記事)。トレンドマイクロによると,米国では一部の企業から感染被害が報告されており,国内でも感染報告が寄せられているという。【8月18日追記】同社には,8月17日12時時点で,3件の感染報告が寄せられた【以上,8月18日追記】。現在のところ報告件数は少ないものの,「社内LANに持ち込まれると,爆発的に感染を広げる恐れがある」(トレンドマイクロ トレンドラボ・ジャパン アンチ・ウイルスセンターの岡本勝之ウイルス エキスパート)。夏期休暇中,自宅などで利用していたパソコンをLANにつなぐ前には,パッチを適用していることや感染していないこと(変な挙動をしていないこと)を確認する必要がある。

 ワールドワイドで感染が確認されているとして同社が現在警告しているのは,「WORM_ZOTOB.D」「WORM_RBOT.CBQ」の2種類。後者についてはプログラム(コード)の特徴が異なるため「Zotob」の名称は付けていないが,いずれもオリジナルのZotob(ZOTOB.A)と挙動などが似ており,Zotobの変種と呼べるという。実際,シマンテックではWORM_RBOT.CBQと同じワームを「W32.Zotob.E」としている。

 これらはオリジナルのZotobと同じように,8月10日に公表されたWindowsのセキュリティ・ホール「プラグ アンド プレイ の脆弱性により,リモートでコードが実行され,特権の昇格が行なわれる (899588) (MS05-039)」を突いて,ネットワーク経由で感染を広げる。感染対象はWindows 2000/XP/Server 2003とされている(ただし,XP SP2およびServer 2003 SP1には感染しない)。Windows 98やMeは「MS05-039」の影響を受けないためネット経由で感染することはないが,ワーム本体をマシン上にコピーして実行すれば感染する。

 感染挙動もオリジナルのZotobと似ている。これらはまず,TCPポート445番経由でセキュリティ・ホールを突くプログラムを送り込む。プログラムは既にZotobが稼働しているマシンから,ZOTOB.D/RBOT.CBQの本体プログラムをFTP/TFTPでダウンロードして実行する。実行されると本体プログラムは“ボット”として振舞い,攻撃者からの命令をIRC経由で待ち受ける。そして命令に従って,指定されたサイトへDoS(サービス妨害)攻撃を仕掛けたり,任意のファイルをダウンロード/実行したりする。自分自身をアップデートして,新たな“機能”を追加する場合もある。「現在はネット経由で感染を広げるだけだが,メールなどで感染を広げる“機能”が加わる可能性もある」(トレンドマイクロの岡本氏)

 現在確認されている感染ルートはTCPポート445番経由に限られる。ほとんどの企業や組織ではファイアウオールなどでTCPポート445番をふさいでいるので,外部からの感染は防げると考えられる。問題はLAN上のマシンからの感染である。過去に大きな被害をもたらした「Blaster」ワームなどと同様に,「夏期休暇中に自宅で使っていたマシンがワームに感染して,LANへ持ち込まれる」というシナリオが十分考えられる。

 「修正パッチが公開されてからすぐにワームが出現したために,パッチ未適用のマシンはまだ多い可能性がある」(トレンドマイクロの岡本氏)。パッチ未適用のまま社外でインターネットに接続したマシンを,いきなりLANに接続するのは危険である。パッチを適用している“自信”がなければ,接続前にシステム管理者などの指示を仰ぎたい。

 また,変種が続出している現状では,ウイルス対策ソフトを使っていても検出できない場合がある。対策ソフトが警告を出さないからといって,感染していないとは限らないので注意が必要。

◎参考資料
WORM_ZOTOB.D(トレンドマイクロ)
WORM_RBOT.CBQ(トレンドマイクロ)

(勝村 幸博=IT Pro)