悪のニュース記事

悪のニュース記事では、消費者問題、宗教問題、ネット事件に関する記事を収集しています。関連するニュースを見つけた方は、登録してください。

また、記事に対するコメントや追加情報を投稿することが出来ます。

記事登録
2003年08月12日(火) 22時58分

Windowsの緊急の脆弱性狙うワーム「W32/Blaster」拡大 16日にはDoS攻撃もMYCOM PC WEB

ウイルス対策ソフトベンダ各社は、7月に発見されたWindowsの深刻な脆弱性である「RPC インターフェイスのバッファ オーバーランによりコードが実行される(823980)(MS03-026)」を狙って攻撃を仕掛けるワーム「W32/Blaster」(別名W32.Blaster.Worm、WORM_MSBLAST.A、W32/Lovsan.wormなど)の感染が拡大していると警告を発した。

RPC(Remote Procedure Call)は、ネットワーク上の別のマシンでシステム上のコードが実行できるWindows OSが利用するプロトコル。MS03-026の脆弱性は、TCP/IPでメッセージの送受信を処理する特定の個所にバッファーオーバーフローの脆弱性があり、任意のコードが実行される、というもの。この脆弱性を攻撃するためのコードがすでに出回っており、ワームなどの出現が警戒されていた。

今回登場したW32/Blasterは、6,176バイトの実行ファイル「msblast.exe」がワーム本体となり、実行されるとレジストリキーを改変して起動時にワーム自身が実行されるよう設定する。同時にUDPポート69番を使用するTFTPサーバとして機能する。

ワームは一定のアルゴリズムにもとづき、ランダムなIPアドレスのポート135番に対してMS03-026の脆弱性を狙った攻撃を行う。エフ・セキュアによれば、一度に20台のマシンを検索するという。

攻撃を受けたマシンに脆弱性が存在した場合、ワームがそのマシン上で任意のコードを実行できるようになり、(1)ポート4444番を使用したリモートシェル「cmd.exe」を作成、外部からのコマンド実行を可能にする(2)リモートシェルにコマンドを送信、自身のコピーであるmblast.exeをダウンロード、実行させる(3)システムの日付で「月」が9〜12月、あるいは「月」が1〜8月、「日」が16〜31日の場合、「windowsupdate.com」に対してDoS(サービス拒否)攻撃を実行--という動作を行う。

DoS攻撃については、Windows UpdateからMS03-026の脆弱性を解消するための修正パッチをダウンロードできないようにするため、とされており、直近に攻撃が行われるのは8月16日となる。

トレンドマイクロによれば、米国を中心に急速に感染は拡大しており、警察庁でも、12日午前2時ごろからW32/Blasterワームとの関連が疑われるTCPポート138番に対するアクセスが急増しているという。12日12時現在、情報処理振興事業協会(IPA)セキュリティセンターには感染被害などによる相談が5件、トレンドマイクロには感染・発見報告が国内68件(13時20分現在)となっており、急速に感染が拡大していることが伺える。

トレンドマイクロでは当初危険度を「VAC-3」としていたが、これを「VAC-2」に引き上げるなど、各社とも危険度は高いと判断し、警告を発している。また、現在夏休み中のユーザーが、PCを起動したままにして感染している、というパターンも考えられ、トレンドマイクロでは休み明けにPCを利用する際には注意が必要、と警告する。

強力なウイルス、話題のウイルスなどは亜種が出回ることが多く、今後W32/Blasterの亜種が登場する危険性もあることから、ユーザーは脆弱性の解消と、ウイルス対策ソフトの定義ファイルをアップデートするなどの対策を怠らないようにする必要があるだろう。

Windowsに任意のコードが実行される緊急のセキュリティホールが発覚
http://pcweb.mycom.co.jp/news/2003/07/17/18.html

CERT/CC
http://www.cert.org/advisories/CA-2003-20.html

情報処理振興事業協会セキュリティセンター
http://www.ipa.go.jp/security/topics/newvirus/msblaster.html

マイクロソフト
http://www.microsoft.com/japan/technet/security/virus/blaster.asp

シマンテック
http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.blaster.worm.html

トレンドマイクロ
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.A

日本エフ・セキュア
http://www.f-secure.co.jp/v-descs/v-descs3/lovsan.htm

日本ネットワークアソシエイツ
http://www.nai.com/japan/security/virL.asp?v=W32/Lovsan.worm

(MYCOM PC WEB)

http://headlines.yahoo.co.jp/hl?a=20030813-00000097-myc-sci

最新のニュース記事一覧
お問い合わせ