米Symantecは6日、マイクロソフトが2008年10月に緊急パッチ「MS08-067」をリリースした脆弱性を悪用するワームの感染が拡大しているとして、注意を呼びかけた。
MS08-067は、WindowsのServerサービスに関する脆弱性の修正パッチ。この修正パッチを適用していない場合、ネットワークに接続しているだけでウイルスなどに感染する危険がある。マイクロソフトでは月例の修正パッチとは別に、2008年10月24日に修正パッチを緊急リリース。ユーザーに対して早急に修正パッチを適用するよう呼びかけている。
Symantecでは、この「MS08-067」の脆弱性を悪用するワーム「W32.Downadup」の分析から、ワームは疑似乱数による新たなドメイン名を毎日生成し、そのドメイン名を利用したサイトから別のウイルスなどをダウンロードするという動作を行うことを発見。このアルゴリズムを逆に利用することで、あらかじめ予測される攻撃用サイトのドメイン名をブラックリストとして登録しておくことが可能となったほか、攻撃者に先回りしてドメイン名を取得しておくことで、ワームに感染したPCからのアクセスを分析することに成功したという。
Symantecではこの試みにより、1週間で300万以上のIPアドレスからファイルをダウンロードしようとするアクセスがあったことを確認した。また、企業などではNATを利用していることや、すべての感染PCがこのドメイン名にアクセスしたとは限らないため、実際の感染PCはさらに多い可能性があるとしている。
また、サーバーへのアクセスからユーザーエージェントを分析した結果は、半数以上がWindows XP SP1またはサービスパック未適用のPC、次いでWindows XP SP2以上のPCが多数を占めており、Windows Vista/2000やWindows Server 2003などは少数にとどまっているという。
Symantecでは、12月30日にはこのワームの亜種「W32.Downadup.B」が発見されるなど、今後も脅威が続くとして、ユーザーに対して早急に「MS08-067」の修正パッチを適用することを推奨している。
関連情報
■URL
Symantec Security Response Blogの該当記事(英文)
https://forums.symantec.com/t5/blogs/blogarticlepage/blog-id/malicious_code/article-id/224
■関連記事
・ マイクロソフト、修正パッチ「MS08-067」を緊急リリース(2008/10/24)
・ 「MS08-067」突くマルウェア被害相次ぐ、Microsoftが注意喚起(2008/11/27)
・ 企業狙った「Blaster」を彷彿させる攻撃、「MS08-067」脆弱性で(2008/12/18)
・ 「MS08-067」攻撃の被害続く、トレンドマイクロが詳細分析(2008/12/25)
( 三柳英樹 )
2009/01/08 16:26
- ページの先頭へ-
|