お盆明けの初仕事は「ポート445番を閉じること」

2005/8/18

 トレンドマイクロやシマンテックなどのウイルス対策ベンダ各社は8月17日、ネットワークに接続しているだけで感染する可能性のあるワーム「RBOT.CBQ」と「ZOTOB」を警告した。日本でもすでに数件の感染が報告されているほか、米国ではCNNやニューヨーク・タイムズ紙などが被害に遭ったとされており、ベンダ各社は早急な対策を呼びかけている。

 このワームは、8月10日に公開されたWindowsの「プラグアンドプレイの脆弱性(MS05-039)」を悪用して感染を広げる。ポート445番をスキャンし、開いている場合には攻撃を仕掛けて感染するほか、バックドアも作成する。日本でもすでに数件の感染が報告されている。米CNNなどによると、米国では同社やニューヨーク・タイムズ紙、ABCテレビなどの報道機関や、機械大手のキャタピラーや自動車のダイムラークライスラー、電機のゼネラル・エレクトリック(GE)などが被害に遭ったと報告した。

 「RBOT.CBQ」と「ZOTOB」は、ワーム機能を持ったトロイの木馬型不正プログラム。1週間前に公開されたばかりのWindowsの脆弱性を利用して感染を広げ、セキュリティ修正プログラム(パッチ)「MS05-039」を適用していない場合には、ネットワークに接続しているだけで感染する可能性がある。感染後には、PCでバックドア活動や情報漏えい活動を行うという。対象OSは、Windows Server 2003、XP、2000。ZOTOBは、すでに複数の亜種の存在が確認されており、今後も亜種が増加することが予測される。

 これらのワームは、ランダムなIPアドレスに対してポート445番が開いているPCを検索する。ポート445番が開いていた場合には、「プラグアンドプレイの脆弱性」を攻撃して、自身の感染を試みる。感染すると、ネットワークを通じてほかのPCへの感染を試みるほか、PCが再起動することもある。また、ポート7778番を開いてバックドア活動を行うという。

 これらのワームに感染しないためには、まずポート445番を閉じる。次にWindowsUpdateを実施して「MS05-039」を適用し、利用しているウイルス対策ソフトを最新の状態にアップデートする必要がある。「PCが勝手に再起動する」や「勝手に電源が落ちる」など、感染の疑いがある症状が発生した場合には、トレンドマイクロやシマンテックが自動駆除ツールを公開しているので、これらを利用するのがよい。

 こういったワームの多くは、マイクロソフトが公開するパッチを解析して開発することが多い。このことから、マイクロソフトは不定期にリリースしていたパッチを毎月第2火曜日(日本時間水曜日)の月1回に変更し、それ以後は同社の脆弱性を狙ったワームが減少した。しかし、今回の「RBOT.CBQ」や「ZOTOB」はパッチが公開されてからわずか5日間で登場しており、パッチ公開と同時に攻撃が始まる「ゼロデイアタック」に近づいている。このようなワームの登場により、今後ユーザーは一層パッチの適用を早くしなければならなくなるだろう。

[関連リンク]
トレンドマイクロ
シマンテック

[関連記事]
MySQLを攻撃するワーム出現、rootパスワードを破る (@ITNews)
Windows対応のPostgreSQL 8.0、大規模システム浸透を狙う (@ITNews)
Oracleと比較するとPostgreSQLは使える? 使えない? (@ITNews)
LinuxとWindowsのTCOを「勝手に計算」 (@ITNews)
旅客機でいえばMySQLはエコノミークラス (@ITNews)

情報をお寄せください:


@IT Special

- PR -

@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -