【セキュリティー】

修正プログラム未対応の場合、IEでの閲覧・メールのプレビューだけで感染する

「Nimda」の被害がさらに拡大の恐れ

■URL
http://www.trendmicro.co.jp/virusinfo/troj_nimda.htm

Trendmicroの「Nimda」解説ページ

 悪意あるJavaスクリプトやメール、共有ファイルという複数感染経路を持つ強力なワーム「W32/Nimda」が、さらに被害を広げている。現在、Trendmicro、McAfeeなどの各ベンダーのほか、IPA、CERT/CC、FBIのNIPSなど各セキュリティー関連団体から警告が出されている。Trendmicroによると、9月19日12時現在で18件の感染報告があり、今後の拡大が予想される。現在各社では、解析を進めている最中で、報告にはバラツキがあるが、いずれにしても甚大な被害が予測される。

 Trendmicroの発表した研究結果によると、「W32/Nimda」の感染経路として「メール感染」「Web感染」「ファイル感染」がある。「W32/Nimda」に感染し、悪意のあるjavaスクリプトを埋め込まれたWebサイトを閲覧した際に、修正プログラム「SP2」を導入していないIE4.0~5.5を利用し、尚且つ「readme.eml」(.wav形式も報告されている)ダウンロードすると感染する。ここで注意したいのは、IE5.0以降は感染したWebサイトを閲覧した際に「自動的」にワームをダウンロードしてしまうことだ。

 さらにここで問題となるのは、メーラー「Outlook Express」「Outlook」を使用し、尚且つIEのSP2をあてていない場合、「メールをプレビューしただけで感染する」ということだ。これは、html方式で送信されるワーム感染メールがMIMEの脆弱性を利用するためだ。上記以外のメーラーを使用している場合は、添付ファイルを実行しなければ、プレビューしただけでは感染しない。

 「W32/Nimda」に感染してしまったPCは、「メール送信」「IISへの侵入」「共有ファイル」を用いて感染拡大を試みる。まず自分のマシンのA~Zまでのドライブにワーム自身のコピーを作成し、更に「共有ドライブ」を探し出し感染を広げる。この際、自分のPCまたはネットワークを介したマシン内のHTMLファイルを探し出し、「悪意のあるjavaスクリプト」を埋め込む。これらのマシンがインターネット上に公開されていた場合は、そこから更に感染を広げていく。また、「W32/Nimda」は自分自身でSMTPサーバー機能を持ち合わせており、ワームに感染(「readme.exe」というファイル名)したファイルを添付し大量に送信を行なう。

 また感染してしまったPCは、ランダムなIPアドレスに対してWebサーバを検索し。SPが適用されていないIISサーバーを発見すると、「悪意のあるjavaスクリプトを埋め込む」作業を行う。これにより、また感染を広げることになる。

 今回のワームは、かつてない方法で感染を広げており、且つ悪質で狡猾なものといえる。SPを適用していないIISサーバーとSPを適用していないIEのどちらかを利用しているだけで感染の可能性がある。実際にMSNのページも改ざんされ「悪意のあるjavaスクリプト」を埋め込まれた。MSNでは、MSNのページを閲覧したユーザーに対して、対策することを薦めている。それ以外のユーザーに関しても、早急に各ウィルスソフトのウィルス定義ファイルを最新のものに更新するか、セキュリティーパッチをあてなければならない。

■各社が提供している「Nimda」情報URL
http://www.ipa.go.jp/security/topics/newvirus/nimda.html
http://help.msn.co.jp/notice.htm
http://www.cert.org/current/current_activity.html#port80
http://www.nipc.gov/warnings/advisories/2001/01-022.htm
http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS00-078

◎関連記事
音声ファイルになりすますメール送信ウィルス「Nimda」に注意
プライスロト、Webを改ざんされる~悪意あるJavaスクリプトにより被害者続出~
IPA、7月のウィルス届出状況を発表~「W32/Sircam」による感染報告が10日間で520件~

(2001/9/19)

[Reported by otsu-j@impress.co.jp / Watchers]


INTERNET Watchホームページ

INTERNET Watchグループinternet-watch-info@impress.co.jp