Internet Watch logo
記事検索
最新ニュース

トレンドマイクロ、ウイルス「Blaster」に関するセミナー実施

Blasterはパッチを当てない利用者への警告だ~トレンドマイクロ岡本氏

トレンドマイクロ社アンチ・ウイルスセンターウイルスエキスパート岡本勝之氏
 トレンドマイクロは20日、ウイルス「Blaster」に関する最新動向を説明するための報道者向けセミナーを実施した。説明を行なったのは、同社アンチ・ウイルスセンターのウイルスエキスパート岡本勝之氏。

 岡本氏によると、Blasterは12日(米国時間11日)に米国で発生して以降、感染報告数は発生1日~3日目が1日200件程度で推移し、6日目にピークの250件程度に達したという。感染報告数は、以前流行したNimdaやBadtransと比較しても多いとのこと。

 また、Blasterがリモートシェルで利用するTCP/IPポート4444番は、通常企業においてはファイアウォールで閉じている場合が多いため、閉じている企業では感染が広がらなかったと発言している。一方、Blasterが攻撃を仕掛けるポート135番はネットワークアプリケーションなどで利用しているケースが多いため、ファイアウォールで対策することが難しかったという。

 マイクロソフトのWebサイト「windowsupdate.com」へのDoS攻撃に関しては、同社がDNS情報を変更したため回避できたが、Blasterのプログラムは「windowsupdate.com」へ攻撃できなかった場合、IPアドレス「255.255.255.255」へ攻撃するように作られている。IPアドレス「255.255.255.255」は存在しないIPアドレスのため、Blasterは架空の攻撃を仕掛けることとなり、PCに負荷が掛かって不具合が発生するケースがあったという。

 Blasterに感染すると「RPCサービスエラー」が表示され、再起動するケースがあるが、この症状がBlaster削除後も表われることが多く、対応に苦心したという。また、個人ユーザーでトレンドマイクロのパーソナルファイアウォールを利用しているユーザーに関しては、デフォルト設定でポート135番が閉じられているため、感染を防げたケースが多かったと報告した。

 18日に発生した「Blaster.D」も多くの感染報告が寄せられており、18日~19日の2日間にそれぞれ100件弱報告され、この数字はオリジナルBlasterより若干少ないもののほぼ同数だという。Blaster.Dは、PCの存在を確認するためPINGリクエストを送信するが、多数のPCがBlaster.Dに感染した場合、PINGリクエストが多数送信されて“PING攻撃”の状態となり、ネットワークトラフィックが混雑するケースが寄せられている。このような場合は、いったんネットワークから切断し、セグメント単位で復旧を図るのが有効だと岡本氏は説明した。

 最後に岡本氏は今後のウイルスの傾向として「ファイル共有以外のプロトコルを利用したネットワークウイルスの増加」「修正パッチ登場前に攻撃が始まるゼロデイアタックの増加」「DoS攻撃を日にちを置かずに行なうテロ兵器化」「ハッキング機能強化」の4点を挙げた。また、Blasterについては「パッチを当てていないユーザーに対する“警告的な意味合い”が強いウイルスだと考えている。『どうしてパッチを当てないんだ』というメッセージを感じる」とコメントした。


ウイルスに感染したPCの対処方法その1 感染した場合の対処方法その2。再起動やシャットダウンを繰り返す場合はこちらの方法が推奨される

岡本氏が予測する今後のウイルス動向

関連情報

URL
  トレンドマイクロ
  http://www.trendmicro.co.jp/

シマンテック、「Blaster.D」が社内ネットワーク混雑させていると警告(2003/08/20)
わざわざ修正パッチを当ててくれる“親切な”Blaster亜種が登場(2003/08/19)
シマンテック、「Blasterウイルス」セミナー実施、最新状況を報告(2003/08/18)
爆発的流行の兆し? Blasterウイルス対策マニュアル(2003/08/13)


( 大津 心 )
2003/08/20 18:26

- ページの先頭へ-

Internet Watch ホームページ
Copyright (c) 2003 Impress Corporation All rights reserved.