現在地 HOME > 掲示板
> IT1 > 327.html
★阿修羅♪
|
現在地 HOME > 掲示板
> IT1 > 327.html
★阿修羅♪
|
|
以下の記事は、下記の日経 IT Pro-Report からの転載させていただきました。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆◆◆ IT Pro-Report 2003年08月18日 ◆◆◆
日経BP社 IT Pro編集
◇「IT Pro-Report」は日経BP社のIT(Information Technology)関連の総合情報
サイト「IT Pro」で掲載するコラム『記者の眼』などを,登録者の方々に無料で
配信させていただくものです。このダイジェスト記事の全文とバックナンバーは
「IT Pro」のホームページでご覧になれます。
http://itpro.nikkeibp.co.jp/
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
IT Pro/‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥
◆目次◆
‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥/Report
◆IT Proニュース,今日の1本
『Blasterの“持ち込み”を許すな,管理者は就業前に全ユーザーに告知を』
◆記者の眼
『Blaster,いまだ終息せず――今すぐあなたにお願いしたいこと』
◆ITレポート
『新勢力●第3世代Itaniumサーバーの出荷始まる』
◆一週間で学ぶネットワークの要点
『小規模拠点へのADSL導入ノウハウ(1) 第1回』
◆今週のネットワーク・ホットトピックス
『11メガの無線LANが10メガ・イーサより遅いのはなぜ?』
◆企業ネット最前線
『本社移転で10年振りLAN刷新。IP電話で機器の移動を楽に――三菱自動車工業』
◆IT Proサイト 先週のBest10
『1位 なぜWindowsが再起動させられるのか?――「Blaster」ワームの謎を解く』
『2位 Windows Updateサイトに攻撃を仕掛けるワームが出現,
“超特大”ホールを狙う』
IT Pro/‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥
◆今日の1本◆
‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥/Report
◆Blasterの“持ち込み”を許すな,システム管理者は就業前に全ユーザーに告知を
心配されていた,BlasterのDoS(サービス妨害)攻撃によるトラフィックの急増は
現時点では確認されていない。しかし,安心はできない。次に心配なのは,夏期休暇
明けの8月18日である。ワームに感染したノート・パソコンなどの接続により,LAN中
に感染が広がる恐れがある。システム管理者は,ユーザーがノート・パソコンなどを
LANに接続する前に,あるいはデスクトップ・パソコンの電源を入れる前に,注意を
呼びかけてほしい。LANにまん延してからでは遅いのだ。
続き(全文)は,
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20030816/3/
でお読みいただけます。
◇「IPAへの届け出は1200件超,トラフィックの急増は見られない」――経産省
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20030816/2/
◇Blasterに感染した世田谷区役所,ルートは人的な“持ち込み”か
http://itpro.nikkeibp.co.jp/free/NC/NEWS/20030815/1/
◇IPAへの届け出は600件超,休暇明けはワームの“持ち込み”に注意
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20030815/1/
◇なぜWindowsが再起動させられるのか?――「Blaster」ワームの謎を解く
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20030813/2/
◇Windowsのセキュリティ・ホールを狙うワーム,国内でも感染を拡大中
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20030813/1/
◇Windows Updateサイトに攻撃を仕掛けるワームが出現,“超特大”ホールを狙う
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20030812/1/
----------------------------------------------------------------------------
●連載第4回「セキュリティ」:ファイアウォールが破られた!その後どうする?
