★阿修羅♪ 現在地 HOME > 掲示板 > IT1 > 290.html
 ★阿修羅♪
次へ 前へ
【Blaster続報】IPAへの届け出は600件超,休暇明けはワームの“持ち込み”に注意
http://www.asyura.com/0306/it01/msg/290.html
投稿者 クエスチョン 日時 2003 年 8 月 15 日 23:18:25:WmYnAkBebEg4M

日経BP IT Proより

[2003/08/15]
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20030815/1/
【Blaster続報】IPAへの届け出は600件超,休暇明けはワームの“持ち込
み”に注意
モバイルをLANに接続する前には必ずチェックを,8月13日以降出現してい
る変種にも注意

 米国時間8月11日以降,感染を広げている「Blaster」ワーム。情報処理
振興事業協会セキュリティセンター(IPA/ISEC)によると,8月14日午後5
時時点で600件を超える発見および被害報告が寄せられているという。【8
月15日追記】8月15日午後5時点で,900件を超えた【以上追記】。8月16日
には,BlasterによるDoS攻撃が開始される。その前に,自分のマシンが感
染していないかどうか,感染する恐れはないかどうか,改めて確認する必
要がある。身の回りのユーザーにもぜひ注意を呼びかけていただきたい。

 加えて,夏期休暇明けの8月18日も要注意だ。夏期休暇中に自宅で使用
していたモバイル・コンピュータを安易にLANに接続すると,LAN中にワー
ムをまん延させてしまう恐れがある。接続前にワームに感染していないこ
とを必ず確認する必要がある。

 ラックが公開するレポートでも警告しているように,組織のファイアウ
オールでTCP135番をふさいでいても,感染したパソコンの持ち込みによる
ワームのまん延は防げない。「ファイアウオールで守っているから大丈夫」
と考えて,対策をきちんと施していないマシンがワームの“餌食”となる。

 モバイルばかりではなく,ダイヤルアップなどでLANに直接接続するマ
シンから,感染が拡大する可能性もある。多くの企業で夏期休暇が終わる
8月 18日以降,国内で感染が急増する可能性は高い。LANに直接接続する
前に,マシンにワームが感染していないかどうか,必ず確認したい。

 感染しているかどうかは,「msblast.exe」のプロセスが存在するかど
うかを「タスクマネージャ」で調べれば分かる。マイクロソフトが公開す
る「Blaster ワームへの対策 - Windows XP 編」や「Blaster ワームへの
対策 - Windows 2000/Windows NT 4.0 編」,ラックが公開する「JSOC 緊
急レポート(Blaster または Lovsan ワーム)」などが,図解入りで分か
りやすい。

 感染している場合には,上記の情報やマイクロソフトの「Blaster ワー
ムに感染した場合の対策について」などの情報を参考に取り除く。取り除
く際には,マイクロソフトの情報にあるように,再感染を防ぐためにDCOM
を一時的に無効にする。

 マイクロソフトの情報などを参考にすれば,手動でも取り除けるが,ア
ンチウイルス・ベンダー各社は取り除くためのツールを用意しているので,
必要に応じて活用したい。ツールを使えば,ワームのプロセスを終了する
とともに,ワームに関するファイルを削除してくれる。加えて,ワームに
よって変更されたレジストリを元に戻す。また,これらの機能に加えて,
DCOMを無効にする機能なども備えたツールをラックは公開している。ツー
ルでDCOMを無効にしてからパッチをダウンロードできるので,対策を施し
ている間にワームに感染する心配がない。

 なお,8月13日以降はワームのファイル(プロセス)名が異なる変種が
出現している。アンチウイルス・ベンダーなどが公開する情報によれば,
基本的な挙動は“オリジナル”とほとんど変わらない。変種はそれほど感
染を広げていないようだが,こちらにも注意したい。

