★阿修羅♪ 現在地 HOME > 掲示板 > IT1 > 331.html
 ★阿修羅♪
次へ 前へ
ここに注目した「再起動はBlasterの副産物。再起動させられていなくても,Blasterに感染している可能性」
http://www.asyura.com/0306/it01/msg/331.html
投稿者 クエスチョン 日時 2003 年 8 月 18 日 07:48:36:WmYnAkBebEg4M

(回答先: 【MSブラスト対処方法】Blaster,いまだ終息せず――今すぐあなたにお願いしたいこと 投稿者 【日経 IT Pro-Report からの転載】 日時 2003 年 8 月 18 日 02:03:19)

ここに注目した「再起動はBlasterの副産物。再起動させられていなくても,Blasterに感染している可能性」


注目した箇所を抜粋した。もちろんこの前後を読むことは大事。

>特に何の対策も施さずにインターネットに接続していたWindowsマシンは,
>Blasterに感染していると考えたほうがよい。一部では,「Blasterに感染
>すると,Windowsが勝手に再起動される」と伝えられていたために,「自
>分のマシンは勝手に再起動させられていないので大丈夫」と考えているユ
>ーザーがいるかもしれないが,それは間違いである。Windowsの再起動は
>Blasterの感染活動の“副産物”に過ぎない。再起動させられていなくて
>も,Blasterに感染している可能性はある(関連記事)。

>何も考えないでインターネットに接続しているWindowsマシン――特に,
>自宅で使用しているマシン――に,Blasterが知らない間に感染している
>可能性はとても高いのである。

>ノート・パソコンばかりではない。既にLANに接続しているデスクトップ
>・パソコンの電源を入れるのも注意が必要だ。というのも,休暇に入る前
>に Blasterに感染している可能性があるからだ。電源を落としている間は,
>もちろんBlasterは動いていない。しかし,電源を入れると Blasterは動
>き出す。そして,休暇明けでほとんどのマシンが立ち上がっているLAN中
>に感染を拡大させる。現在感染していなくても,未対策のマシンでは,他
>のマシンから感染させられる恐れもある。
>
>以上が,パソコンの電源を入れることやLANにつなぐことを待ってもらっ
>た理由である。
>
>現在ではほとんどの企業でファイアウオールを設置して守りを固めている。
>ファイアウオールでは,Blasterからのパケットを遮断して,外部からLAN
>のマシンへの感染を防ぐ。しかし,内部からの感染拡大をファイウオール
>は防げない。逆に,「ファイアウオールで守られているから大丈夫」と考
>えて,きちんと対策していないユーザーが少なくない。このため,内部か
>らの感染は急速に拡大する。未確認情報ではあるが,Blasterの“持ち込
>み”によって,LAN 中に感染が拡大した企業があることを,筆者は既に聞
>いている。

>米国時間8月11日以降,感染を拡大している「Blaster(MSBlaster,RPC
>DCOM WORM)」(関連記事1,関連記事2)。Blasterのまん延に合わせて,
>「Windowsを勝手に再起動させられる」という報告が相次いでいるものの,
>セキュリティ・ベンダーなどが公開する情報の多くには,そのことが明記
>されていない。Windowsが再起動されるのはBlasterのせいなのか,どのタ
>イミングで再起動させられるのか――について,シマンテック Symantec
>Security Responseマネージャの星澤裕二氏に聞いた。結論から言うと,
>BlasterにはWindowsを再起動する“機能”はない。Blasterによって不安
>定になったRPCサービスが,Windowsを再起動させる。

>星澤氏によると,セキュリティ・ホールがあるRPCサービスが,攻撃メッ
>セージを受信してバッファ・オーバーフローが発生した段階で,RPCサー
>ビスが不安定になるという。つまり,上記の 3 の時点で不安定になる。
>この時点で,RPCサービス自身がRPCに関するエラー・メッセージを表示し
>て,Windowsを再起動させる可能性がある。 BlasterがWindowsを再起動さ
>せるのではなく,攻撃を受けたRPCサービスが再起動させるのである。
>
>ここで注意する必要があるのは,必ずしも3の時点で再起動するとは限ら
>ないということだ。もし 3 の時点で再起動すれば,msblast.exeがコピー
>されることはないので,Blasterが対象マシン上で動き出すことはない。
>つまり,感染することはない。しかし,5 や 6,すなわち,感染後に再起
>動する場合も十分ありうる。この段階では,レジストリが変更されている
>ので,Blasterは再起動するたびに動き出す。
>
>Windows が再起動されることなく,Blasterが感染することもある。ただ
>し星澤氏によると,再起動される可能性が高いという。また,バッファ・
>オーバーフローが発生した後のどの段階で再起動するのかは,システム環
>境などによって異なるので,一概には言えないという。
>
>まとめると, Windowsが再起動しなくても,セキュリティ・ホールをふさ
>いでいなければ,Blasterに感染している可能性がある。また,Windowsが
>勝手に再起動したからといって,必ずしもBlasterに感染しているとは限
>らない。とはいえ,バッファ・オーバーフローが発生していることは確か
>であり, Blasterに感染している可能性もある。Windowsが勝手に再起動
>した場合には,早急に対策を施す必要がある。

 次へ  前へ

IT1掲示板へ



フォローアップ:


 

 

 

 

  拍手はせず、拍手一覧を見る


★登録無しでコメント可能。今すぐ反映 通常 |動画・ツイッター等 |htmltag可(熟練者向)|(各説明

←ペンネーム新規登録ならチェック)
↓ペンネーム(なしでも可能。あったほうが良い)

↓パスワード(ペンネームに必須)

(ペンネームとパスワードは初回使用で記録、次回以降にチェック。パスワードはメモすべし。)
↓画像認証
( 上画像文字を入力)
ルール確認&失敗対策
画像の URL (任意):
投稿コメント全ログ  コメント即時配信  スレ建て依頼  削除コメント確認方法
★阿修羅♪ http://www.asyura2.com/  since 1995
 題名には必ず「阿修羅さんへ」と記述してください。
掲示板,MLを含むこのサイトすべての
一切の引用、転載、リンクを許可いたします。確認メールは不要です。
引用元リンクを表示してください。