具体的な対策と技術的要件 → http://210.172.38.18/?a=0000e5
----------------------------------------------------------------------------
IT Pro/‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥
◆記者の眼◆
‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥/Report
◇Blaster,いまだ終息せず――今すぐあなたにお願いしたいこと
まずは,今使っているパソコンで「タスクマネージャ」を開いてください。コン
トロール・キー(Ctrl)とShiftキーを押しながらEscキーを押せば開きます。
「Ctrl」「Alt」「Delete」キーを同時に押して表示される「Windowsのセキュリテ
ィ」から「タスクマネージャ」を選択しても開きます。タスクマネージャを開いた
ら,「プロセス」タブを選択してください。そうすると,現在稼働しているプロセ
スの一覧が表示されます。
一覧の「イメージ名」の列を見てください。その中に,「msblast.exe」という名
前はありませんか(「イメージ名」ボタンを押すと,イメージ名がアルファベット
順に表示されるので探しやすいでしょう)。
もしあれば,そのパソコンは「Blaster」ワームに感染しています。今すぐネット
ワーク・ケーブル(LANケーブル)を外してください。ネットワーク・ケーブルを外
したままで,システム管理者や部署のシステム担当者に連絡してください。
ない場合でも安心はできません。セキュリティ上の対策をきちんと施していない
場合には,「Blaster」ワームに感染する恐れがあります。自信がない方は,すぐに
ネットワーク・ケーブルを外して,システム管理者などに指示を求めてください。
別のパソコンに電源を入れようとしているあなた,ノート・パソコンをLANに接続
しようとしているあなた。ちょっと待ってください。周りの方にも待つように伝え
てください。先週以降大きな被害を及ぼしている「Blaster」ワームはまだ終息して
いません。いつもの月曜日の朝のように,パソコンに電源を入れたり,ノート・パ
ソコンをLANに接続したりすると,ネットワーク中にBlasterがまん延する可能性が
あります。
今朝は,いつもの朝とは違うのです――
8月12日以降,Blaster(ブラスター)が国内でも感染を広げている。Blasterは,
「MSBLAST」(エムエスブラスト)や「Lovsan」(ラブサン)などとも呼ばれる。テ
レビや新聞でも報じられているので,ご存じの方は多いだろう・・・
(勝村 幸博=IT Pro)
続き(全文)は,
http://itpro.nikkeibp.co.jp/free/ITPro/OPINION/20030817/1/
でお読みいただけます。
-----------------------------------------------------------
http://itpro.nikkeibp.co.jp/free/ITPro/OPINION/20030817/1/
[2003/08/18]
Blaster,いまだ終息せず――今すぐあなたにお願いしたいこと
まずは,今使っているパソコンで「タスクマネージャ」を開いてください。コントロール・キー(Ctrl)とShiftキーを押しながらEscキーを押せば開きます。「Ctrl」「Alt」「Delete」キーを同時に押して表示される「Windowsのセキュリティ」から「タスクマネージャ」を選択しても開きます。タスクマネージャを開いたら,「プロセス」タブを選択してください。そうすると,現在稼働しているプロセスの一覧が表示されます。
一覧の「イメージ名」の列を見てください。その中に,「msblast.exe」という名前はありませんか(「イメージ名」ボタンを押すと,イメージ名がアルファベット順に表示されるので探しやすいでしょう)。
もしあれば,そのパソコンは「Blaster」ワームに感染しています。今すぐネットワーク・ケーブル(LANケーブル)を外してください。ネットワーク・ケーブルを外したままで,システム管理者や部署のシステム担当者に連絡してください。
ない場合でも安心はできません。セキュリティ上の対策をきちんと施していない場合には,「Blaster」ワームに感染する恐れがあります。自信がない方は,すぐにネットワーク・ケーブルを外して,システム管理者などに指示を求めてください。
別のパソコンに電源を入れようとしているあなた,ノート・パソコンをLANに接続しようとしているあなた。ちょっと待ってください。周りの方にも待つように伝えてください。先週以降大きな被害を及ぼしている「Blaster」ワームはまだ終息していません。いつもの月曜日の朝のように,パソコンに電源を入れたり,ノート・パソコンをLANに接続したりすると,ネットワーク中にBlasterがまん延する可能性があります。