【8月15日追記1】8月15日午後3時現在,マイクロソフトのサイト
(www.microsoft.com以下のページ)につながりにくくなっている。マイ
クロソフトに問い合わせたところ,ユーザーからのアクセスが集中してい
るために,つながりにくくなっている可能性が高いという。詳細について
は現在調査中である。

【8月15日追記2】BlasterのDoS攻撃は,感染しているマシンの時刻で開始
される。すなわち,米国の感染マシンよりも国内の感染マシンのほうが,
早く攻撃を開始することになる。マイクロソフトによると,各ISPと協力
して,DoS攻撃に備えた対策を実施している最中であるという。

【8月15日追記3】8月15日午後8時現在,通常どおり,マイクロソフトのサ
イトに接続できるようになった。ユーザーからのアクセスが落ち着いたた
めだという。また,同社は,8月15日から8月18日(月)19時まで,24時間
体制で電話によるウイルス相談を受け付けることを明らかにした。

◎参考資料
【ワームの感染確認および駆除方法】(※クエスチョン記、元ページには下記リンクが貼ってあります。)
◆「Blaster に関する情報」(マイクロソフト)
◆「Blaster ワームへの対策 - Windows XP 編」(マイクロソフト)
◆「Blaster ワームへの対策 - Windows 2000/Windows NT 4.0 編」(マイクロソフト)
◆「Blaster ワームに感染した場合の対策について」(マイクロソフト)
◆「JSOC 緊急レポート(Blaster または Lovsan ワーム)」(ラック)
◆「W32.Blaster.Worm」(シマンテック)
◆「WORM_MSBLAST.A」(トレンドマイクロ)
◆「W32/Lovsan.worm」(日本ネットワークアソシエイツ)

【ワームの駆除ツール】
◆「W32.Blaster.Worm 駆除ツール」(シマンテック)
◆「トレンドマイクロ システム クリーナ ver. 3.0(TSC)」(トレンドマイクロ)
◆「AVERTウイルス駆除ツール」(日本ネットワークアソシエイツ)
◆「Blasterワーム対策ツール」(ラック)

【変種ワームの情報】
◆「W32.Blaster.B.Worm」(シマンテック)
◆「W32.Blaster.C.Worm」(シマンテック)
◆「WORM_MSBLAST.B」(トレンドマイクロ)
◆「WORM_MSBLAST.C」(トレンドマイクロ)
◆「W32/Lovsan.worm.b」(日本ネットワークアソシエイツ)
◆「W32/Lovsan.worm.c」(日本ネットワークアソシエイツ)

(勝村 幸博=IT Pro)


<“Blasterワーム関連”>
■なぜWindowsが再起動させられるのか?――「Blaster」ワームの謎を解く (2003/08/13)
■Windowsのセキュリティ・ホールを狙うワーム,国内でも感染を拡大中 (2003/08/13)
■Windows Updateサイトに攻撃を仕掛けるワームが出現,“超特大”ホールを狙う (2003/08/12)

 次へ  前へ

IT1掲示板へ



フォローアップ:


 

 

 

 

  拍手はせず、拍手一覧を見る


★登録無しでコメント可能。今すぐ反映 通常 |動画・ツイッター等 |htmltag可(熟練者向)|(各説明

←ペンネーム新規登録ならチェック)
↓ペンネーム(なしでも可能。あったほうが良い)

↓パスワード(ペンネームに必須)

(ペンネームとパスワードは初回使用で記録、次回以降にチェック。パスワードはメモすべし。)
↓画像認証
( 上画像文字を入力)
ルール確認&失敗対策
画像の URL (任意):
投稿コメント全ログ  コメント即時配信  スレ建て依頼  削除コメント確認方法
★阿修羅♪ http://www.asyura2.com/  since 1995
 題名には必ず「阿修羅さんへ」と記述してください。
掲示板,MLを含むこのサイトすべての
一切の引用、転載、リンクを許可いたします。確認メールは不要です。
引用元リンクを表示してください。