Insider's Eye

ネットを震撼させたコンピュータ・ワーム、Nimdaを検証する

――複数のセキュリティ・ホールを突き、感染を広げる最強のワーム、Nimdaの正体――

デジタルアドバンテージ
2001/09/27

Nimda 情報サマリー
●Nimdaウイルス/ワームとは
 Nimdaとは、Webを閲覧したり、メールをプレビューしたり、.docファイルを開いたりしただけで感染し、そのマシンを踏み台にしてさらに外部へと感染を広げる、非常に感染力の強いウイルス/ワーム。感染の過程でネットワークに過大な負荷を与える。

●対象となるシステム
 Windows 9x/Me/NT/2000上で、Internet Explorerを使っている環境、およびInternet ExplorerのWebブラウザ・コントロールを使ってHTMLページなどを表示しているOfficeを始めとする製品。さらにIISサーバがあれば、そこにも感染し、そのWebページを見たクライアントへと感染を広げる。

●Nimdaに関する情報、対処方法一覧
・マイクロソフト――Nimda ワームに関する情報
http://www.microsoft.com/japan/technet/security/alerts/nimda.mspx

・IPA――新種ウイルス「W32/Nimda」に関する情報
http://www.ipa.go.jp/security/topics/newvirus/nimda.html

・トレンドマイクロ――PE_NIMDA.A対策Web
http://www.trendmicro.co.jp/nimda/

・シマンテック――W32.Nimda.A@mmに関する情報
http://www.symantec.com/region/jp/sarcj/data/w/w32.nimda.a@mm.html

・ネットワークアソシエイツ――McAfee ウイルス百科事典(W32/Nimda@MM)
http://www.mcafee.com/japan/security/virN2001.asp?v=W32/Nimda.a@MM

・コンピュータ緊急対応センター――80番ポート (HTTP) へのスキャンの増加に関する注意喚起
http://www.jpcert.or.jp/at/2001/at010023.txt

●対策方法
1.システムをネットワークから切り離し、ウイルス対策ソフトを使ってNimdaウイルスの検出と駆除を行う。完全に駆除しきれない場合は、システムの再インストールが必要。

2.Internet Explorerは、IE 5.01 SP2、IE 5.5 SP2、IE 6.0のいずれかにバージョンアップ。IISはMS01-044のセキュリティ・パッチを適用。

 また新しいインターネット・ワームウイルスが現れた。Nimda(ニムダ)と呼ばれている。1カ月ほど前に突如出現して猛威を振るい、その後沈静化の兆しを見せていたCode Red(Insider's eyeCode Redワームの正体とその対策」参照)やその亜種(Code Red II、Code Blueなど)にも似ているようであるが、今度のNimdaは、それら以外の過去のウイルス/ワーム技術も総動員したような、非常に悪質で、影響力の大きいものである。Nimdaの特徴は、サーバとクライアント・マシンの両方をターゲットとした、強力で執拗な感染力にある。

 まずNimdaのコード(プログラム)だが、これは「readme.exe」という56KbytesのWindows用バイナリ・コードである(サーバの応答が悪かったりすると、数Kbytesの欠損バイナリ・コードになっていることがあるようだ)。これがWindows 9xやWindows Me、Windows NT、Windows 2000上で実行されることにより、さまざまな手段を使って他のマシンに感染、流布していく。この感染過程で非常に多くのネットワーク・トラフィックを発生し、それが原因でネットワークのパフォーマンスが著しく低下したり、帯域をすべて使い切ってしまって、その他の通信がまったくできなくなったりするなどの影響が出ている。このネットワークの混雑は、単に社内のローカルなネットワーク上だけでなく、インターネット上のあらゆる場所でも発生しており、ISPでもメール・サーバがダウンしたり、ルータが膨大なトラフィックを処理しきれなくなって正常な通信ができなくなる、などの影響がでている。

 Code RedはIISが稼働しているサーバ・マシン間でのみ感染、増殖していたが、Nimdaは、サーバのみならず各クライアントにも感染して、増殖するという点でより深刻である。結果として、インターネットイントラネットを問わず、あらゆるところに悪影響が出ているのがこのNimdaの大きな特徴である。サーバ・マシンと違って、クライアント・マシンにも容易に感染、流布することにより、Code Redよりもはるかにその影響は大きくなっているし、その根絶もより難しくなっている。たった1台感染するだけで、同じネットワーク上にいるぜい弱なマシンはほぼ確実に感染してしまう。会社のネットワークならば、それなりに技術を持った管理者もいるだろうが、個人で使用しているマシンならば、Nimdaに感染しても気が付かないことすら、めずらしくない。現状のNimdaは、システムを破壊するのではなく、ただひたすら感染を広げるという動作しかしていないので、ネットワークのトラフィックが異常に増える以外は特に悪影響はないが(これだけでも問題だが…)、今後現れるであろう亜種のことを考えると、非常にやっかいなウイルス/ワームである。

 

 INDEX
[Insider's Eye]ネットを震撼させたコンピュータ・ワーム、Nimdaを検証する
    1.Nimdaの感染原理
    2.Nimdaの検出と駆除、対策
 
「Insider's Eye」


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間