今朝は,いつもの朝とは違うのです。
■■ 未対策のWindowsマシンすべてに感染
8月12日以降,Blaster(ブラスター)が国内でも感染を広げている。Blasterは,「MSBLAST」(エムエスブラスト)や「Lovsan」(ラブサン)などとも呼ばれる。テレビや新聞でも報じられているので,ご存じの方は多いだろう(Blaster出現以降の動向については,記事末の「関連記事」を参考にしてほしい)。
Blasterが,他のワームやウイルスに比べて危険なのは,セキュリティを意識していないユーザーすべてが被害に遭う点にある。「最新のパッチを適用する」「最新のウイルス定義ファイルを備えたウイルス対策ソフトを使っている」「パーソナル・ファイアウオールを使っている」「Windowsの設定をセキュアにしている」――といった対策を施していない限り,すべてのWindowsマシンにBlasterは感染する。
「何も対策を施していないけど,自分は感染していない」というユーザーがいるかもしれない。しかしそれは,現在使用しているブロードバンド・ルーターなどがデフォルトでセキュアに設定されているために防げているだけだ。企業では,システム部などが適切に設定したファイアウオールが防いでくれているだけなのだ。例えば,未対策のマシンをダイヤルアップで接続すれば,すぐに感染してしまうだろう。
特に何の対策も施さずにインターネットに接続していたWindowsマシンは,Blasterに感染していると考えたほうがよい。一部では,「Blasterに感染すると,Windowsが勝手に再起動される」と伝えられていたために,「自分のマシンは勝手に再起動させられていないので大丈夫」と考えているユーザーがいるかもしれないが,それは間違いである。Windowsの再起動はBlasterの感染活動の“副産物”に過ぎない。再起動させられていなくても,Blasterに感染している可能性はある(関連記事)。
加えて,Blaterは自動的に感染を広げるワームである。ユーザーのアクションを何ら必要としない。Blasterは自ら感染対象マシンへパケットを送信し,そのマシンにセキュリティ・ホールがある場合には,勝手に侵入して,そのマシン上で起動する(関連記事)。
一部報道では「ウイルス」と呼んでいるので,「Klez」のようなウイルスと混同している方がいるかもしれないが,全くの別物である。ユーザーがメールを読んだり,Webを閲覧したりしなくても感染するのだ。
何も考えないでインターネットに接続しているWindowsマシン――特に,自宅で使用しているマシン――に,Blasterが知らない間に感染している可能性はとても高いのである。
■■ ワームの“持ち込み”が予想される休暇明け
なぜ,今朝はいつもの朝とは違うのか。それは,多くの国内企業において,夏期休暇が終わって初めての朝のだからだ。Blasterがまん延し始めたのは日本時間で8月12日のこと。「既に休暇に入っていた社員が,自宅でノート・パソコンをインターネットに接続してBlasterに感染。そのノート・パソコンをLANに接続して,LAN内にBlasterがまん延」というシナリオが十分考えられる(関連記事)。
ノート・パソコンばかりではない。既にLANに接続しているデスクトップ・パソコンの電源を入れるのも注意が必要だ。というのも,休暇に入る前にBlasterに感染している可能性があるからだ。電源を落としている間は,もちろんBlasterは動いていない。しかし,電源を入れるとBlasterは動き出す。そして,休暇明けでほとんどのマシンが立ち上がっているLAN中に感染を拡大させる。現在感染していなくても,未対策のマシンでは,他のマシンから感染させられる恐れもある。
以上が,パソコンの電源を入れることやLANにつなぐことを待ってもらった理由である。
現在ではほとんどの企業でファイアウオールを設置して守りを固めている。ファイアウオールでは,Blasterからのパケットを遮断して,外部からLANのマシンへの感染を防ぐ。しかし,内部からの感染拡大をファイウオールは防げない。逆に,「ファイアウオールで守られているから大丈夫」と考えて,きちんと対策していないユーザーが少なくない。このため,内部からの感染は急速に拡大する。未確認情報ではあるが,Blasterの“持ち込み”によって,LAN中に感染が拡大した企業があることを,筆者は既に聞いている。
あなたが持ち込んだ“一匹”のBlasterワームによって,休暇明けのオフィスが大変なことになるのだ。前述のように,Blasterは感染活動の際に,感染対象マシンを不安定にして再起動させる。LAN中に飛び交うBlasterワームのパケットにより,オフィス中のマシンが頻繁に再起動を繰り返す。とても仕事にはならないだろう。
