猛威を振るうMSBlast、休暇明けまでに対策を

2003/8/16

　Windows XPやWindows 2000の脆弱性を悪用し、感染を広げるワーム「MSBlast」が、多くの企業で夏期休暇が明ける8月18日に大流行する危険がある。8月16日にはMSBlastに感染したコンピュータがマイクロソフトのWebサイトを狙って一斉にDoS攻撃をかけるとみられ、インターネットが一時的にまひ状態になることも心配されている。サーバ管理者やクライアントPCのユーザーは、マイクロソフトや各セキュリティベンダが公表している情報を参照し、確実な対策が求められる。

　MSBlastは「RPC（リモート・プロシージャ・コール） DCOM バッファオーバーフロー」と呼ばれるWindowsのセキュリティホールを悪用し、感染を広げるワーム。感染の危険があるのはWindows XPと2000。NT 4.0とServer 2003はセキュリティホール自体はあるが、感染することはない。RPC DCOM バッファオーバーフローはマイクロソフトが7月17日にセキュリティ修正プログラムを公表していて、Windows UpdateでOSを最新にアップデートしていれば感染の危険はない。MSBlastに感染すると、ほかのコンピュータに感染を広げると同時に、8月16日以降にマイクロソフトのWebサイト「Windows Update」に対してDoS攻撃を仕掛ける。感染によってコンピュータのシステムが不安定になり、勝手にシャットダウンしてしまうことがある。

　MSBlastの特徴は強力な感染力。電子メールやWebサイトを通じて感染を広げるのではなく、感染したコンピュータが自らのIPアドレスに近いIPアドレスをランダムに選び出し、攻撃する。攻撃対象となったコンピュータにRPC DCOM バッファオーバーフローのセキュリティホールがある場合、MSBlastがTCP 135番ポートを通じて転送され、感染する。転送されたMSBlastはレジストリに登録され、コンピュータを起動するごとに立ち上がるよう設定される。

　MSBlastは定義ファイルを最新版にアップデートしたアンチウイルスツールで検出できる。また、キーの「Ctrl」＋「Alt」＋「Del」でタスクマネージャを起動し、「プロセス」タブをクリック。感染している場合は、リストに「msblast.exe」が表示される。ただ、MSBlastの亜種に感染した場合は別名が表示されることがあるので、注意が必要。感染が分かったときは、Windowsやセキュリティツールのファイアウォール機能をオンにしたうえで、タスクマネージャでmsblast.exeを停止させる。次にマイクロソフトが配布しているセキュリティ修正プログラムの「MS03-026」をダウンロードし、実行。最後にセキュリティベンダが配布しているワームの除去プログラムをダウンロードし実行する。主な除去プログラムは以下のとおり。プログラム実行後はWindowsを最新版にアップデートする。

　トレンドマイクロによると15日13時現在でMSBlastに関する被害報告は647件。多くの企業で夏期休暇が明ける8月18日には、感染がさらに広がる危険がある。企業がファイアウォールを適切に運用し、MSBlastが悪用するTCP／UDP 135番ポート、TCP 4444番ポート、UDP 69番ポートなどをブロックしている場合は、ネットワーク内部のコンピュータがMSBlastの攻撃を受ける危険性は低くなる。だが、セキュリティベンダのラックは、夏期休暇でノートPCを自宅に持ち帰っていたユーザーが出社して、企業ネットワークに接続することで感染を広げる可能性を指摘している。ラックでは緊急レポート（PDF）で「必ず、ネットワークに接続する前に、ワームに感染していないこと、修正プログラムが適用されていることを確認するよう徹底すること」を推奨している。

　またラックは企業システムの管理者向けにガイドライン（PDF）を発表。全社員への注意喚起や社内コンピュータのチェックなどを呼びかけている。ネットワークで利用しているファイアウォールやルータについては、外部ネットワークから内部、内部ネットワークから外部へのTCP／UDP 135番ポート、TCP 4444番ポート、UDP 69番ポートのアクセスの禁止や、ログを確認して内部ネットワークから外部のTCP／UDP 135番ポートへの過剰なアクセスがないかなどを確認することを訴えている。

（垣内郁栄）

情報をお寄せください：

猛威を振るうMSBlast、休暇明けまでに対策を

最新記事

転職／派遣情報を探す

年収６００万円！エンジニア向けの求人満載。転職希望者必見

エンジニアの転職なら【転職サーチ】