Blasterを超えたワーム「Sasser」 - 駆除ツール装うワームにも要注意

  [2004/05/06]

4月14日、マイクロソフトは月例のセキュリティ情報として「Microsoft Windows のセキュリティ修正プログラム (835732) (MS04-011)」を公開した。その9日後、MS04-011に含まれる「LSASSの脆弱性」と「PCT/SSLの脆弱性」の2つを攻撃するためのコードがインターネット上で発見された。それを悪用するウイルス・ワームの登場が予想されていたが、5月1日、LSASSの脆弱性を攻撃するワーム「Sasser」が登場した。矢継ぎ早に亜種が登場、非常に速い速度で拡散しており、現在なお、注意が必要とされている。

SasserはLSASSの脆弱性を悪用、Windowsのシステムディレクトリに自分自身を「avserve.exe」としてコピーする。ランダムに選択されたIPアドレスに対してパケットを送信して攻撃を仕掛け、感染を拡大していく。米国時間4月30日にオリジナルワームが発見され、同5月1日には亜種であるSasser.B、翌2日にはSasser.C、さらに3日にはSasser.Dがそれぞれ登場してきた。

爆発的に拡散したのはSasser.Bだ。オリジナルに比べ、コピーされるワーム名と書き込まれるレジストリの値が「avserve2.exe」になっているなど、細かい違いがある以外はほとんどオリジナルと同等のワームだが、シマンテックの集計によれば、全世界での感染・発見報告はオリジナルが少なかったにもかかわらず、Sasser.Bは報告が急増した。シマンテックのSecurity Responseマネージャ星澤裕二氏は、オリジナルではなく亜種のSasser.Bが感染を広げた理由について「偶然が重なった。たまたま」と見ているが、それでも登場後5日間では昨年のBlasterワームを大幅に上回る報告数を記録したそうだ。シマンテックによれば、5月6日18時(日本時間)現在、全世界でのSasser届出件数は、オリジナルが459件、Sasser.Bが12,041件、Sasser.Cが172件、Sasser.Dが81件だった。

全世界の感染・発見報告件数(左)。ピンク色の線がSasser.B、紫色のものがBlaster。右は同じく国内のもの。4日目以降急激にSasser.Bの件数が増えているのは、TVなど、報道の影響と見られている

Sasserに感染したマシンは、ランダムに生成したIPアドレスを持つマシンのTCPポート445番にSMBパケットを送信、リモートシェルを起動するためのコードを同じく445番に、さらに攻撃したマシンからFTPのGETリクエストを送信させるためのコマンドをTCPポート9996番に送りつける。

これを受けて攻撃されたマシンが、感染マシンに対しTCPポート5554番を用いてGETリクエストを送信、感染マシンはワームをコピーし、攻撃したマシンを感染させる。この後Sasserが活動を開始、さらに感染を広げていく、という仕組みだ。環境によってはLsass.exeプロセスがクラッシュし、システムがシャットダウンする場合もあるが、星澤氏によれば、これはワームのバグの可能性もあるという。

TCP445番ポートへのトラフィック(左)と、同ポートへの攻撃を行っているIPアドレス数(右)。いずれもシマンテック調べ

この結果起こりえる被害は、基本的にはトラフィックの急増と感染マシンの負荷増加などで、データの削除やシステムの破壊、DoS攻撃などといった致命的なダメージは起こらない模様だ。

またSasser自身の感染力が強く、「あらゆることを可能にしてしまう」Windowsの脆弱性を攻撃するため、今後破壊力の高い亜種が登場する危険性は残されている。同様に危険な脆弱性であるPCT/SSLの脆弱性を狙う攻撃コードも出回っており、現在はそれを利用したウイルス・ワームは発見されていないものの、こちらもなお危険性が高い。

さらに6日には、Sasserワームに便乗したと思われる「Netsky.AC」の登場も確認されている。これは「NetSky.AB」「Sasser.B」「Beagle.AB」「Mydoom.F」「MSBlast.B」という5つのウイルス名の駆除ツールを装ったウイルスで、差出人が「support@symantec.com」「support@nai.com」「support@norman.com」「support@sophos.com」のいずれかと、ウイルス対策ソフトベンダからのメールを詐称する形になっている。通常、ウイルス対策ソフトベンダはメールで駆除ツールを直接送信することは行っていないので、該当するメールが届いたユーザーはそのまま削除すればいい。

マイクロソフトの月例のセキュリティ情報が公開されると、それを狙う攻撃コードが登場、それを利用したウイルスが出現する、というパターンがあり、今回のSasserワームの登場も時間の問題と見られていた。国内では大型連休と重なったため、連休中に稼働していなかったマシンが、連休が明けて稼働、さらに感染を拡大する、という可能性もあり、なおも注意は必要だ。

感染してしまった場合は、ウイルス対策ソフトベンダ各社が提供する駆除ツールが利用できるほか、マイクロソフトもWindows 2000/XP用に駆除ツールを用意しているので、それらを活用するといいだろう。根本的な解決にはマイクロソフトが公開している修正パッチを適用することが必要で、今後の亜種や別の脆弱性を狙ったウイルスにも有効な対策なので、Windows Updateなどを利用してパッチを適用することをお勧めする。



IT製品 "比較/検討" 情報

転職ノウハウ

あなたが本領発揮できる仕事を診断
あなたの仕事適性診断

シゴト性格・弱点が20の質問でサクッと分かる!

「仕事辞めたい……」その理由は?
「仕事辞めたい……」その理由は?

71%の人が仕事を辞めたいと思った経験あり。その理由と対処法は?

3年後の年収どうなる? 年収予報
3年後の年収どうなる? 年収予報

今の年収は適正? 3年後は? あなたの年収をデータに基づき予報します。

激務な職場を辞めたいが、美女が邪魔して辞められない
激務な職場を辞めたいが、美女が邪魔して辞められない

美人上司と可愛い過ぎる後輩に挟まれるエンジニアの悩み

特別企画 PR

人気記事

一覧

イチオシ記事

新着記事

[林家たい平]「24時間テレビ」マラソンに挑戦へ 「笑点」で生発表
[17:54 5/29] エンタメ
[笑点]新メンバーに林家三平 妻にも極秘に「うちの佐智子も知りません」
[17:37 5/29] エンタメ
カネコアツシ「デスコ」4巻記念で、傘を差すカバーイラストがTシャツ化
[17:01 5/29] ホビー
[スタミュ]テレビアニメ第2期が17年春に放送
[17:00 5/29] ホビー
TVアニメ『スタミュ』、2017年春に第2期放送決定
[17:00 5/29] ホビー

特別企画 PR

求人情報