■■ 管理者に確認するまでつながない
ではどうすればよいか。まずすべきことは,LANに接続する前に,そのマシンにBlasterが感染していないことを確認することだ。LANに接続せずに(既に接続している場合にはネットワーク・ケーブルを外して)マシンを起動して,冒頭に書いたように「タスクマネージャ」で感染の有無を確認する。
ここで注意すべきは,無線LANを使っている場合である。電源を入れただけでLANに接続する可能性がある。無線LANを使っている場合には,電源を入れてもLANにつながらないことを,システム管理者や部署の担当者に確認した上で,電源を入れる。
なお,Blasterには変種が出現している。今後さまざまな変種が出現すると予想されているが,現在確認されているのは,イメージ名が「teekids.exe」や「penis32.exe」の変種である。これらはオリジナルほど感染を広げていないようだが,これらについても「タスクマネージャ」上で同時に調べよう。
もし「msblast.exe」や変種が見つかった場合には,そのままネットワークに接続しないで,システム管理者や部署の担当者に連絡してほしい。「msblast.exe」を指定して,「タスクマネージャ」右下の「プロセスの終了」をクリックすれば,現在動いているBlasterは終了できるものの,これだけではBlasterを“駆除”したことにはならない。マシンを再起動すれば,再びBlaster(msblast.exe)が起動するからだ。マシンのハード・ディスクにコピーされているBlasterのファイルを削除したり,レジストリを元に戻したりしなければ,Blasterを駆除できたとはいえない。
さらに,たとえ駆除したとしても,そのマシンにセキュリティ・ホールがあることは明らかなので,セキュリティ・ホールをふさがない限り,再びBlasterに感染したり,より凶悪なワームに感染したりする可能性がある。
きちんと駆除して,セキュリティ・ホールをふさがなければ,万全とはいえない。駆除の方法やセキュリティ・ホールのふさぎ方(対策方法)については,システム管理者や部署の担当者に確認してほしい。きちんと対策が施されているマシンがそばにある場合には,マイクロソフトの対策ページなどでも確認できる。
管理者がおらず,ネットワークに接続している安全なマシンもない場合には,マイクロソフトが提供する「FAX情報サービス」などを利用して情報を入手する(関連記事)。情報の入手方法は次のとおり。FAX番号は「03-5454-8100」または「03-5972-7149」,手順は「『1』+『#』を入力」→「『1』+『#』を入力」→「BOX番号『324618』+『#』を入力」→「音声ガイドに従う」。
同社は,電話による相談窓口「マイクロソフトセキュリティ情報センター」も用意している。電話番号は「0120-69-0196」(ただし,つながりにくくなることが予想される)。また,iモード用のサイトも用意している(URLは http://www.microsoft.com/japan/support/bi.asp)。
■■ 感染していなくても油断は禁物
「タスクマネージャ」の「プロセス」に「msblast.exe」が存在しない場合には,現時点ではBlasterに感染していない。しかし油断はできない。“たまたま”感染していなかっただけかもしれない。マシンにセキュリティ・ホールがあれば,今後Blasterあるいは,より凶悪なワームに感染する恐れはある。
「msblast.exe」が存在しなければネットワークに接続してよいのか,それとも,Blasterが悪用するセキュリティ・ホールが存在しないことも確認しなければ,接続してはいけないのかは,企業のポリシーによって異なるだろう。これについては,システム管理者などに確認してほしい。また,セキュリティ・ホールが存在しないことの確認方法やセキュリティ・ホールのふさぎ方なども,システム管理者などに確認したい。
ちなみに,オフラインでセキュリティ・ホールがふさがれている(該当するパッチが適用されている)かどうかを調べる方法としては,レジストリを調べる方法がある。
マイクロソフトの情報によれば,
Windows 2000では「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB823980」,
Windows XPでは「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP1\KB823980」,
Windows XP SP1の場合には「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\KB823980」
――のレジストリ・キーが作成されていれば,該当するパッチが適用されている。
