猛威を振るうMSBlast、休暇明けまでに対策を

2003/8/16

 Windows XPやWindows 2000の脆弱性を悪用し、感染を広げるワーム「MSBlast」が、多くの企業で夏期休暇が明ける8月18日に大流行する危険がある。8月16日にはMSBlastに感染したコンピュータがマイクロソフトのWebサイトを狙って一斉にDoS攻撃をかけるとみられ、インターネットが一時的にまひ状態になることも心配されている。サーバ管理者やクライアントPCのユーザーは、マイクロソフトや各セキュリティベンダが公表している情報を参照し、確実な対策が求められる。

 MSBlastは「RPC(リモート・プロシージャ・コール) DCOM バッファオーバーフロー」と呼ばれるWindowsのセキュリティホールを悪用し、感染を広げるワーム。感染の危険があるのはWindows XPと2000。NT 4.0とServer 2003はセキュリティホール自体はあるが、感染することはない。RPC DCOM バッファオーバーフローはマイクロソフトが7月17日にセキュリティ修正プログラムを公表していて、Windows UpdateでOSを最新にアップデートしていれば感染の危険はない。MSBlastに感染すると、ほかのコンピュータに感染を広げると同時に、8月16日以降にマイクロソフトのWebサイト「Windows Update」に対してDoS攻撃を仕掛ける。感染によってコンピュータのシステムが不安定になり、勝手にシャットダウンしてしまうことがある。

 MSBlastの特徴は強力な感染力。電子メールやWebサイトを通じて感染を広げるのではなく、感染したコンピュータが自らのIPアドレスに近いIPアドレスをランダムに選び出し、攻撃する。攻撃対象となったコンピュータにRPC DCOM バッファオーバーフローのセキュリティホールがある場合、MSBlastがTCP 135番ポートを通じて転送され、感染する。転送されたMSBlastはレジストリに登録され、コンピュータを起動するごとに立ち上がるよう設定される。

 MSBlastは定義ファイルを最新版にアップデートしたアンチウイルスツールで検出できる。また、キーの「Ctrl」+「Alt」+「Del」でタスクマネージャを起動し、「プロセス」タブをクリック。感染している場合は、リストに「msblast.exe」が表示される。ただ、MSBlastの亜種に感染した場合は別名が表示されることがあるので、注意が必要。感染が分かったときは、Windowsやセキュリティツールのファイアウォール機能をオンにしたうえで、タスクマネージャでmsblast.exeを停止させる。次にマイクロソフトが配布しているセキュリティ修正プログラムの「MS03-026」をダウンロードし、実行。最後にセキュリティベンダが配布しているワームの除去プログラムをダウンロードし実行する。主な除去プログラムは以下のとおり。プログラム実行後はWindowsを最新版にアップデートする。

 トレンドマイクロによると15日13時現在でMSBlastに関する被害報告は647件。多くの企業で夏期休暇が明ける8月18日には、感染がさらに広がる危険がある。企業がファイアウォールを適切に運用し、MSBlastが悪用するTCP/UDP 135番ポート、TCP 4444番ポート、UDP 69番ポートなどをブロックしている場合は、ネットワーク内部のコンピュータがMSBlastの攻撃を受ける危険性は低くなる。だが、セキュリティベンダのラックは、夏期休暇でノートPCを自宅に持ち帰っていたユーザーが出社して、企業ネットワークに接続することで感染を広げる可能性を指摘している。ラックでは緊急レポート(PDF)で「必ず、ネットワークに接続する前に、ワームに感染していないこと、修正プログラムが適用されていることを確認するよう徹底すること」を推奨している。

 またラックは企業システムの管理者向けにガイドライン(PDF)を発表。全社員への注意喚起や社内コンピュータのチェックなどを呼びかけている。ネットワークで利用しているファイアウォールやルータについては、外部ネットワークから内部、内部ネットワークから外部へのTCP/UDP 135番ポート、TCP 4444番ポート、UDP 69番ポートのアクセスの禁止や、ログを確認して内部ネットワークから外部のTCP/UDP 135番ポートへの過剰なアクセスがないかなどを確認することを訴えている。

(垣内郁栄)

[関連リンク]
情報処理振興事業協会(IPA)の対策ページ
マイクロソフトの対策ページ
トレンドマイクロの対策ページ
シマンテックの対策ページ
日本ネットワークアソシエイツの対策ページ
ラック

[関連記事]
「疑心暗鬼を解消したい」、MSが政府向けの専門部隊 (@ITNews)
シマンテックが新ソフトでトレンドマイクロ製品を管理 (@ITNews)
アプライアンスの"HERO"を目指すノキアとトレンドマイクロ (@ITNews)
"1週間に15分"のセキュリティ統合管理ツール (@ITNews)
便乗ウイルスが登場、SARSがITに与える悪影響は (@ITNews)
休暇前に確認するウイルス対策6カ条 (@ITNews)

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)