Internet Watch logo
記事検索
最新ニュース

Sasserは企業よりも家庭ユーザーの感染が断然多い~シマンテック星澤氏

~亜種別感染数では「Sasser.B」が12,041件で最多

 シマンテックは6日、報道関係者向けの説明会を開催し、Symantec Security Responseマネージャ星澤裕二氏がゴールデンウィーク中に感染を拡げたウイルス「Sasser」に関しての説明を行なった。


ローカルIPアドレスを狙わないことが企業感染が少ない要因と考えられる

Symantec Security Responseマネージャ星澤裕二氏
 星澤氏は、まず6日18時時点でのSasserの感染数を報告した。まずオリジナルとなる「Sasser.A」の感染数は459件(国内2件)、「Sasser.B」は12,041件(同112件)、「Sasser.C」が172件(同5件)、最新の「Sasser.D」が81件(同0件)だった。この報告数は、同社製品利用者や企業ユーザーからの報告数を基にしたものであり、“感染者”の数ではない。

 この報告ではSasser.Bが圧倒的に感染を拡げており、ほとんどが企業ユーザーではなく、コンシューマユーザーからの報告だという。その要因として同氏は、「Sasserが感染後、自身の感染拡大を図る際に送信するIPアドレスから、ローカルIPアドレスを除外している点が大きい」と指摘している。ローカルIPアドレスを除外していることから、一般的にDHCPによりローカルIPアドレスを付与している企業内PCの感染例が少なく、グローバルIPアドレスが付与されていることの多い一般家庭ユーザーのPCが感染しているケースが多いのだと分析した。


Sasser.Bが感染拡大しているのは、「たまたま」の要因が強い

 また、現時点で存在する亜種4種類のうち「Sasser.B」が最も感染を拡げている要因については、「感染拡大の要因には、初期感染数などさまざまな要因が多いが、今回のケースでは“たまたま”だった可能性が高いのではないか」と推測した。

 また、Sasser.Aが感染時にアラートを表示し、1分後にアラートを表示する件に関しては「当社のラボで検証したところ、出ないケースも多かった。一様に出るとは言えない」とコメント。アラートが出なくても感染しているケースがあることから、「アラートが出ていないからと言って、安心してはいけないだろう」と警告した。


Sasserの世界における感染状況。「Sasser.B」が最も多く感染を拡げているのがわかる Sasserの国内における感染状況。海外と同様に「Sasser.B」の感染数が多いが、Blasterほどではない

Sasser.Cに感染するとCPU負荷が高くなり、ほとんど使用不可能な状態に

 次に、オリジナルの「Sasser.A」と亜種「Sasser.C」や「Sasser.D」の違いを説明。Sasser.Cの特徴として、スレッドを1,024個作成する点を挙げた。オリジナルは128個しか作成しないのと比較して、星澤氏は「通常のPCであれば、スレッドが1,024個も作成されたらCPU負荷が高くなり、ほとんど使用できない状態になるだろう」と推測している。

 また、Sasser.Dは、送信前にPCの起動確認のためにPingを送信する点と、ポートにTCP9995番ポートを利用する点が特徴だという。感染対象のPCが起動しているかどうかを確認するためにPingを送信するため、回線のトラフィック過多の状態となり、ネットワークが混雑するケースもあるという。また、オリジナルのTCP9996番ポートと異なるTCP9995番ポートを利用するのは、企業等のファイアウォールによるフィルタリングを避けるためだと解説した。


Sasser出現前後のTCP445番ポートのトラフィック推移。増加しているのがわかる Sasser感染数の時間推移。Blasterよりも、時間単位では多く感染していることがわかる

すでに発見されていたexploitコードを流用、もう1種類を悪用する可能性も

 また星澤氏は、Sasserがリモートシェルを起動するための攻撃コードに注目。「houseofdabus」という攻撃コードは、4月末に発見されたexploit(攻撃)コードを流用したものだと指摘した。

 6日現在、「MS04-011」に含まれる脆弱性のうち、「PCTの脆弱性」と「LSASSの脆弱性」を狙った2種類の攻撃コードが公開されているが、「なぜLSASSの脆弱性を狙った攻撃コードを流用したのか?」という点について同氏は、「恐らく、PCTの脆弱性よりもLSASSの脆弱性を狙った場合の方が対象が多いからだろう。流用する難しさはあまり変わらないのではないだろうか」とコメント。すでに公開されているもう1種類の攻撃コードを悪用したウイルスが出現する可能性も示唆した。


関連情報

URL
  シマンテック
  http://www.symantec.co.jp/

関連記事
ISS、Windows SSL脆弱性に対する攻撃を確認~Windows Updateを呼びかけ(2004/04/28)


( 大津 心 )
2004/05/06 19:44

- ページの先頭へ-

Internet Watch ホームページ
Copyright (c) 2004 Impress Corporation All rights reserved.