「msblast.exe」が存在しなければネットワークに接続してよい企業では,「msblast.exe」が存在しないことを確認できたら,「Windows Update」を利用して,セキュリティ・ホールがきちんとふさがれているかどうかを確認したい。「Windows Update」にアクセスして,「更新をスキャンする」をクリックした後,ページ左側に表示される「重要な更新とService Pack」が「0」になっていれば,セキュリティ・ホールはふさがれている(パッチが適用されている)。
■■ 今朝は“特別な”朝
Blasterは,8月16日以降に起動されると,特定サイトへ攻撃を仕掛ける“機能”を持っている。しかしながら,関係者の対策が功を奏して,攻撃は失敗に終わった。このため,「Blasterは終息に向かっている」と一部で言われているようだが,とんでもない話である。DoS攻撃によるトラフィック異常の恐れが少なくなったものの,感染活動は続いており,企業のネットワークが混乱させられる可能性は依然残っている。DoS攻撃による被害と,感染による被害は全くの別物である。
このため,関係者が危ぐしているのは,8月18日の就業時の感染拡大なのである。Blasterはまだ終息へ向かってはいない。今朝が“勝負”なのである。
結局,「システム管理者の指示があるまで,パソコンの電源を入れたり,LANに接続したりしてはいけない」のである。休暇明けで,一刻も早く仕事に取り掛かりたい方は多いだろうが,今朝だけは特別な朝だと考えて,指示を待ってほしい。
最後に,ここまで危機感を持っていただくために,「すべてのWindowsにBlasterは感染する」と書いたが,実際にはWindows 2000/XPにしか感染しない(関連記事)。
しかしながら,「Windows 98/Meは大丈夫」と書いてしまうと,Windows 2000/XPにバージョンアップしたことを失念しているユーザーに対して,注意を促せない。また,Windows NT 4.0/2003については,Blasterの感染対象にはならないものの,Blasterが悪用するセキュリティ・ホールが存在する可能性がある。Windows NT 4.0/2003を対象とする新手のワームが出現する可能性は高い。Windows NT 4.0/2003ユーザーも,2000/XPと同様に対策を施す必要がある。そのために,あえて例外にはしなかった。もし混乱を招いたのならおわびしたい。
(勝村 幸博=IT Pro)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20030816/3/
Blasterの“持ち込み”を許すな,システム管理者は就業前に全ユーザーに告知を
心配されていた,BlasterのDoS(サービス妨害)攻撃によるトラフィックの急増は現時点では確認されていない(関連記事)。ひとえに,関係者の尽力のおかげのようだ。しかし,安心はできない。次に心配なのは,夏期休暇明けの8月18日である。ワームに感染したノート・パソコンなどの接続により,LAN中に感染が広がる恐れがある。システム管理者あるいは各部署の担当者は,ユーザーがノート・パソコンなどをLANに接続する前に,あるいはデスクトップ・パソコンの電源を入れる前に,注意を呼びかけてほしい。
注意を呼びかける方法については,ラックが公開する情報「システム管理者向けBlasterワーム盆休み明け対策ガイドライン」などが参考になる。経済産業省も同様の注意を呼びかけている。LANにまん延してからでは遅いのだ。
ファイアウオールなどでLANとインターネットの境界を守っていても,内部からまん延するワーム(ウイルス)は防げない。「ファイアウオールで守られているから大丈夫」と勝手に思い込んで対策を施していないユーザーのマシンすべてが“犠牲”となる。2001年9月に出現した「Nimda」をはじめとする過去のワーム(ウイルス)が,このことを証明している。
特に,8月18日は多くの企業(組織)において夏期休暇明けの初めての出社となるので,自宅に持ち帰って使用していたノート・パソコンをLANに接続するケースが多いと考えられる。このノート・パソコンにBlasterが感染していると,LANに接続して起動した瞬間,未対策のマシンに感染が広がることになる。
LANに接続されているデスクトップ・パソコンも同様だ。未対策の場合には,別のマシンから感染させられる恐れがある。また,既に感染している可能性もある。BlasterはWindowsの起動とともに実行されるので,電源を入れた瞬間,そのパソコンから感染が広がる恐れがある。
休暇明けの“悲劇”を防ぐには,各ユーザーがパソコンの電源を入れたり,パソコンをLANにつないだりする前に,「Blasterが世間にまん延していること」「Blasterに感染していないこと,および対策を施していることを確認しなければLANに接続してはいけないこと」――を周知徹底させる必要がある。特に,無線LANに注意したい。ユーザーが知らないうちに接続してしまう可能性がある。ラックでは,アクセス・ポイントを停止しておくなどの配慮をするよう勧めている。
