まずは,今使っているパソコンで「タスクマネージャ」を開いてください。コントロール・キー(Ctrl)とShiftキーを押しながらEscキーを押せば開きます。「Ctrl」「Alt」「Delete」キーを同時に押して表示される「Windowsのセキュリティ」から「タスクマネージャ」を選択しても開きます。タスクマネージャを開いたら,「プロセス」タブを選択してください。そうすると,現在稼働しているプロセスの一覧が表示されます。

 一覧の「イメージ名」の列を見てください。その中に,「msblast.exe」という名前はありませんか(「イメージ名」ボタンを押すと,イメージ名がアルファベット順に表示されるので探しやすいでしょう)。

 もしあれば,そのパソコンは「Blaster」ワームに感染しています。今すぐネットワーク・ケーブル(LANケーブル)を外してください。ネットワーク・ケーブルを外したままで,システム管理者や部署のシステム担当者に連絡してください。

 ない場合でも安心はできません。セキュリティ上の対策をきちんと施していない場合には,「Blaster」ワームに感染する恐れがあります。自信がない方は,すぐにネットワーク・ケーブルを外して,システム管理者などに指示を求めてください。

 別のパソコンに電源を入れようとしているあなた,ノート・パソコンをLANに接続しようとしているあなた。ちょっと待ってください。周りの方にも待つように伝えてください。先週以降大きな被害を及ぼしている「Blaster」ワームはまだ終息していません。いつもの月曜日の朝のように,パソコンに電源を入れたり,ノート・パソコンをLANに接続したりすると,ネットワーク中にBlasterがまん延する可能性があります。

 今朝は,いつもの朝とは違うのです。

未対策のWindowsマシンすべてに感染

 8月12日以降,Blaster(ブラスター)が国内でも感染を広げている。Blasterは,「MSBLAST」(エムエスブラスト)や「Lovsan」(ラブサン)などとも呼ばれる。テレビや新聞でも報じられているので,ご存じの方は多いだろう(Blaster出現以降の動向については,記事末の「関連記事」を参考にしてほしい)。

 Blasterが,他のワームやウイルスに比べて危険なのは,セキュリティを意識していないユーザーすべてが被害に遭う点にある。「最新のパッチを適用する」「最新のウイルス定義ファイルを備えたウイルス対策ソフトを使っている」「パーソナル・ファイアウオールを使っている」「Windowsの設定をセキュアにしている」――といった対策を施していない限り,すべてのWindowsマシンにBlasterは感染する。

 「何も対策を施していないけど,自分は感染していない」というユーザーがいるかもしれない。しかしそれは,現在使用しているブロードバンド・ルーターなどがデフォルトでセキュアに設定されているために防げているだけだ。企業では,システム部などが適切に設定したファイアウオールが防いでくれているだけなのだ。例えば,未対策のマシンをダイヤルアップで接続すれば,すぐに感染してしまうだろう。

 特に何の対策も施さずにインターネットに接続していたWindowsマシンは,Blasterに感染していると考えたほうがよい。一部では,「Blasterに感染すると,Windowsが勝手に再起動される」と伝えられていたために,「自分のマシンは勝手に再起動させられていないので大丈夫」と考えているユーザーがいるかもしれないが,それは間違いである。Windowsの再起動はBlasterの感染活動の“副産物”に過ぎない。再起動させられていなくても,Blasterに感染している可能性はある(関連記事)。

 加えて,Blaterは自動的に感染を広げるワームである。ユーザーのアクションを何ら必要としない。Blasterは自ら感染対象マシンへパケットを送信し,そのマシンにセキュリティ・ホールがある場合には,勝手に侵入して,そのマシン上で起動する(関連記事)。

 一部報道では「ウイルス」と呼んでいるので,「Klez」のようなウイルスと混同している方がいるかもしれないが,全くの別物である。ユーザーがメールを読んだり,Webを閲覧したりしなくても感染するのだ。

 何も考えないでインターネットに接続しているWindowsマシン――特に,自宅で使用しているマシン――に,Blasterが知らない間に感染している可能性はとても高いのである。

