Windowsのセキュリティ・ホールを突くワーム(ウイルス)である「Zotob」「Bozori」「IRCBot」「RBOT」などの詳細が,アンチウイルス・ベンダー各社により明らかにされ始めた。「『MS05-039』のセキュリティ・ホールが存在するPCは,ワームが送信する感染用データを受信すると再起動する場合がある」「再起動しても感染していないケースがあれば,再起動してなおかつ感染しているケースや再起動せずに感染しているケースもある」「現在確認されているワームはWindows 2000だけに感染する*1。しかし,Windows XPやServer 2003に感染する変種が出現する可能性もある」——などである。

*1 ここでの「感染」は,ネットワークを通じた感染を意味している。ワーム本体をPC上にコピーして実行すれば,あるいは,メールに添付されて送られてきたワーム本体を実行すれば,ほかのWindows(98/Me/XP/Server 2003)でも感染する(ワーム本体がPC上で動作する)。

感染に失敗すると再起動

 「MS05-039」を突くワームのほとんどは,以下のような手順で感染を広げる(関連記事)。まず,ランダムに選択したIPアドレスのTCPポート445番へ「MS05-039」を突くデータを送信する。「MS05-039」を突くことに成功すると(セキュリティ・ホールのあるプラグ アンド プレイ サービスをバッファ・オーバフローさせることに成功すると),データに含まれたプログラム(以下,「感染プログラム」とする)が動き出す。感染プログラムはFTPあるいはTFTPを使って,既にワームに感染しているPCからワームの本体をダウンロードする。そして,そのワーム本体を実行する。

 トレンドマイクロのトレンドラボ・ジャパン アンチ・ウイルスセンター ウイルス エキスパートである岡本勝之氏によると,現在確認されているワームのほとんどは,感染を広げる際に同じデータを送信しているという。具体的には,8月10日に「Houseofdabus」と称する人物が公表したデータ(コード)を利用している(関連記事)。このデータはWindows 2000を対象としているため,Windows XPやServer 2003ではバッファ・オーバーフローは発生するものの,データに含まれる感染プログラムは“適切に”動作しない。その場合にはワームに感染することなくWindowsは不正終了し,再起動する。

 なお,トレンドマイクロによれば,英語版Windows 2000ではどのサービスパックのバージョンでもプログラムが動作するが,日本語版ではWindows 2000 SP4でのみ動作を確認しているという。同じWindowsであっても,言語バージョンによって感染する場合と感染しない場合があるようだ。

再起動しても感染している場合あり

 注意しなければいけないのは,再起動したからといって未感染とは限らないということだ。感染に失敗した場合だけでなく,感染に成功している場合でもPCが再起動することがあるからだ。「感染プログラムの動作の途中で何らかのエラーが発生すると,PCが再起動する」(岡本氏)。「PCをネットに接続したら“なぜか”再起動する」といった場合には,ワームに感染している可能性があると考えたほうがよい。

 もちろん,PCが再起動しないからといって安心はできない。感染プログラムが“適切に”動作した場合には再起動しない。この場合には,「通信が遅くなったりするものの,表面上はまず分からないだろう」(岡本氏)。再起動しない場合でも,パッチ未適用PCをネットにつないでいた場合には感染している可能性がある。

 前述のように,現在確認されているワームのほとんどは,Houseofdabusのデータを流用している。このためWindows 2000以外については,再起動させられることはあっても,ワームに感染している可能性は小さい。だが,「Windows XPやServer 2003に感染するような“工夫”を凝らした新種が出現する可能性は否定できない」(岡本氏)。Windows 2000以外でも,パッチの適用は急務である。

感染したらネットから切り離す

 それでは,感染の疑いがある場合——PCが勝手に再起動する場合や(再起動しなくても)パッチ未適用のPCをインターネットにつないでいた場合——にはどうすればよいか。「まずはネットワークから切り離す(ネットワーク・ケーブルを抜く)ことを勧める」(岡本氏)。他のPCへの感染を防ぐためである。その上で,企業ユーザーならシステム管理者(セキュリティ管理者)に指示を仰ぎたい。

 個人ユーザーの場合には,できるだけオフラインの状態で駆除したい。マイクロソフトやアンチウイルス・ベンダーの駆除手順や駆除ツールを別のPCなどで参照あるいはダウンロードして駆除する(駆除ツールなどの情報は,情報処理推進機構のページに詳しい)。駆除した後は,パーソナル・ファイアウオールなどでTCPポート445番をふさいで再感染しないようにしてネットに接続し,パッチを適用したり,ウイルス定義ファイル(パターンファイル)を更新したりする。

 PCが1台しかない場合には,そのPCでネットに接続して対処するしかない。再起動を繰り返すようなら,上記のようにパーソナル・ファイアウオールなどでTCPポート445番をふさいだ後,ネットに接続して駆除ツールのダウンロードやパッチ適用,定義ファイルの更新などを行う。

 米国などでは一部で被害が伝えられているものの,現在のところ国内においては「広範囲かつ急速に感染が広がる可能性は小さいと考えられる」(岡本氏)。とはいえ,「今後,悪質なプログラムの多くが『MS05-039』を突くようになることが予想される」(同氏)。「MS05-039」のパッチが適用されていることを改めて確認したい。加えて,「MS05-039」のような「緊急」レベルのセキュリティ・ホールについては,パッチが公開され次第できるだけ早急に適用するようにしたい。今回明らかになったように,一週間もしないうちにワームが出現するのが現状なのだ。