2003年08月18日(月) 09時56分

「ネットの怪物」を生み出したのは作者ではなくユーザー（ZDNet）

　広く利用されているファイルサーバ。Windowsに発見されたセキュリティホールを悪用するプログラムの一つ。そしてコンピュータ攻撃の一般的な手法——。これらの断片要素をつなぎ合わせることで、「インターネット全体への拡散」という、たった一つの任務をやってのける怪物が誕生する。MSBlastワームが生み出すのは、こんなフランケンシュタンのような怪物だ。

　これら断片要素のつなぎ合わせ方は、特に目新しいものではない。だが効果的だ。このワームが成功したのは、作者のプログラミングの知識が高かったからではない。多くの人が、ネットにつながれたコンピュータのセキュリティにいまだ無知なためだ。

　「MSBlastの作者に特にすごい力があったとは思わないが、効果的だった。筋書きどおりのことをやったのだ」とNetwork Associatesのウイルス対策チーム副社長、ヴィンセント・ガロット氏は語る。

　自己拡散型のプログラムをネットに放出することは、大半の国で法律違反に当たる。だが電子メールウイルスやワームの作者を突き止めるのは非常に難しく、たとえ厳しい法律があっても、こうしたプログラムの放出に歯止めがかかるとは期待できない。こうしたことからガロット氏は、今後ホームユーザーはもっとセキュリティに関心を払わなければならず、また企業は、たとえプログラミングのお粗末なワームであっても、その打撃を回避したいなら、ネットワークをもっとセキュアに保てるようにならなければならないと強調する。

　「誰にとっても大切なのは教育だ。脅威は進化しているということを理解する必要がある」とガロット氏。

　サーバを手動で攻撃するハッカーと同じように、MSBlastはTFTP（Trivial File Transfer Protocol）サーバとして知られるファイル共有プログラムをインストールし、MSBlastコードをダウンロードするプログラムを実行させる。だがこのワームが被害者のマシンにファイルをダウンロードさせようとする手法は非効率的だとセキュリティソフトメーカーeEye Digital Securityのマーク・メフレット氏は指摘している。

　また、MSBlastはマシンが既に感染しているかどうかを判断できるのだが、そのチェックの前に、そのマシンに入り込んでいる必要がある。ホストコンピュータがリブートしたとき、ワームがリスタートするようレジストリキーを追加する。

　ほかのマシンへの感染のために、MSBlastはホストを使ってRPCの脆弱性を持ったコンピュータをスキャンする。その作業時間の40％は接続先ネットワークのスキャンに使われ、60％は、ランダムなネットワークを試すのに使われるが、そのスキャニングプロセスは完全にはランダムでないので、ローカルネットワークに大量の余剰トラフィックが流れる可能性が高い。（ZDNet）

http://headlines.yahoo.co.jp/hl?a=20030818-00000069-zdn-sci