ワームの“持ち込み”が予想される休暇明け

 なぜ,今朝はいつもの朝とは違うのか。それは,多くの国内企業において,夏期休暇が終わって初めての朝のだからだ。Blasterがまん延し始めたのは日本時間で8月12日のこと。「既に休暇に入っていた社員が,自宅でノート・パソコンをインターネットに接続してBlasterに感染。そのノート・パソコンをLANに接続して,LAN内にBlasterがまん延」というシナリオが十分考えられる(関連記事)。

 ノート・パソコンばかりではない。既にLANに接続しているデスクトップ・パソコンの電源を入れるのも注意が必要だ。というのも,休暇に入る前にBlasterに感染している可能性があるからだ。電源を落としている間は,もちろんBlasterは動いていない。しかし,電源を入れるとBlasterは動き出す。そして,休暇明けでほとんどのマシンが立ち上がっているLAN中に感染を拡大させる。現在感染していなくても,未対策のマシンでは,他のマシンから感染させられる恐れもある。

 以上が,パソコンの電源を入れることやLANにつなぐことを待ってもらった理由である。

 現在ではほとんどの企業でファイアウオールを設置して守りを固めている。ファイアウオールでは,Blasterからのパケットを遮断して,外部からLANのマシンへの感染を防ぐ。しかし,内部からの感染拡大をファイウオールは防げない。逆に,「ファイアウオールで守られているから大丈夫」と考えて,きちんと対策していないユーザーが少なくない。このため,内部からの感染は急速に拡大する。未確認情報ではあるが,Blasterの“持ち込み”によって,LAN中に感染が拡大した企業があることを,筆者は既に聞いている。

 あなたが持ち込んだ“一匹”のBlasterワームによって,休暇明けのオフィスが大変なことになるのだ。前述のように,Blasterは感染活動の際に,感染対象マシンを不安定にして再起動させる。LAN中に飛び交うBlasterワームのパケットにより,オフィス中のマシンが頻繁に再起動を繰り返す。とても仕事にはならないだろう。

管理者に確認するまでつながない

 ではどうすればよいか。まずすべきことは,LANに接続する前に,そのマシンにBlasterが感染していないことを確認することだ。LANに接続せずに(既に接続している場合にはネットワーク・ケーブルを外して)マシンを起動して,冒頭に書いたように「タスクマネージャ」で感染の有無を確認する。

 ここで注意すべきは,無線LANを使っている場合である。電源を入れただけでLANに接続する可能性がある。無線LANを使っている場合には,電源を入れてもLANにつながらないことを,システム管理者や部署の担当者に確認した上で,電源を入れる。

 なお,Blasterには変種が出現している。今後さまざまな変種が出現すると予想されているが,現在確認されているのは,イメージ名が「teekids.exe」や「penis32.exe」の変種である。これらはオリジナルほど感染を広げていないようだが,これらについても「タスクマネージャ」上で同時に調べよう。

 もし「msblast.exe」や変種が見つかった場合には,そのままネットワークに接続しないで,システム管理者や部署の担当者に連絡してほしい。「msblast.exe」を指定して,「タスクマネージャ」右下の「プロセスの終了」をクリックすれば,現在動いているBlasterは終了できるものの,これだけではBlasterを“駆除”したことにはならない。マシンを再起動すれば,再びBlaster(msblast.exe)が起動するからだ。マシンのハード・ディスクにコピーされているBlasterのファイルを削除したり,レジストリを元に戻したりしなければ,Blasterを駆除できたとはいえない。

 さらに,たとえ駆除したとしても,そのマシンにセキュリティ・ホールがあることは明らかなので,セキュリティ・ホールをふさがない限り,再びBlasterに感染したり,より凶悪なワームに感染したりする可能性がある。

 きちんと駆除して,セキュリティ・ホールをふさがなければ,万全とはいえない。駆除の方法やセキュリティ・ホールのふさぎ方(対策方法)については,システム管理者や部署の担当者に確認してほしい。きちんと対策が施されているマシンがそばにある場合には,マイクロソフトの対策ページなどでも確認できる。

