Windowsのセキュリティ・ホールを突く「Sasser」ワーム

勝村幸博

2004.05.20

　国内ではゴールデン・ウイーク中の5月1日，Windowsのセキュリティ・ホールを突くワーム「Sasser」が出現した。2003年8月に出現した「Blaster」ほどの被害はもたらさなかったようだが，油断は禁物である。同様のワーム／ウイルスは今後も出現する。十分注意したい。

　IT Proでは，Sasserに関する記事を何本か掲載している。そこで本稿では，過去記事および取材で得られた情報を基に，Sasserについてまとめた。今後のワーム／ウイルス対策の参考にしていただければ幸いである。

　前回の特集記事にも書いたように，「MS04-011」「MS04-012」のセキュリティ・ホールが公開された4月14日時点で，セキュリティ・ホールを突くプログラムやワームの出現はある程度予想されていた。

◆4月に公開されたWindowsの危険なセキュリティ・ホール

　予想通り，いくつかのセキュリティ・ホールには，それらを突くプログラムが公開され，4月末には，「MS04-011」に含まれる危険なセキュリティ・ホールの一つ「LSASSの脆弱性」を突くプログラムがインターネット上で公開された（写真）。

　Blasterをはじめ，多くのワームは事前に公開されているセキュリティ・ホールを突くプログラムを“参考”にする。そのため，プログラム公開後は，「LSASSの脆弱性」を突くワームの出現は時間の問題だった。実際，その予想は現実のものとなった。プログラムが公開されてから数日後に，そのプログラムを使ったワーム「Sasser」が出現した。

◆Windowsのセキュリティ・ホールを突くワームが流行中，連休明けは要注意

　出現後，マイクロソフトの対応は早かった。5月1日には，専用の対応ページを用意した。さらに，修正パッチを適用できない環境向けに回避策を更新したり，Webページから感染のチェックと駆除が可能なツール（ActiveXコントロール）を公開したりした。

◆マイクロソフト，「Sasser」ワームが突くセキュリティ・ホールの回避策を更新

　Sasserの特徴の一つに，挙動やデータ（ファイル名など）を変えただけの変種（亜種）が次々と出現したことが挙げられる。国内時間5月2日には「Sasser.B」，3日は「Sasser.C」，4日は「Sasser.D」――と，連日のように変種が出現した。これは，ソース・コードを持つオリジナルの作者が変種を作ったためだと言われている。

◆「当社の懸賞金プログラムが『Sasser』作成の容疑者逮捕に貢献」，米Microsoft

　とはいえ，作者と思われる人物が逮捕された後でも変種は出現している。バイナリのワーム・プログラムを基に変種を作ることが可能なためだ。また，既にソース・コードが出回っている可能性もある。

◆スペインPanda Softwareが「Sasser.F」を警告，「未熟なクラッカの仕業？」

　次々出現する変種の中で，特にSasser.Dは厄介な振る舞いをする。これから感染しようとするマシンが稼働しているかどうかを調べるためにpingを実行する（ICMP echoリクエストを送信する）のである。これにより，ネットワークのトラフィックが急増し，ネットワークが麻痺する恐れがある。2003年8月に出現した「Welchi」ワームと同様の被害が発生する可能性があった。そこで経済産業省などは，社内ネットワークにSasserを持ち込むことがないよう改めて警告した。

◆「社内ネットワークが麻痺する恐れあり，ワームを持ち込ませるな」――経産省

　マイクロソフトは，Sasser.Dまでの変種に対応できる駆除ツールを公開した（5月12日には，Sasser.Fまでに対応したツールを公開している）。

◆マイクロソフト，「Sasser.D」までに対応した駆除ツールを公開

　連休明けの5月6日，感染マシンの社内持ち込みが懸念されたが，ベンダーや関係機関には，大きな被害報告はなかった。

◆「国内のSasser届け出数は少ないが油断は禁物，駆除ツールをかたるウイルスにも注意」――シマンテック
◆「相変わらず『Netsky』ウイルスが猛威，『Sasser』にも注意」――IPA

　ただし，安心はできない。Sasserのように，ネットワークに接続するだけで感染するワームは次々出現している。今後も対策は不可欠である。

◆TCP 5000番ポートへのアクセスが急増，原因は2種類の新種ワーム

　Sasserが出現した後，セキュリティ・ベンダーなどに話を聞くと，「PCTの脆弱性」を突くワームの出現を心配している専門家が多かった。

◆「WindowsのSSLサーバーを乗っ取るコードが出現」―― マイクロソフトが警告

　Sasserが突く「LSASSの脆弱性」と同じく，「MS04-011」で公開されたセキュリティ・ホールの一つである。ただし，クライアント・マシンが影響を受ける「LSASSの脆弱性」とは異なり，SSL（Secure Sockets Layer）を有効にしているサーバーだけが影響を受ける。とはいえ，Sasser同様，既にセキュリティ・ホールを突くプログラムが公開されている。いつワームが出現してもおかしくはない。

　しかも，SSLサーバーには重要な情報が保存されている可能性が高い。業務に直接関係する通信が行われている可能性も高い。感染台数が少なくても，1台あたりの被害が深刻になるようなワームが出現する恐れがある。WindowsマシンでSSLサーバーを運用している場合には，対策が施されていることを改めて確認したほうがよい。