現在地 HOME > 掲示板
> IT1 > 521.html
★阿修羅♪
|
現在地 HOME > 掲示板
> IT1 > 521.html
★阿修羅♪
|
|
(回答先: 新型コンピューターウイルス「ソービッグ」、世界各地で被害拡大 [ロイター] 投稿者 あっしら 日時 2003 年 8 月 23 日 03:14:35)
http://www.zdnet.co.jp/enterprise/0308/22/epn04.html
問題ある“フィクサー型”ワームのNachi、そして過去最悪の大量メール発信を招いているコンピュータウイルスのSobig.Fによって、一部の企業ネットワークと電子メールサーバでは、8月21日もトラフィックの洪水が続いた。
MSBlastワームの亜種であるNachi(MSBlast.D、Welchiaとも呼ばれている)は18日に拡散を開始http://www.zdnet.co.jp/enterprise/0308/20/epn03.html、脆弱性を抱えたコンピュータに感染を拡大しようとして企業ネットワークに渋滞を引き起こしている。このワームはオリジナルのMSBlastが脆弱なコンピュータに感染する前に、それらマシンにパッチを当てようとするものではあるが、システムに盛んにスキャンをかけることで企業ネットワークを詰まらせている。
この混乱にさらに拍車をかけているhttp://www.zdnet.co.jp/enterprise/0308/21/epn05.htmlのが、Windowsマシンを狙ったメール増殖型コンピュータウイルスのSobig.Fだ。これは19日朝に増殖を開始http://www.zdnet.co.jp/enterprise/0308/20/epn04.htmlした。
インターネットサービス大手の米America Online(AOL)によると、同社は20日、毎日の平均処理量の4倍に当たる4000万件の電子メール添付書類を確認、うち2300万件以上がSobig.F感染ファイルだったとしている。また同社広報のニコラス・グラハム氏は、ほかの電子メールシステムから感染通知メールを受けたとするホームユーザーからの、同社サポートへの電話の問い合わせが激増したと話している。
「このウイルスの(偽装した)送信元に対して感染通知メールが送られ、それを受け取った人が、自分は感染したと思い込んでいる」(グラハム氏)
Sobig.Fは、Sobigの過去の亜種と同様、自身が送出するすべての電子メールについて、送信元を偽装する。感染マシンのWindowsアドレス帳やキャッシュに入っているWebページに記載されたメールアドレスを、送信元に仕立て上げる。電子メールゲートウェイは通常、ウイルスが添付されたメールを検知すると、警告のために、その送信元に感染通知メールを送り返す。だがSobig.Fの場合、感染通知を送られた人が実際の感染者である可能性は低い。
AOLのグラハム氏は、「当社は電子メールデーモン(サーバプログラム)からのメッセージの遮断に、かなり成功しつつある」と語る。
同氏によると、AOLでは自動生成された電子メールメッセージの推定75%を遮断できているが、残りの25%が、過去2日間のAOLのメール処理件数を、通常より2500万通増加させたという。
ルートを参照する“ミニメールサーバ” インターネットサービスプロバイダーの米VeriSignは、Sobig.Fの影響は測定可能だとし、ネット上のSobig.F感染コンピュータ台数を10万台以上と推定している。
VeriSignは、自社のDNSルートサーバが処理するメールレコード照会の量が過去24時間で劇的に増加したとし、この急増は、Sobig.Fのメール送信コンポーネントが引き起こしたものだと説明している。
Sobig.Fは「Your Details」「Re: Approved」「Thank you!」といった件名の電子メールに、自身の複製を添付し送信することで自己増殖する。また、感染したコンピュータからアクセス可能な共有ネットワークハードディスクに自身をコピーすることによっても感染を拡大する。
いわば“ミニメールサーバ”のSobig.Fは、自身の複製を送信する際に毎回、インターネットの「公式住所録」として機能しているDNSルートサーバのデータを参照する。13台のDNSルートサーバの一つを管理しているVeriSignでは、19日朝以降、メールレコード参照件数が20倍に跳ね上がったと同社セキュリティサービス担当マーケティングディレクターのジョン・ファーガソン氏。
「インターネット経由で送られるメッセージの大半は、通常、ルートにまで照会することはないのだが、現状、数千のネットワーク(上の感染コンピュータ)がルートを参照している」(同氏)
