セキュリティ組織やセキュリティ・ベンダー各社が警告を発し,感染を拡大していたワーム「W32.Blaster(MSBLASTER,Blaster,MSBLAST,RPC DCOM WORM)」だが,最悪の事態は回避できそうだ。
W32.Blasterはセキュリティ・ホールを悪用して自動的に侵入するとともに,8月16日以降,米Microsoftの「Windows Update」サイト(windowsupdate.com)へDoS(サービス妨害)攻撃を仕掛けるようプログラムされていた。米メディア(CNET.com)が米国時間8月15日に報じたところによると,Microsoft社は攻撃を防ぐために,DNSサーバーにある同サイトのアドレスを変更した。「新たなアドレスは,旧アドレスと同一ネットワーク上にはないため,あらゆる攻撃から隔離されている」(Microsoft社)としている。
またMicrosoft社は,直接「Security & Privacy」サイト(http://www.microsoft.com/security/)にアクセスし,手順に従ってW32.Blasterワームの対策を講じるようユーザーに呼びかけている。主な内容は以下の通り。
・「Windows XP」が備える「Internet Connection Firewall」といったファイヤアウオール機能を使用する。
・最新のパッチをコンピュータに当てる。また「AutoUpdate」をオンにして,今後のアップデートのインストール手順を簡素化する。
・アンチウイルス・ソフトウエアをインストールし,最新の情報に更新する。
W32.BlasterはWindows 2000,同XP,同NT,同Server 2003など複数のWindows OSに感染する可能性がある。ワームが侵入のために悪用するのは, 7月14日に公開された「RPCインタフェースのバッファオーバーランによりコードが 実行される (823980) (MS03-026)」。
ワームは,あるアルゴリズムに従って選択したIPアドレスのマシンのTCPポート135番へアクセスして侵入を試みる。セキュリティ・ホールを悪用して侵入に成功にすると,そのマシンでシェルを起動する。シェルはTCPポート4444番で外部からのアクセスを待つ。
次に,ワームはそのシェル上でtftpコマンドを実行し,感染元のマシンからワームの本体である「msblast.exe」をコピーさせる。msblast.exeをコピーした後,感染対象マシン上でmsblast.exeを実行し,別のマシンに感染を広げようとする。加えて,システムの日付が8月16日以降になると,Windows Updateサイトへ「SYN Flooding」と呼ばれるDoS攻撃を仕掛けようとする。
ただし,Webサイトのパフォーマンス管理やテスト・サービスを手がける米Keynote Systemsによると,8月14日以降,Windows Updateサイト以外のサイトへの攻撃が確認されたという。例えばMicrosoft社サイトのホーム・ページ(www.microsoft.com)は,ニューヨーク時間8月14日午後11時30分にアクセス不調に陥り,その後まったくアクセスできなくなった。同8月15日午前3時15分に復旧し始め,夜にはほぼ回復している。
◎関連記事
■【Blaster続報】「IPAへの届け出は1200件超,トラフィックの急増は見られない」――経産省
■Windows Updateサイトに攻撃を仕掛けるワームが出現,“超特大”ホールを狙う
■8月16日午前1時,Blasterによるトラフィック増加は観測されず
■マイクロソフト,「Blaster」に備えて電話相談窓口を24時間体制に
■Blasterに感染した世田谷区役所,ルートは人的な“持ち込み”か
■【Blaster続報】IPAへの届け出は600件超,休暇明けはワームの“持ち込み”に注意
■なぜWindowsが再起動させられるのか?――「Blaster」ワームの謎を解く
■Windowsのセキュリティ・ホールを狙うワーム,国内でも感染を拡大中
[発表資料(Microsoft社のプレス・リリース)]
[発表資料(Keynote Systems社のプレス・リリース)]
![Word 最速時短術 [増補新版]](https://info.nikkeibp.co.jp/atclnxt/books/25/03/07/00396/B_9784296207329.jpg)
