Insider's Eyeネットを震撼させたコンピュータ・ワーム、Nimdaを検証する 2.Nimdaの検出と駆除、対策 |
 |
| デジタルアドバンテージ 2001/09/27 |
|
以上のように、Nimdaはさまざな手段を使ってシステム内部に入り込み、さらに外部へと感染を広げていく。だがNimdaが発病しても、特にファイルが消えたり、システムが起動しなくなるなどの不具合が現れるわけではないので(少なくとも現在見つかっているバージョンでは、まだシステムに致命的なダメージを与えることはない。単にシステムに寄生して、非常の多くのネットワーク通信を行っているだけである)、外部的な症状からNimdaを発見するのは困難である。そのため、より発見が遅れ、さらに感染が広まってしまうという危険性がある。
というわけで、Nimda感染したかどうかを見分けるにはNimdaウイルスの検出ソフトを使うのが一番簡単で、確実な方法であろう。9月中旬から後で、Webページを見ているときにReadme.*のようなファイルをダウンロードしたとか(もしくは、ダウンロードするかどうかを問い合わせるようなダイアログが表示されたかとか)、システム上にreadme.*やriched*.dllという57Kbytes程度のファイル(現在見つかっているNimdaのサイズは正確には57,334bytes)が多数ある、readme.*が添付された本文なしのメールを受け取った、などの経験があるようならば、まずはウイルス・チェックをするべきである。もちろんそれ以外のシステムでもウイルス・チェックは必須である。
Web経由のオンラインでウィルス・チェックできるサイトなどもあるが、Nimdaではネットワークに接続していること自体がすでに危険なので(外部から感染するかもしれないし、すでに感染しているのならばそこから外部へ感染を広げてしまうかもしれないので)、ネットワークを切断後、スタンドアロンのウイルス対策ソフトを使って検査する。もちろんウイルス対策ソフトのパターン定義ファイルは最新のものに更新しておかなければならない。
システムに入り込んだNimdaは、ウイルス対策ソフトの駆除ツールなどを使えば駆除することができることになっているが、サーバ・システムでは(特にCode Red IIなどに感染して、そのバックドア経由でNimdaの侵入を受けたような場合は)、システム全体の再インストールを行った方がよいだろう。Nimdaでは、元のファイルを置き換える形で感染することがあり、この場合にはNimdaを駆除しても元もファイルを復旧させることはできないからだ。しばらく運用してみて、エラーなどが出るようならば、再インストールした方が簡単で確実である。また、公開WebサーバがNimdaに感染したようなケースでは、システムの信頼性やユーザーの信用などを考えると(いくらNimdaを除去したといっても、ユーザーからの不信感は簡単にはなくならないだろう)、確実に再インストールした方がよいだろう。なお、インストール途中でもNimdaに感染しないように(インストールの最中はセキュリティ・パッチが当たっていないので、ぜい弱なままである)、ネットワーク上にはNimdaやCode Redがいないことを十分確認してから作業を開始していただきたい。
Nimda対策
検出と駆除がすめば、次はNimdaに対する対策(パッチ作業やバージョンアップ)を施す必要がある。まずはクライアント側の対策方法についてみてみる。
■クライアント側の対策
Internet Explorerのいくつかのバージョンには、ある特定のMIMEタイプを持つデータの場合、プレビューしただけでもその内容を自動的にダウンロードして、実行してしまうというぜい弱性がある(「不適切な
MIME ヘッダーが原因で Internet Explorer が電子メールの添付ファイルを実行する (MS01-020)」)。このぜい弱性はすでに半年以上も前に発見され、対策が行われているものである。これへの対処法は、対策が施された最新のInternet
Explorerを導入する、という方法しかない。具体的には、現在使用しているInternet Explorerのバージョンに応じて、
- Internet Explorer 5.01 SP2
- Internet Explorer 5.5 SP2
- Internet Explorer 6.0
のいずれかを導入するという方法しかない(IE 6のプレビュー版も正式な6.0にアップデートすること)。より以前のInternet Explorer 4.xの場合でもNimdaに感染する可能性があるので、以上のいずれかにバージョンアップしなければならない。Windows 2000の場合は、Windows 2000 Service Pack 2を導入すると、自動的にIE 5.01 SP2に更新されるので、まだWindows 2000 SP2を導入していないのならば、これを機会にWindows 2000をSP2にするという方法でもよいだろう。
この対策を施すと、自動的にreadme.exeファイルをダウンロードして実行するようなことはなくなり、代わりに、それを保存するか、実行するかを問い合わせるダイアログが表示されるようになる。だが、対策を施したからといって、それを[実行]してしまっては何の意味もないことに注意されたい。これはあくまでも自動的な実行をしなくなるようにするための対策であり、Nimdaの実行、感染を抑えるものではない。実行してしまえば、やはり上で述べたような動作によって、システムやネットワーク上の各共有ディレクトリに感染することになる。特に初心者は意味も分からずついつい[実行]ボタンなどを押してしまいがちなので、(特にreadme.*というようなファイルに関しては)うかつに実行しないように周知徹底する必要があるだろう。
