2003年08月18日(月) 09時55分

つかみづらいMSBlast感染台数、便乗デマメールも登場（ZDNet）

　米大手ネットワークサービスプロバイダー関係者が8月15日語ったところによると、MSBlastワームによるネットワークトラフィックの3〜4割減少を伝えた早期のデータは、必ずしもこのワームの感染ペース下落を意味するものではないという。

　Akamai Technologiesによれば、このワームの感染ペースは過去数日間、ほとんど変わっていないようだ。同社セキュリティ担当者は、「多くのネットワークオペレーターは（MSBlastが使うデータチャンネルの）ポート135をフィルタリングし始めた。この結果、感染マシンの台数が減少しているように見えている」と説明する。

　現実には、MSBlastワーム感染率はごくわずかしか減少していないと見られる。Akamaiの推定では、11日に拡散を始めたMSBlastは30〜100万台のマシンに感染を広げている。

　このように推定感染台数にはかなりの幅がある。これは、こうした攻撃の影響を測定する際には、常につきまとう問題だ。

　米Symantecは大規模な侵入検知ネットワークを使って感染したPCとサーバのインターネットアドレスを記録している。同社の15日時点の最新データでは、11日朝以降、38万件のアドレスがMSBlastに感染した。

　だがこのアドレス数は、必ずしもマシンの台数とは一致しない。ネットワーク上のすべてのコンピュータが1件のアドレスでまとめられ、そのネットワーク上のコンピュータの多くが感染している可能性もあるからだ。またこのアドレス数では、感染拡大が始まって以後、ワームが駆除されたマシンの台数は勘案していない。さらには、ダイヤルアップユーザーの大半とブロードバンド利用者の一部は、プロバイダーに接続するたびに新たなインターネットアドレスを受け取っており、数字だけ見ると、実際より多くのマシンが感染しているようにも見える。

　Symantecのデータでは、11日と12日を比べると、トラフィックが3割から4割減少しているように見える。同社セキュリティ対策エンジニアリング担当者は、インターネットサービスプロバイダーがフィルタリングを実施している場合があると認めた上で、「問題は（フィルタリングが）どれだけ続くかだ。これにはCPU時間と帯域幅の面でかなりのコストがかかる」と語った。

　15日発表のデータによると、Microsoftは深刻なサービス拒否（DoS）攻撃をかろうじて回避している。このワームはWindows Updateサイトに大量のデータを送り込むよう設計されているが、同社はこのワームが狙うアドレスを削除した。

　Microsoftはまた同日、MSBlastワームにまつわるデマメールが出回っていると警告を発した。メールの件名は「updated」で、MSBlast対抗パッチの重要なアップデートだと偽って添付ファイルをクリックさせようとするが、クリックするとマシンにトロイの木馬が埋め込まれる。ウイルス対策企業のSophosはこのトロイの木馬を「Graybird」と呼んでいる。（ZDNet）

http://headlines.yahoo.co.jp/hl?a=20030818-00000068-zdn-sci