【ワーム】

ワーム「Code Red」被害拡大~東京めたりっく・インターリンクなど被害続出~

■URL
http://www.jpcert.or.jp/at/2001/at010019.txt
http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS01-033

警告をするJPCERT/CCのホームページ
マイクロソフトの「CodeRed」警告ページ

 コンピュータ緊急対応センター(JPCERT/CC)はワーム「CodeRed」の変種登場に関する警告を開始した。「CodeRed」は「Sircum」などと並び今年7月に発見され被害が急増しているワーム。

 「CodeRed」はマイクロソフトのIISの脆弱性「MS01-033」を利用するワームで、7月に発見されて以来、IISサーバーを対象に猛烈な勢いで感染を広げている。8月2日頃から各地で被害情報が報告され、東京めたりっくやインターリンクなどプロバイダーでも不正アクセスによる通信障害が報告されている。

 CodeRedは各ベンダーにより数種類確認されており、感染日などによって種類を判別することが可能だ。基本的には感染すると日付でその行動パターンを変化させ、感染後7月中は一度感染後休眠状態に入り、8月1日より感染行動パターンに変化していく。感染に利用するのと同じIISの脆弱性を利用してサーバを遠隔操作をするプログラムも存在しているため、CodeRedとは別件で不正アクセスを受けていた可能性も考えられる。また新種のCodeRedは8月1日以降Webの改竄や特定のIPアドレスに対しDoS攻撃を行なう。対策としては、マイクロソフトが発行している対応セキュリティーパッチを導入することで、IISの脆弱性の修正および感染後の駆除対策などが行なえる。さらに、CodeRed「変種」の場合、完全にこのワームを駆除する為には、感染したサーバーのOSを再インストールするのが望ましい。また、再インストール時や新規に公開するサーバーの場合は、必ず先にパッチをあててから外部公開状態とする。そして万一のサーバー感染も踏まえて、LAN内の非公開のIISについても、予防措置としてパッチをあてるといった予防策も必要だ。

 このCodeRedはIISサーバーのみに感染するため、通常のクライアントユーザーは直接感染しない。しかし、SOHOなどでIISの独自サーバーを構築しているユーザーを中心に感染しており、大量のパケット通信などで各地で回線障害が発生している。東京めたりっくやインターリンクなどのプロバイダーでは、同社回線利用のサーバーがCodeRedに感染し、2日より大量のパケット通信を行なったため大規模な回線障害が発生していると報告している。これらのプロバイダー各社はIP制限やポート封鎖などの対策をとっているほか、現在は個人でIISサーバーを構築しているユーザーへセキュリティーパッチの導入をメールで送信するなどの対策も行なっている。

 現在、日本だけでも対象サーバーは数万台と報告されており、マイクロソフトは早急な対応をユーザーに呼びかけている。

●トレンドマイクロ「CodeRed」対策ページ

●シマンテック、さらに悪質なCodeRedワームの変種を警告

●SARC、CodeRed の変種について警告

●Network Associates、CodeRed の変種について警告

●IPA、「Code Red」情報を集め警告

●eEye Digital、IISを襲う新型ワーム「Code Red」を警告

●東京めたりっく障害報告ページ

●インターリンク障害報告ページ

◎関連記事
IPA、7月のウィルス届出状況を発表~「W32/Sircam」による感染報告が10日間で520件~
IPA、「W32/Sircam」ウィルスを危険度が高いとして警告
SirCamワームの猛威が衰えず、北米では「ILOVEYOU」の被害を上回る

(2001/8/6)

[Reported by otsu-j@impress.co.jp / watchers]


INTERNET Watchホームページ

INTERNET Watchグループinternet-watch-info@impress.co.jp