・IEのダウンロード
Internet Explorerの最新版を入手するには、マイクロソフトの以下のサイトが利用できる。
| マイクロソフト ダウンロードセンター |
| Internet Explorer 5.01 P2 http://www.microsoft.com/downloads/release.asp?ReleaseID=28910 |
| Internet Explorer 5.5 SP2 http://www.microsoft.com/downloads/release.asp?ReleaseID=32082 |
| Internet Explorer 6 http://www.microsoft.com/downloads/release.asp?ReleaseID=32351 (注意:IE 6.0をセットアップする場合は、必ずOutlook Expressを含む標準構成以上でセットアップすること) |
 |
これらのサイトでは、最初にセットアップ用の小さなモジュール(500Kbytes程度)をダウンロードして、その後オプションをセットし、後続のダウンロードを行うようになっている。そのため、必ずネットワークに接続していないと利用できないし、多数のシステムにインストールするには、これでは非常に不便である。そのような場合には、IEAK(Internet Explorer Administration Kit。企業やプロバイダなどが配布する、特別にカスタマイズされたIEなどを作成するためのツールキット。マイクロソフトのIEAKのページ)に含まれるIEをダウンロードするか、TechNet CD Subscriptionに含まれるCD-ROMや、雑誌付録のCD-ROMなどを利用するとよいだろう。
■IISサーバ側の対策
NimdaはIISのぜい弱性を利用して、IISのサーバ・システムにも侵入し、感染を広める。ここで利用されるぜい弱性は、すでにCode RedやCode
Red IIでも利用されたものであり、決して新しいものではない。これに対するセキュリティ・パッチも、Code Red以前から用意されている。
IISサーバ側の対策としては、Code Redのときと同じであり、以下のそれぞれのセキュリティ・パッチを適用する。もちろんその前にCode Redなどに感染していないかどうかも調べ、その対策を行っておく必要がある(「緊急 : Code Red ワームに対する警告」、「Code Blue ワームに関する情報」などを参照)。
・Windows NTシステム向けNimda対策
「Windows
NT 4.0 Service Pack 6a 以降のセキュリティ ロールアップ パッケージ (SRP) 」
・Windows 2000システム向けNimda対策
「IIS
用の累積的な修正プログラム (MS01-044)」
■
Nimdaは、非常に執拗で強力な感染方法を特徴とするウイルス/ワームであり、それによるネットワークへの悪影響や被害は非常に甚大である。だが、そこで使われている侵入の手法自体はすでに既知のぜい弱性を組み合わせただけであり、特に目新しい点はない(あらゆる方法を組み合わせているという点は目新しいといえるかもしれない)。にもかかわらず非常に多くのシステムやWebサーバがNimdaに感染してしまったということは、いかに多くのシステムが無防備な状態で放置されていたかということを表しているといえる。今後、さまざまなウイルスやワームが登場するだろうが、既知のぜい弱性を組み合わせるだけでも、これだけ効果的に攻撃(?)できる(つまり、ほとんどのユーザーは最新パッチを当てていない)ということが分かってしまったのは、ウィルスを作る側にしてみれば大きな収穫だったかも知れない。これからは、システム管理者はもちろんのこと、パソコンに詳しくない一般ユーザーも、セキュリティに注意を払い、常に最新パッチを当て続けるようにしなければならないのだろうか。
 |
| INDEX | ||
| [Insider's Eye]ネットを震撼させたコンピュータ・ワーム、Nimdaを検証する | ||
| 1.Nimdaの感染原理 | ||
 |
2.Nimdaの検出と駆除、対策 | |
 |
||
 |
「Insider's Eye」 |
- Azure Web Appsの中を「コンソール」や「シェル」でのぞいてみる (2017/7/27)
AzureのWeb Appsはどのような仕組みで動いているのか、オンプレミスのWindows OSと何が違うのか、などをちょっと探訪してみよう - Azure Storage ExplorerでStorageを手軽に操作する (2017/7/24)
エクスプローラのような感覚でAzure Storageにアクセスできる無償ツール「Azure Storage Explorer」。いざというときに使えるよう、事前にセットアップしておこう - Win 10でキーボード配列が誤認識された場合の対処 (2017/7/21)
キーボード配列が異なる言語に誤認識された場合の対処方法を紹介。英語キーボードが日本語配列として認識された場合などは、正しいキー配列に設定し直そう - Azure Web AppsでWordPressをインストールしてみる (2017/7/20)
これまでのIaaSに続き、Azureの大きな特徴といえるPaaSサービス、Azure App Serviceを試してみた! まずはWordPressをインストールしてみる
 |
|
|
|
|
注目のテーマ
Windows Server Insider 記事ランキング
転職/派遣情報を探す