もちろん,メールやイントラネットの掲示板で告知しても意味はない。ラックでは,「目立つところに,注意事項を記述した書面を掲示する」「口頭で注意を呼びかける」――ことを勧めている。
Blasterに感染しているかどうかは,Windowsの「タスクマネージャ」から調べられる。まず,LANに接続していない状態(現在接続されているマシンは,ネットワーク・ケーブルを抜く)で,マシンを起動する。起動したら,「Ctrl」「Alt」「Delete」キーを同時に押すなどして,「タスクマネージャ」を立ち上げる。そして,「プロセス」タブをクリックする。表示されるプロセス一覧に「msblast.exe」というプロセス(イメージ名)があれば,そのマシンはBlasterに感染している(「イメージ名」ボタンをクリックすると,イメージ名がアルファベット順に表示されるので探しやすい)。
なお,イメージ名が「teekids.exe」や「penis32.exe」といった変種が確認されている。これらはオリジナルほど感染を広げていないようだが,これらについてもプロセス一覧に存在しないかどうか確認したほうがよいだろう。 感染している場合には,「タスクマネージャ」から「msblast.exe」を終了すれば,現在動作しているBlasterを終了できる。ただし,これだけでは駆除したことにはならない。マシンにコピーされているBlasterを削除したり,レジストリを元に戻したりする必要がある。各ベンダーが公開する駆除ツールを使えば,Blastarを削除できると同時に,Blasterが変更したレジストリなどを元の状態に戻せる。ラックが公開するツールは,感染の確認と駆除,および対応(パッチの適用)が可能だ。同ツールは,マイクロソフトのサイトからもダウンロードできる。
より詳しい確認方法や感染している場合の駆除方法については,マイクロソフトが公開している情報やラックが公開している情報および記事末の「参考資料」に記したサイトの情報,「関連記事」などを参考にしていただきたい。
なお,現在LANに接続しようとしているマシンがBlasterに感染していないことを確認できたからといって安心はできない。Blasterと同じセキュリティ・ホールを悪用する新種ワームは既に出現している。そのソース・コードが公開されているワームもある。これらが感染を拡大する前に,すべてのマシンにパッチを適用されていることを確認する必要がある。繰り返しになるが,ワームはどこからでも入り込む。ファイアウオールで守るだけでは不十分なのだ。それぞれのマシンにおいて対策を施さなければならないのである。
マイクロソフトは,Blasterが悪用するセキュリティ・ホールがネットワーク上のマシンに存在するかどうかをリモートからチェックできるツールを公開している。ぜひ活用したい。ツールは英語版だが,日本語環境でも利用できる(ただし,ホスト名などに日本語は使えない)。米eEye Digital Securityや米Internet Security Systems(ISS)もチェック・ツールを公開している(関連記事)。
管理者は,これらのツールを利用するなどして,8月18日の就業前に,その時点でLANに接続されているマシンにセキュリティ・ホールがないかどうかも調べておきたい。
管理者や担当者は,以上の事前対策のために,休日出勤や早朝出勤を余儀なくされるだろう。そのため,不満を覚える方は少なくないだろう。しかし,感染マシンをLANに接続されてしまうと“おしまい”なのである。一度LAN内に感染が拡大すると,復旧するのは大仕事となる。DoS攻撃によるトラフィック異常の恐れが少なくなった現在,関係者が危ぐしているのは,8月18日の就業時の感染拡大である。管理者や担当者は,企業(組織)およびユーザーのために,一肌脱いでいただきたい。
◎参考文献
【休暇明けの対策】
◆「システム管理者向け Blaster ワーム 盆休み明け対策ガイドライン」(ラック)
◆「マイクロソフトWindowsの脆弱性を狙ったワームの発生に関する注意喚起について(その2)〜18日月曜日の朝に要注意〜」(経済産業省)
【ワームの感染確認および駆除方法】
◆「Blaster に関する情報」(マイクロソフト)
◆「Blaster ワームへの対策 - Windows XP 編」(マイクロソフト)
◆「Blaster ワームへの対策 - Windows 2000/Windows NT 4.0 編」(マイクロソフト)
◆「Blaster ワームに感染した場合の対策について」(マイクロソフト)
◆「JSOC 緊急レポート(Blaster または Lovsan ワーム)」(ラック)
◆「エムエスブラスト対策ページ」(トレンドマイクロ)
◆「W32.Blaster.Worm」(シマンテック)
