アンチウィルスソリューションではExploit攻撃に対処できない

2005/8/20

 米現地時間8月16日にCNNやニューヨークタイムズ、ABCなどの大手メディアを含む全米の企業システムに影響を及ぼしたワームの攻撃は、マイクロソフトのPnP(プラグ&プレイ)における脆弱性「MS05-039」を狙ったExploit、ワーム、トロイの木馬の複合型攻撃だった。

 米ソニックウォールは「アンチウィルスソリューションのみを導入していたネットワークでは最初のExploit攻撃に対処できず、被害が拡大した」とコメントしている。専門家の間では、今回の攻撃はライバルハッカー同士の競争で起こった「Bot War」だと推測されており、今後も亜種が出現する危険性があると指摘している、と同社は報告している。

 なお、ソニックウォールでは、MS05-039の脆弱性が公表されるとすぐにこの脆弱性に対応したIPSシグネチャとゲートウェイアンチウィルスシグネチャを配布し、ゲートウェイで動的に防御したと発表した。同社が配布したシグネチャは以下のとおり。

 IPS(Intrusion Prevention Service)シグネチャ:

  • EXPLOIT MS05-039 Plug and Play Remote Code Execution SMB-DS_PoC

 ゲートウェイアンチウィルスシグネチャ:

  • Zotob.a(ワーム)
  • Zotob.e(ワーム)
  • RBot.CBQ(ワーム)
  • Zotobfixer.a(トロイの木馬)
  • Zobob.d(ワーム)
  • Exploiter.MS05-039.a(W.32. トロイの木馬)
  • Rbot.CBQ#upx(ワーム)

[関連リンク]
ソニックウォール

[関連記事]
CNN、ABCなど米大手企業にワーム被害 (アイティメディア)
「従来の静的な防御技術は陳腐化した」、ソニックウォール (@ITNews)
「管理者の作業負担が激減」、ソニックウォールが新製品 (@ITNews)
1台でファイアウォール、無線LAN、VPNを実現、ジュニパー (@ITNews)
チェック・ポイントに聞く、内部セキュリティ対策が必要な訳 (@ITNews)

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)