2003年08月20日(水) 17時02分

『MSブラスター』を削除する変種ワームが登場(上)（WIRED）

　コンピューター上ではワームどうしの戦いが起こっている。新たに放たれたワームが無防備なシステムに忍び込み、今月11日(米国時間)に現れた http://www.hotwired.co.jp/news/news/technology/story/20030818302.html 『MSブラスター』(別名MSブラスト、ラブサン)ワーム(日本語版記事)をマシンから引きずり出そうとしているのだ。

　混乱に拍車をかけるように、この新しいワーム型ウイルスは、セキュリティー／ウイルス対策の各企業により、『WORM_MSBLAST.D』、『ナチ』(Nachi)、『ウェルチア』(Welchia)などとさまざまに呼ばれている。いずれにせよ、このアンチMSブラスター・ワームは、まずオリジナルのMSブラスターを削除し、ご丁寧にも、MSブラスターが利用した脆弱性に修正パッチを当ててくれる。

　一見、役立つ働きをしているようだが、セキュリティー専門家の中には快く思わない人々もいる。

　システム管理者のマイク・ファーガモ氏は「おそらく善意の行動だったとは思うが、いったいどこまで行けばすべてが終わるのだろう？」と疑問を投げかける。「来週になったら、この新種ワームに対抗するワームが、さらにはそれに対抗するワームが出現するのだろうか？」

　しかし、新種ワームの登場を歓迎するユーザーもいる。

　マンハッタンのテキスタイル・デザイナー、ナディン・ラベルさんは「私のコンピューターは先週感染してから調子がよくなかった。でも、今日の午後からは完璧な状態に戻っている」と話す。

　ラベルさんのマシンのシステムをスキャンすると、確かに新しいMSブラスターの変種に感染していることが確認された。

　「ワームさん、ありがとう！」とラベルさん。

　一方、専門家たちは、アンチMSブラスターは、MSブラスターに感染したコンピューターの問題を解決しているが、決して良性のワームではないと警告する。

　18日には、ワームによるインターネット・トラフィックの急増が http://isc.sans.org/diary.html?date=2003.08-18 報告されている。新種ワームは結果的に、オリジナルのMSブラスターとよく似た影響をもたらしたのだ。

　米アイ・ディフェンス社で悪意あるコードに関する情報の責任者を務めるケン・ダナム氏は、「このワームをよいワームと言う人がいるかもしれない。だが、ネットワーク管理者やコンピューターの所有者の知らないところでパッチが適用されれば、どんな問題が起こってもおかしくない」と述べる。

　ダナム氏はまた、新種ワームに感染したコンピューターが、将来の攻撃に対して無防備になる恐れもあると警告する。

　ユーザーが自分のマシンからワームを駆除できていないことに疑問を感じるセキュリティー専門家もいる。MSブラスターの http://www.f-secure.com/v-descs/msblast.shtml 駆除はとくに難しい作業ではない。

　だが、一部のユーザーによると、MSブラスターの駆除に関する理解可能な情報を見つけるのは至難の業だという。

　ブルックリンで美容製品の販売員として働くポール・パシフィコさんは、「私が目にするウイルスやワームの駆除方法の説明は、明らかにオタクがオタクのために書いたものだ。ほとんどの場合、何について書かれているかさえ理解できない」と話す。

　パシフィコさんのコンピューターは18日、問題なく動いていたそうだが、スキャンの結果、このマシンも新種ワームに感染していたという。

　「停電と先週のワーム攻撃の間、私のコンピューターはひどい状態だった」とパシフィコさん。「どうやら今は回復しているようだ。この新種ワームは『ウィンドウズ・アップデート』よりも役に立つ。ひょっこり現れて問題を処理してくれるだけで、混乱や煩わしさとは無縁だ」

　アンチMSブラスターはMSブラスターと同様、電子メールの添付ファイルとして届くのではなく、ネットワークに接続しただけで感染する。影響を受けるのは、リモートプロシージャコール(RPC)を用いる『ディストリビューテッド・コンポーネント・オブジェクト・モデル』(DCOM)インターフェースに存在するバッファ・オーバーフローの脆弱性を http://www.microsoft.com/japan/security/security_bulletins/ms03-026e.asp 修正していない『ウィンドウズ2000』、『ウィンドウズXP』搭載のコンピューターで、『ウィンドウズ・サーバー2003』を搭載したサーバーにも感染する可能性がある。

　米トレンドマイクロ社の分析によると、アンチMSブラスターはコード中に次のようなテキストを含んでいるという。

　「私は妻と赤ん坊を愛している:-)~~~ようこそ、チャン~~~予告：私は2004年になったら消える~~~すまない、チョンリー~~~===========ウィンズ」

　オリジナルのMSブラスターには次のようなメッセージが隠されている。

　「私は『愛してるよ、サン(SAN)！』と伝えたいだけだ。ビル・ゲイツよ、どうしてこんなことを可能にしておく？ 金儲けをやめてソフトウェアを直せ！」

　MSブラスターが最初に現れたのは11日だ。米シマンテック社の統計によると、MSブラスターは15日までに、42万3000を超えるシステムに感染したという。

　MSブラスターは非常に厄介なワームで、感染したマシンを繰り返し再起動させることがある。

(8/21に続く)

[日本語版：米井香織／高森郁哉]日本語版関連記事

・ http://www.hotwired.co.jp/news/news/technology/story/20030820301.html この1週間で4つめのワーム『ソービッグF』発生

・ http://www.hotwired.co.jp/news/news/culture/story/20030819206.html 大規模停電とMSブラスターが露呈させたハイテク社会の脆さ

・ http://www.hotwired.co.jp/news/news/technology/story/20030818302.html 『ブラスター』ワームとマイクロソフトの攻防戦

・ http://www.hotwired.co.jp/news/news/technology/story/20030818303.html 懸念される『ブラスター』類似の攻撃

・ http://www.hotwired.co.jp/news/news/technology/story/20030805301.html 『アウトルック・エクスプレス』の脆弱性を悪用したワームが登場

・ http://www.hotwired.co.jp/news/news/culture/story/20030326203.html イラク戦への関心と不安につけ込んだワームが感染を拡大


WIRED NEWSのメール購読申込みは http://www.hotwired.co.jp/reception/index.html こちらへ


（WIRED）

http://headlines.yahoo.co.jp/hl?a=20030820-00000002-wir-sci