「『Sobig.F』ワームのサーバー攻撃を回避」，セキュリティ・ベンダー各社が報告

和田英一

2003.08.25

　セキュリティ・ベンダー各社によると，「Sobig」ワームの5番目の亜種「Worm/Sobig.F」の攻撃を回避できたようだ。攻撃は，8月22日の協定世界時19時に起こるようプログラムされていたという。

　米Keynote Systemsは米国時間8月22日，攻撃予定時刻から1時間経過した時点で，「主要な米国のインターネット・バックボーンに普段と違うトラブルは認められない。アジア太平洋地域と欧州も同様だ」と報告した。フィンランドのF-Secureは8月23日に，「24時間にわたって攻撃を防いだ」と発表している。

　F-Secure社の調査チームは，同ワームが20件のIPアドレスのリストを含んでいることを解析。各ISP，各国のCERT機関，米連邦捜査局（FBI），米Microsoftとともに該当するサーバーを見つけ出し，ネットワークから外すか停止するなどして，攻撃をほとんど未然に防いだという。

　攻撃予定時刻の6時間前に11台，予定時刻直前までにさらに7台のセキュリティを確保した。残る2台のうち1台は，稼働していなかったのか到達不能の状態だった。1台は攻撃を受けたが，大量のトラフィックが送られたためにすぐにアクセス不能になった。

　攻撃目標だった20台は，米国，カナダ，韓国にあるサーバー。ワームはこれらのサーバーへのアクセスし，別のサーバーのアドレスをダウンロードしようと試みた。ワームの攻撃が成功していれば，感染したマシンすべてがこのアドレスから未知のアプリケーションをダウンロードし，実行していたとみられる。