★阿修羅♪ 現在地 HOME > 掲示板 > IT1 > 833.html
 ★阿修羅♪
次へ 前へ
【サーバー管理室】最近のサーバ攻撃(1)
http://www.asyura.com/0306/it01/msg/833.html
投稿者 愚民党 日時 2003 年 9 月 04 日 10:11:47:QeeQrBW7FOUsw


------------------------------------------
最近のサーバ攻撃(1)

http://www.netpub.tsuzuki.yokohama.jp/j/server/serverroom.html

なんと半年ぶりの記載です。今回はTVのニュースでお騒がせのコンピュータ・ウィルス「BLSATER」のキラー・ウィルスとして間髪いれずに登場した「32.Welchia.Worm」について、その「危険性」について述べたいと思います。このワームはやたらにPingを送信するため、このウィルスが登場したとき、僕は何者かが「PingによるDoS攻撃」をはじめたと勘違いしてしまいました。しかし、本日、新型ウィルスの発表記事を見て、この「Ping攻撃」が「新型ウィルスのスキャン」であることがわかりました。
(2003/8/19)


1.W32.Welchia.Wormは、どんなワームなのか?

このワームは「WindowsのRPCプロセスの脆弱性」を狙ったウィルス「BLSATER」に対抗したウィルスのようです。このウィルスはまずネットワーク上のマシンを把握するため多量のPing又はPing応答を送信するそうです。そして、その要求に応答を返したマシンがあった場合、そのマシンのTCPポート135番およびTCPポート80番に不正コードを送り込み、脆弱性があれば制御を奪います。

その後、Windowsのコマンド実行機能であるDllhost.exe、Svchost.exe(おそらく、トロイの木馬)を感染マシンから応答を返したマシンへtftpでコピーします。そして、応答を返したマシンの「OSバージョン」、「サービスパックの番号」など調べ、マイクロソフトのWindows Updateのサイトに接続し、最適な修正プログラムをダウンロード、修正をあてます(ただし日本語版Windowsは対象外)。

以上の行為を繰り返し、このウィルスは西暦2004年になると自分で自分を消すということです。このような性質を持つウィルスですから、ウィルス「BLSATER」の撲滅に役立ちます。まさに、正義の味方「仮面ライダー」のようなウィルスです。


2.W32.Welchia.Wormは、人畜無害なのか?

このウィルス、「BLSATER」を撲滅したら、すぐ消滅すればよいのに。。そのまま居座り、他のマシンを「スキャン」する点に問題があります。スキャン行為となるPingを無差別に送信するため、回線に余分な負担がかかります。そして、このスキャンは「回線監視業務をしている人間」にとって迷惑この上ない「雑音」になります。これで、別の新種の凶悪なウィルスの発見を見落とすことになったら。。「このウィルスのPingがカモフラージュになって見落とした」と言われても仕方ないでしょう。そして、通信速度の遅い回線で多数のパソコンがこのようなウィルスに感染したとしたら、多量のPingにより回線がマヒすることは目に見えています。

また、「BLSATER」ウィルスの正式な修正作業を考えた場合、このウィルスが途中で入り込んでしまうと、このウィルスが入り込んだかどうかは回線の内容を見ないとわからないことになります。「BLSATER」ウィルスの正式な駆除を完了したのに、実は、「W32.Welchia.Worm 」が入り込んでいたという場合が出るでしょう。まさか、自分の管理しているマシンがPingを飛ばしまくっていたとしたら、このウィルスが「BLSATER」ウィルスを駆除したと言われても、うれしくないはずです。もっとも・・日本語版Windowsは修正をあててくれないそうですから、日本では、このウィルスに感染するぶん迷惑です。


3.本当の怖さは「バックドア」にある!

「バックドア(リモコン機能)」については、別のページでも取りあげていますが、感染したマシンを乗っ取るには最高の方法です。たとえ、このウィルスが2004年に自己消滅するといっても、それまで3ヶ月以上の期間があります。

ウィルス作者でなく、別の悪意を持った者が「バックドア(リモコン機能)」を発見し、こっそり、それを利用したらどうでしょうか?そこから、お客様の情報を取り出す、もっと気の利いた「トロイの木馬」をインストールして、様々な情報を収集する。こうなると、「BLSATER」が撲滅できても、そのマシンは「あやつり人形としてコントロールしてくる者をすべて受け入れる」ということになります。こっちのほうが被害が大きくなり、まさに、ウィルス作者にとって予想もしなかった被害が、世界の各地で直接的・間接的に起こることになるでしょう。


特に、住民基本台帳ネットワーク、Eコマース(Eビジネス)に関係するマシンが感染した場合、そこにある重要な情報が危機にさらされることになります。また、そうでなくても、そのマシンは「踏み台」として利用され、次に攻略する別マシンの情報収集に利用されることになるでしょう。

以下のページも参考にすると意味がよくわかると思います。

「住民基本台帳ネットワークの本当の落し穴」
「(総務省)国民のための情報セキュリティサイトQ&A集(6)」


-----------------------------------------

 次へ  前へ

IT1掲示板へ



フォローアップ:


 

 

 

 

  拍手はせず、拍手一覧を見る


★登録無しでコメント可能。今すぐ反映 通常 |動画・ツイッター等 |htmltag可(熟練者向)
タグCheck |タグに'だけを使っている場合のcheck |checkしない)(各説明

←ペンネーム新規登録ならチェック)
↓ペンネーム(なしでも可能。あったほうが良い)

↓パスワード(ペンネームに必須)

(ペンネームとパスワードは初回使用で記録、次回以降にチェック。パスワードはメモすべし。)
↓画像認証
( 上画像文字を入力)
ルール確認&失敗対策
画像の URL (任意):
投稿コメント全ログ  コメント即時配信  スレ建て依頼  削除コメント確認方法
★阿修羅♪ http://www.asyura2.com/  since 1995
 題名には必ず「阿修羅さんへ」と記述してください。
掲示板,MLを含むこのサイトすべての
一切の引用、転載、リンクを許可いたします。確認メールは不要です。
引用元リンクを表示してください。