Internet Watch logo
記事検索
最新ニュース
レゴ、小学生向けプログラミング教材「WeDo 2.0」発売
[2016/01/29]
マクロウイルスを知らない世代の社員が狙われる? 「Office文書を開いて感染」攻撃が再び増加
[2016/01/29]
新gTLD「.shop」、49億円でGMOが落札、AmazonやGoogleなどに競り勝つ
[2016/01/29]
Windows SQL Server 2005サポート終了の4月12日が迫る、報告済み脆弱性の深刻度も高く、早急な移行を
[2016/01/29]
インストール不要の非常駐型セキュリティソフト「Dr.Web CureIt!」、日本語版を無料で提供
[2016/01/29]
筆まめ、中小事業者向け顧客管理ソフト「筆まめ顧客管理 Windows版」発売
[2016/01/29]
大日本印刷が「サイバーナレッジアカデミー」設立、IAIの訓練システムでセキュリティ技術者を養成
[2016/01/29]
「インターネット白書2016」発売、20周年記念の特別版
[2016/01/29]
NEC、中小規模事業者向けセキュリティアプライアンス「Aterm SA3500G」を発売
[2016/01/29]
Synology、2ベイNASのハイエンドモデル「DS216+」、暗号化データも上下100MB/秒以上で高速転送
[2016/01/29]
公安9課が情報流出の危険性を解き明かす、「攻殻機動隊 S.A.C.」の描き下ろしPDFコミック「HUMAN-ERROR TRAPS」無償公開
[2016/01/29]
Google Playに「マンガストア」オープン、ジャンプコミックスも配信開始
[2016/01/28]
BIGLOBE、電力とインターネットのセットプラン、中部電力の首都圏エリア展開に合わせ
[2016/01/28]
ウェブブラウザーのプライベートブラウジング機能、認知していた人は23.1%
[2016/01/28]
LINE、違う電話番号のスマホから一方的にアカウント移管操作を行えないよう仕様変更
[2016/01/28]
LINEのiPhone版アプリがiPadにも対応、「LINE for iPad」より多機能、大画面で音声・ビデオ通話が可能に
[2016/01/28]
Microsoft、Officeと他社クラウドストレージとの連携を強化
[2016/01/28]
Googleのディープラーニングシステムによって、人工知能が初めて囲碁のプロ棋士に勝利
[2016/01/28]
ソラコム、IoTプラットフォーム「SORACOM」と既存システムを専用線でつなぐサービスや認証機能など提供開始
[2016/01/28]
Google「Chrome 48」iOS版ではクラッシュ率70%低下、JavaScript実行速度も大幅改善
[2016/01/28]

Sasserは企業よりも家庭ユーザーの感染が断然多い~シマンテック星澤氏

~亜種別感染数では「Sasser.B」が12,041件で最多

 シマンテックは6日、報道関係者向けの説明会を開催し、Symantec Security Responseマネージャ星澤裕二氏がゴールデンウィーク中に感染を拡げたウイルス「Sasser」に関しての説明を行なった。


ローカルIPアドレスを狙わないことが企業感染が少ない要因と考えられる

Symantec Security Responseマネージャ星澤裕二氏
 星澤氏は、まず6日18時時点でのSasserの感染数を報告した。まずオリジナルとなる「Sasser.A」の感染数は459件(国内2件)、「Sasser.B」は12,041件(同112件)、「Sasser.C」が172件(同5件)、最新の「Sasser.D」が81件(同0件)だった。この報告数は、同社製品利用者や企業ユーザーからの報告数を基にしたものであり、“感染者”の数ではない。

 この報告ではSasser.Bが圧倒的に感染を拡げており、ほとんどが企業ユーザーではなく、コンシューマユーザーからの報告だという。その要因として同氏は、「Sasserが感染後、自身の感染拡大を図る際に送信するIPアドレスから、ローカルIPアドレスを除外している点が大きい」と指摘している。ローカルIPアドレスを除外していることから、一般的にDHCPによりローカルIPアドレスを付与している企業内PCの感染例が少なく、グローバルIPアドレスが付与されていることの多い一般家庭ユーザーのPCが感染しているケースが多いのだと分析した。


Sasser.Bが感染拡大しているのは、「たまたま」の要因が強い

 また、現時点で存在する亜種4種類のうち「Sasser.B」が最も感染を拡げている要因については、「感染拡大の要因には、初期感染数などさまざまな要因が多いが、今回のケースでは“たまたま”だった可能性が高いのではないか」と推測した。

 また、Sasser.Aが感染時にアラートを表示し、1分後にアラートを表示する件に関しては「当社のラボで検証したところ、出ないケースも多かった。一様に出るとは言えない」とコメント。アラートが出なくても感染しているケースがあることから、「アラートが出ていないからと言って、安心してはいけないだろう」と警告した。


Sasserの世界における感染状況。「Sasser.B」が最も多く感染を拡げているのがわかる Sasserの国内における感染状況。海外と同様に「Sasser.B」の感染数が多いが、Blasterほどではない

Sasser.Cに感染するとCPU負荷が高くなり、ほとんど使用不可能な状態に

 次に、オリジナルの「Sasser.A」と亜種「Sasser.C」や「Sasser.D」の違いを説明。Sasser.Cの特徴として、スレッドを1,024個作成する点を挙げた。オリジナルは128個しか作成しないのと比較して、星澤氏は「通常のPCであれば、スレッドが1,024個も作成されたらCPU負荷が高くなり、ほとんど使用できない状態になるだろう」と推測している。

 また、Sasser.Dは、送信前にPCの起動確認のためにPingを送信する点と、ポートにTCP9995番ポートを利用する点が特徴だという。感染対象のPCが起動しているかどうかを確認するためにPingを送信するため、回線のトラフィック過多の状態となり、ネットワークが混雑するケースもあるという。また、オリジナルのTCP9996番ポートと異なるTCP9995番ポートを利用するのは、企業等のファイアウォールによるフィルタリングを避けるためだと解説した。


Sasser出現前後のTCP445番ポートのトラフィック推移。増加しているのがわかる Sasser感染数の時間推移。Blasterよりも、時間単位では多く感染していることがわかる

すでに発見されていたexploitコードを流用、もう1種類を悪用する可能性も

 また星澤氏は、Sasserがリモートシェルを起動するための攻撃コードに注目。「houseofdabus」という攻撃コードは、4月末に発見されたexploit(攻撃)コードを流用したものだと指摘した。

 6日現在、「MS04-011」に含まれる脆弱性のうち、「PCTの脆弱性」と「LSASSの脆弱性」を狙った2種類の攻撃コードが公開されているが、「なぜLSASSの脆弱性を狙った攻撃コードを流用したのか?」という点について同氏は、「恐らく、PCTの脆弱性よりもLSASSの脆弱性を狙った場合の方が対象が多いからだろう。流用する難しさはあまり変わらないのではないだろうか」とコメント。すでに公開されているもう1種類の攻撃コードを悪用したウイルスが出現する可能性も示唆した。

関連情報

URL
  シマンテック
  http://www.symantec.co.jp/

関連記事
ISS、Windows SSL脆弱性に対する攻撃を確認~Windows Updateを呼びかけ(2004/04/28)


( 大津 心 )
2004/05/06 19:44

- ページの先頭へ-

Internet Watch ホームページ
Copyright (c) 2004 Impress Corporation All rights reserved.