VeriSignでは数万のネットワークアドレスからの照会を確認しており、Sobig.Fに感染したコンピュータの台数は10万台以上に上っている可能性が高い、と同氏は語っている。
一方、Symantecは21日、Nachiワーム(同社ではこれを「W32.Welchia」と呼んでいる)とオリジナルのMSBlastワームは、100万台以上のWindowsマシンに感染していると伝えた。同社セキュリティ対策チームのエンジニアリング上級ディレクター、アルフレッド・ヒューガー氏によると、このMSBlast亜種に感染したマシンの台数は、過去4日間でオリジナルのMSBlastに感染したマシンの台数を上回ったという。
「W32.Welchiaの打撃を受けた企業は多い。これを制御しつつある企業の多くは、これ以上悪くなりようがないという状況に追い込まれたためにそうしている」(ヒューガー氏)
米インフラ支える重鎮も被害に MSBlastと複数の亜種、そしてSobig.Fウイルスは、米国のインフラの重要部分を担う企業などにも打撃を与えている。
国防当局から仕事を請け負っているLockheed Martinで起きた感染は、システム全体の1%未満ではあるが、それでも混乱を抱えた
マサチューセッツ工科大学では、メールの洪水で電子メールサーバが混乱
AP通信によると、鉄道・貨物運送業者のCSXは、Nachiにより列車運行停止を余儀なくされた
航空会社のAir Canadaは19日、Nachiワームが生成したトラフィックを同社ネットワークが処理しきれず、複数のフライトをキャンセル
複数の通信社が伝えるところでは、国防総省と軍部でも、Sobig.FとNachiの両方の感染が起きている
MSBlastは、Microsoft以外の製品にも、一部で予想外の影響を与え続けている。
Hewlett-Packard(HP)は、顧客サポートサイト上で、MSBlastが脆弱なコンピュータに感染を広げようとする際に使用する特定タイプのデータによって、自社のネットワーク管理ソフト「HP OpenView」が打撃を受けていることを明らかにした。
「HP OpenViewは、『Blaster』と呼ばれるワームウイルスがWindows、HP-UX、Solaris、Linux上で実行されているHP OpenView製品に影響する可能性があると判断している」とHPのアドバイザリーには記されている。同社広報担当からのコメントは現時点で得られていない。
加えて、ネットワーク管理者のニュースグループでは、通信機器メーカーLucent Technologiesのネットワークゲートウェイ「TNT MAX」が、MSBlastが作り出すトラフィックとの相互通信のためクラッシュしたとの報告が寄せられている。Lucent関係者は、この問題について調査中であることは認めたが、詳細情報は明らかにしていない。
Slammerワーム登場の折も、打撃はMicrosoft以外の製品にも及んだ。Slammerは、対象のセキュリティホールが公表されてから6カ月後に登場したワームで、MicrosoftのSQL Serverと関連のデータベースソフトを襲った。幾つかの製品が、SQL Serverに発見されたのと同じ脆弱なコードを含んでいた。
原文へのリンクhttp://zdnet.com.com/2100-1105_2-5066875.html
関連記事
まだそこにある危機
http://www.zdnet.co.jp/enterprise/0308/21/epn10.html
メールはSobig.Fだらけ――前代未聞の感染規模
http://www.zdnet.co.jp/enterprise/0308/21/epn05.html
MSBlastでCATVネット接続に障害相次ぐ
http://www.zdnet.co.jp/enterprise/0308/21/epc08.html
新ワームとウイルスの2重攻撃でネットワーク渋滞
http://www.zdnet.co.jp/enterprise/0308/20/epn05.html
帰ってきたSobig――爆発的に拡散する新亜種「Sobig.F」
http://www.zdnet.co.jp/enterprise/0308/20/epn04.html
感染を広める新ワーム「Nachi」、日本語版Windowsでは脆弱性はそのまま放置
http://www.zdnet.co.jp/enterprise/0308/21/epc08.html
特集:Windowsを危険にさらすRPCのセキュリティホール
http://www.zdnet.co.jp/enterprise/special/0308/rpc/index.html
題名には必ず「阿修羅さんへ」と記述してください。