◆「W32/Lovsan.worm」(日本ネットワークアソシエイツ) 【ワームの駆除ツール】
◆「Blaster ワーム 対策ツール」(ラック)
◆「Blaster ワーム 対策ツール」(マイクロソフト。ラックのツールを期間限定で公開している)
◆「W32.Blaster.Worm 駆除ツール」(シマンテック)
◆「トレンドマイクロ システム クリーナ ver. 3.0(TSC)」(トレンドマイクロ)
◆「AVERTウイルス駆除ツール」(日本ネットワークアソシエイツ)
【Blasterが悪用するセキュリティ・ホールの検査ツール】
◆「KB 823980 Scanning Tool を使用して,セキュリティ修正プログラム 823980 (MS03-026) がインストールされていないホスト コンピュータを特定する方法」(マイクロソフト)
◆「Retina RPC DCOM Vulnerability Scanner from eEye Digital Security」(米eEye Digital Security)
◆「Scanms - MS03-026 RPC Vulnerability Scanner」(米Internet Security Systems)
【国内におけるBlasterの感染状況など】
◆「マイクロソフトWindowsの脆弱性を狙ったワームの発生に関する状況について」(経済産業省)
◆「『W32/MSBlaster』ワームに関する情報(IPA/ISEC)
(勝村 幸博=IT Pro)
<“Blasterワーム”関連>
■【Blaster続報】「IPAへの届け出は1200件超,トラフィックの急増は見られない」――経産省 (2003/08/16)
■8月16日午前1時,Blasterによるトラフィック増加は観測されず (2003/08/16)
■マイクロソフト,「Blaster」に備えて電話相談窓口を24時間体制に (2003/08/15)
■Blasterに感染した世田谷区役所,ルートは人的な“持ち込み”か (2003/08/15)
■【Blaster続報】IPAへの届け出は600件超,休暇明けはワームの“持ち込み”に注意 (2003/08/15)
■なぜWindowsが再起動させられるのか?――「Blaster」ワームの謎を解く (2003/08/13)
■Windowsのセキュリティ・ホールを狙うワーム,国内でも感染を拡大中 (2003/08/13)
■Windows Updateサイトに攻撃を仕掛けるワームが出現,“超特大”ホールを狙う (2003/08/12)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20030813/2/
なぜWindowsが再起動させられるのか?――「Blaster」ワームの謎を解く
米国時間8月11日以降,感染を拡大している「Blaster(MSBlaster,RPC DCOM WORM)」(関連記事1, 関連記事2)。Blasterのまん延に合わせて,「Windowsを勝手に再起動させられる」という報告が相次いでいるものの,セキュリティ・ベンダーなどが公開する情報の多くには,そのことが明記されていない。Windowsが再起動されるのはBlasterのせいなのか,どのタイミングで再起動させられるのか――について,シマンテック Symantec Security Responseマネージャの星澤裕二氏に聞いた。結論から言うと,BlasterにはWindowsを再起動する“機能”はない。Blasterによって不安定になったRPCサービスが,Windowsを再起動させる。
セキュリティ・ベンダーが公開する情報をまとめると,Blasterは次の手順で感染を広げると考えられる。
1.攻撃対象のIPアドレスをランダムに決定する。ただし,全くのランダムではない。攻撃元(現在Blasterが動作している)マシンのIPアドレスの“近傍”が選択される場合もある。
2.攻撃対象マシンのTCPポート135番へ,「RPCインターフェイスのバッファオーバーランによりコードが実行される (823980) (MS03-026)」のセキュリティ・ホールを悪用するような,RPCメッセージを送信する。
3.対象マシンのTCPポート135番にアクセス可能で,かつそのマシンに「MS03-026」のセキュリティ・ホールがある場合には,バッファ・オーバーフローを発生させて,RPCメッセージに含まれたコード(ペイロード)を実行させる。コードには,TCPポート4444番でアクセスを待つシェル(cmd.exe)を起動する命令が書かれている。Blasterワームの“本体”は記述されていない。
4.TCPポート4444番経由で対象マシンに接続し,ワーム本体である「msblast.exe」を攻撃元(現在Blasterが動作している)マシンから対象マシンにコピーするtftpコマンドを実行する。