 管理者がおらず,ネットワークに接続している安全なマシンもない場合には,マイクロソフトが提供する「FAX情報サービス」などを利用して情報を入手する関連記事)。情報の入手方法は次のとおり。FAX番号は「03-5454-8100」または「03-5972-7149」,手順は「『1』+『#』を入力」→「『1』+『#』を入力」→「BOX番号『324618』+『#』を入力」→「音声ガイドに従う」。

 同社は,電話による相談窓口「マイクロソフトセキュリティ情報センター」も用意している。電話番号は「0120-69-0196」(ただし,つながりにくくなることが予想される)。また,iモード用のサイトも用意している(URLは http://www.microsoft.com/japan/support/bi.asp)。

感染していなくても油断は禁物

 「タスクマネージャ」の「プロセス」に「msblast.exe」が存在しない場合には,現時点ではBlasterに感染していない。しかし油断はできない。“たまたま”感染していなかっただけかもしれない。マシンにセキュリティ・ホールがあれば,今後Blasterあるいは,より凶悪なワームに感染する恐れはある。

 「msblast.exe」が存在しなければネットワークに接続してよいのか,それとも,Blasterが悪用するセキュリティ・ホールが存在しないことも確認しなければ,接続してはいけないのかは,企業のポリシーによって異なるだろう。これについては,システム管理者などに確認してほしい。また,セキュリティ・ホールが存在しないことの確認方法やセキュリティ・ホールのふさぎ方なども,システム管理者などに確認したい。

 ちなみに,オフラインでセキュリティ・ホールがふさがれている(該当するパッチが適用されている)かどうかを調べる方法としては,レジストリを調べる方法がある。マイクロソフトの情報によれば,Windows 2000では「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB823980」,Windows XPでは「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP1\KB823980」,Windows XP SP1の場合には「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\KB823980」――のレジストリ・キーが作成されていれば,該当するパッチが適用されている。

 「msblast.exe」が存在しなければネットワークに接続してよい企業では,「msblast.exe」が存在しないことを確認できたら,「Windows Update」を利用して,セキュリティ・ホールがきちんとふさがれているかどうかを確認したい。「Windows Update」にアクセスして,「更新をスキャンする」をクリックした後,ページ左側に表示される「重要な更新とService Pack」が「0」になっていれば,セキュリティ・ホールはふさがれている(パッチが適用されている)。

今朝は“特別な”朝

 Blasterは,8月16日以降に起動されると,特定サイトへ攻撃を仕掛ける“機能”を持っている。しかしながら,関係者の対策が功を奏して,攻撃は失敗に終わった。このため,「Blasterは終息に向かっている」と一部で言われているようだが,とんでもない話である。DoS攻撃によるトラフィック異常の恐れが少なくなったものの,感染活動は続いており,企業のネットワークが混乱させられる可能性は依然残っている。DoS攻撃による被害と,感染による被害は全くの別物である。

 このため,関係者が危ぐしているのは,8月18日の就業時の感染拡大なのである。Blasterはまだ終息へ向かってはいない。今朝が“勝負”なのである。

 結局,「システム管理者の指示があるまで,パソコンの電源を入れたり,LANに接続したりしてはいけない」のである。休暇明けで,一刻も早く仕事に取り掛かりたい方は多いだろうが,今朝だけは特別な朝だと考えて,指示を待ってほしい。

 最後に,ここまで危機感を持っていただくために,「すべてのWindowsにBlasterは感染する」と書いたが,実際にはWindows 2000/XPにしか感染しない(関連記事)。

 しかしながら,「Windows 98/Meは大丈夫」と書いてしまうと,Windows 2000/XPにバージョンアップしたことを失念しているユーザーに対して,注意を促せない。また,Windows NT 4.0/2003については,Blasterの感染対象にはならないものの,Blasterが悪用するセキュリティ・ホールが存在する可能性がある。Windows NT 4.0/2003を対象とする新手のワームが出現する可能性は高い。Windows NT 4.0/2003ユーザーも,2000/XPと同様に対策を施す必要がある。そのために,あえて例外にはしなかった。もし混乱を招いたのならおわびしたい。

(勝村 幸博=IT Pro)