(2001.9.18,George V. Hulme=InformationWeek)
セキュリティ関連企業が新たなインターネット・ワーム「Nimda」に関して警告を発している。「Code Red」よりも急速に被害が拡大しているという。
米TruSecureチーフ・テクノロジストのPeter Tippet氏によると,同社が最初にNimdaを検出したのはニューヨーク時間9月18日の午前9時8分。米国,ニュージーランド,欧州,アジアなど世界各地に配置しているセキュリティ・センサーが,数分間隔でワームの攻撃を受け始めた。
「Code Redやその亜種とは違う」とTippet氏は説明する。Code Redは7月に,米Microsoftの「Internet Information Services(IIS)」を搭載するサーバー数千台に被害を与えたワームだ。Nimdaは少なくとも12種類のセキュリティ・ホールを利用して感染を広げているという。Nimdaが悪用するセキュリティ・ホールはすべて既知の欠陥で,すでに修正パッチやソフトウエアが提供されている。
NimdaはIISの「バージョン4」または「5」を動作させているサーバーに感染する。「Windows ME」「同2000」「同98」を搭載するデスクトップ・パソコンも感染対象となっている。
Nimdaは次の三つの手段を使って繁殖する。1)インターネット経由で直接セキュリティ・ホールのあるシステムを探し出し,Code Redと同様の方法で自身を複製する,2)ローカルなネットワークを共有しているハード・ディスク装置に感染する,3)電子メールを介して「README.EXE」という名称の添付ファイルを送信する。
セキュリティ・ベンダー各社は,「.exe」拡張子のファイルを添付した電子メールをすべて遮断するよう企業に対策を呼びかけている。また,フィルタ機能でREADME.EXEを伴う電子メールを受け付けないようにしたり,IISに完全にパッチを当てるかネットワークから外すことを勧めている。
米国時間9月18日午前11時の時点で,TruSecure社は1万1000件以上の感染報告を受けている。18日中に感染件数はさらに増加するとみる。100万台以上のコンピュータが無防備な状態にあると考えられ,「すでに10万台以上が感染しているかもしれない。インターネットのパフォーマンスが著しく低下する危険性がある」(Tippet氏)。
現在セキュリティ研究者がNimdaのソース・コードの解析にあたっており,数時間以内に,Nimdaがどのようなペイロードを含んでいるかを解明できるという。TruSecure社のセキュリティ・センサーは1時間当たり10回~100回の攻撃を感知している。
Copyright(c) 2001 CMP Media Inc. All rights reserved.
[記事へ]
◎関連記事
■【緊急警告】「Nimda」ウイルス出現,メール本文のプレビューやWebページ閲覧だけで被害も
■ワーム「Nimda」の被害広がる,危険度は「高」
<Code Red関連>
■セキュリティ・ベンダーがワーム「Code Red」を警告,IISをねらう
■トロイの木馬を仕掛ける新種の「Code Red」ワームが猛威
■FBIが「Code Red」ワームの7月31日再発を警告,「FBIは必要以上に騒ぎすぎ」の声も
<IISのセキュリティ・ホール関連>
■IIS の追加機能「FrontPage Server Extension」に再びセキュリティ・ホール
■予想通り---。新しいセキュリティ・ホールからIISに侵入するワームが出現
■相次ぐ IISのセキュリティ・ホール情報,くれぐれも“まひ"しないように
■危険性が高まるIISサーバー,パッチ適用の徹底を
セキュリティに関する情報は総合IT情報サイト『IT Pro』の「セキュリティ」で詳しくお読みいただけます。