5.TCPポート4444番経由で対象マシンに接続し,msblast.exeを実行する。
6.対象マシン上でBlasterが動き始めるとともに,Windowsを起動するとBlasterが起動されるようにレジストリを変更する。また,システムの日付が8月16日になると,「Windows Update」サイト(windowsupdate.com)へDoS攻撃を仕掛ける。
星澤氏によると,セキュリティ・ホールがあるRPCサービスが,攻撃メッセージを受信してバッファ・オーバーフローが発生した段階で,RPCサービスが不安定になるという。つまり,上記の 3 の時点で不安定になる。この時点で,RPCサービス自身がRPCに関するエラー・メッセージを表示して,Windowsを再起動させる可能性がある。BlasterがWindowsを再起動させるのではなく,攻撃を受けたRPCサービスが再起動させるのである。
ここで注意する必要があるのは,必ずしも3の時点で再起動するとは限らないということだ。もし 3 の時点で再起動すれば,msblast.exeがコピーされることはないので,Blasterが対象マシン上で動き出すことはない。つまり,感染することはない。しかし,5 や 6,すなわち,感染後に再起動する場合も十分ありうる。この段階では,レジストリが変更されているので,Blasterは再起動するたびに動き出す。
Windowsが再起動されることなく,Blasterが感染することもある。ただし星澤氏によると,再起動される可能性が高いという。また,バッファ・オーバーフローが発生した後のどの段階で再起動するのかは,システム環境などによって異なるので,一概には言えないという。
まとめると,Windowsが再起動しなくても,セキュリティ・ホールをふさいでいなければ,Blasterに感染している可能性がある。また,Windowsが勝手に再起動したからといって,必ずしもBlasterに感染しているとは限らない。とはいえ,バッファ・オーバーフローが発生していることは確かであり,Blasterに感染している可能性もある。Windowsが勝手に再起動した場合には,早急に対策を施す必要がある。
ただし,セキュリティ・ホールがあるWindowsマシンをインターネットに接続している限り,攻撃パケットを受け取るたびに再起動してしまうので,対策を施すことができない場合がある。その場合の対処法をマイクロソフトが公開している。具体的には,対処法のページをローカルに保存して,マシンをネットワークから切り離す。その後,オフラインで対策を施す。
まず,同ページにあるように,「タスクマネージャ」の「プロセス」で,Blasterワームのプロセス「msblast.exe」が動いていないかどうかを調べる。
存在しない場合には,バッファ・オーバーフローを発生させられただけなので,Blasterは感染していないと考えられる。とはいえ,感染する状態ではあるので,パッチを適用して対策を施す必要がある。未対策のマシンをネットワークに接続するのは危険なので,「対策済みのマシンでダウンロードしたパッチを適用する」「Windows XPの場合には『インターネット接続ファイアウォール』を有効にしてからパッチをダウンロードする(有効にする方法はマイクロソフトのページに詳しい)」「ブロードバンドルーターなどでTCP135番をフィルタリングするようにしてからダウンロードする」――といった対処を施したい。
存在する場合には,Blasterに感染しているので,マイクロソフトの情報に従って,取り除く必要がある。また,アンチウイルス・ベンダーは駆除ツールを公開している。もちろん取り除いても,そのままでは再び感染する可能性は高い。「存在しない場合」と同様に,パッチを適用する必要がある。
Blasterに感染したままネットワークに接続していると,感染を広げるばかりか,8月16日以降はDoS攻撃の踏み台に利用される。しかも,BlasterはデフォルトのWindowsに感染するので,個人ユーザーが知らないうちに感染している可能性が高い。IT Pro読者のほとんどは既に対策済みだろうが,ぜひ身の回りのユーザーにも注意を呼びかけていただきたい。経済産業省も,このまま感染が拡大すれば,8月16日にはDoS攻撃によるパケットにより,インターネット全体で深刻な障害が発生する恐れがあると注意を呼びかけている。
◎参考資料
◆「Blaster に関する情報」(マイクロソフト)
◆「Blaster Worm Analysis」(米eEye Digital Security)
◆「マイクロソフトWindowsの脆弱性を狙ったワームの発生に関する注意喚起」(経済産業省)
(勝村 幸博=IT Pro)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
題名には必ず「阿修羅さんへ」と記述してください。