★阿修羅♪ 現在地 HOME > 掲示板 > IT1 > 542.html
 ★阿修羅♪
次へ 前へ
感染を広める新ワーム「Nachi」、日本語版Windowsでは脆弱性はそのまま放置 【MicroSoftの対応は日本人をなめてる。ふざけるな!】
http://www.asyura.com/0306/it01/msg/542.html
投稿者 クエスチョン 日時 2003 年 8 月 23 日 12:06:50:WmYnAkBebEg4M

(回答先: 二つのワームの猛攻でネットワーク大混乱・MSBlastワームと複数の亜種、そしてSobig.Fウイルスは、米国のインフラの重要部分を担う企業にも打撃。ZDNet 投稿者 シジミ 日時 2003 年 8 月 23 日 05:14:36)

感染を広める新ワーム「Nachi」、日本語版Windowsでは脆弱性はそのまま放置 【MicroSoftの対応は日本人をなめてる。ふざけるな!】
http://www.zdnet.co.jp/enterprise/0308/20/epn03.html

8月18日に登場した新種のワーム「Nachi」。当初「パッチを適用してくれ
る」と表現したこのワームだが、日本語版Windowsではパッチはインスト
ールされず、感染は広まるばかりのようだ。


 Windows RPCのセキュリティホールを悪用する新たなワーム「Nachi」
(ウイルス対策ベンダーによっては「Welchia」と称されている)は、警
告が出された8月18日以降、引き続き感染を広めている。

 Nachiは、先週登場したMSBlastとは別のワームで、Windows 2000とXPに
感染する。8月18日午後から急増し、19日には各ウイルス対策ベンダーの
ほか、警察庁や経済産業省、情報処理振興事業協会セキュリティセンター
(IPA/ISEC)などが警告を発し、警戒を呼びかけている。

 Nachiは、RPC DCOMのセキュリティホール(MS03-026)を利用し、TCP
135番ポート経由で感染を試みる。同時にWindows 2000のコンポーネント
に存在したセキュリティホール(MS03-007)を悪用し、TCP 80番ポートを
用いるWebDAVサービス経由でも増殖しようとする。しかも、次なるターゲ
ットを探し出すためのスキャン範囲を決定するロジックはMSBlastに比べ
洗練されたものになっており、感染力は高い。この結果、郵政公社をはじ
め多くの組織で感染が広がっているという。

 Nachiの特徴の1つに、まず一定範囲のIPアドレスにpingを投げ、応答の
あったものに攻撃を仕掛けることが挙げられるが、この余波でネットワー
ク上を流れるICMP echoパケットの量が急増している。また、MS03-007を
悪用して感染を広めようとする活動を示すものか、HTTPリクエストの増加
も見られるという。この結果、ルータの性能や設定によってはネットワー
クの性能に影響が及んでしまい、業務に支障を来たすケースもあったとい
うことだ。

日本語版パッチの適用は「ない」 このように広範に影響を及ぼしている
Nachiだが、インターネット セキュリティ システムズの分析や、その他
ウイルス対策ベンダーの情報によると、本体にはウイルスやDDoS用のペイ
ロードは含まれていない。つまり、悪意ある攻撃のためのコードは含まれ
ていない模様だ。

 しかも既に報じたとおり、Nachiは感染後、ターゲットPC上でMSBlastが
動作しているかをチェックし、感染している場合はプロセスを停止させる。
そして、レジストリキーの削除までは行わないまでも、「MSBLAST.EXE」
本体ファイルの削除を試みる。さらにユニークなのは、マイクロソフトの
サイトにアクセスし、MSBlastとNachi自身が悪用しているMS03-026の修正
用パッチをダウンロードしようとする点だ。

 しかし、NachiがアクセスしようとするURLは英語版と中国語版、韓国語
版のパッチのみで、日本語版のものはない。したがって、日本語版
Windows 2000/XPを利用している場合、Nachiに感染したうえに肝心のセ
キュリティホールは放置されたまま、という状態に置かれることになる
(その意味で、当初の記事で、「パッチを当てる」という誤解を招く表現
を用いていたことをお詫びします)。しかも、もう1つの感染源である
MS03-007のパッチも適用されるわけではなく、次々と感染が広まることに
なる。この点が、日本国内におけるNachi蔓延が目立って多い理由の1つと
考えられる。

深く潜行する可能性も たとえ別のワームを停止させ、パッチの適用を試
みるといっても、Nachiそのものもれっきとしたワームである。しかも、
大量のICMPおよびHTTPパケットを作り出し、LANおよびインターネット接
続に影響を及ぼしていることも事実だ。

 したがって、最新のウイルス定義ファイルを用いたNachi本体の検出と
一連のパッチ適用といった対策が早急に求められるだろう。19日に入って
からは、ウイルス対策ベンダーがNachi削除用のツールを提供しており、
これらを活用することもできる。一時的な対処策として、PCの時計を進め
て2004年1月1日以降にしてもNachiは消滅するが、その後、きちんとパッ
チを適用しない限り、再度感染する可能性は高い。逆に言えば、このワー
ムもMSBlast同様、少なくとも公開済みのパッチを適用していれば感染を
防ぐことができる。

 なおNachiの蔓延に関連して、インターネット セキュリティ システム
ズは興味深い指摘をしている。つまり、先週一気に広まったMSBlastの大
半がNachiに置き換わった可能性が高く、マイクロソフトによるWindows
Updateのアドレス変更をはじめとするMSBlast対策が効果を持たない可能
性が高いという。

 また、これは日本語版Windowsでは当てはまらないが、NachiがMSBlast
に入れ替わり、かつMS03-026のパッチを適用することにより、実際に被害
を受けたマシンが見つかりにくくなるおそれがあるという。既に公開済み
の、MS03-026のセキュリティホールを残したままの端末を検査するスキャ
ナでは検出されなくなる上、NachiのCPU負荷も低いため、「静かに、深く
潜行する可能性がある」(同社IT企画室室長の高橋正和氏)。

関連記事
特集:Windowsを危険にさらすRPCのセキュリティホール

関連リンク
IPA/ISEC:新種「W32/Welchi」ワームに関する情報
インターネット セキュリティ システムズ:MSRPC DCOM ワーム「MS Blast」の蔓延
日本ネットワークアソシエイツ:W32/Nachi.worm
シマンテック:W32.Welchia.Worm
トレンドマイクロ:WORM_MSBLAST.D
アンラボ:Win32/Welchia.worm
日本エフセキュア:Welchi

[高橋睦美,ZDNet/JAPAN]

 次へ  前へ

IT1掲示板へ


フォローアップ:


 

 

 

 

  拍手はせず、拍手一覧を見る

★登録無しでコメント可能。今すぐ反映 通常 |動画・ツイッター等 |htmltag可(熟練者向)
タグCheck |タグに'だけを使っている場合のcheck |checkしない)(各説明

←ペンネーム新規登録ならチェック)
↓ペンネーム(2023/11/26から必須)

↓パスワード(ペンネームに必須)

(ペンネームとパスワードは初回使用で記録、次回以降にチェック。パスワードはメモすべし。)
↓画像認証
( 上画像文字を入力)
ルール確認&失敗対策
画像の URL (任意):
投稿コメント全ログ  コメント即時配信  スレ建て依頼  削除コメント確認方法
★阿修羅♪ http://www.asyura2.com/  since 1995
 題名には必ず「阿修羅さんへ」と記述してください。
掲示板,MLを含むこのサイトすべての
一切の引用、転載、リンクを許可いたします。確認メールは不要です。
引用元リンクを表示してください。