 |
 |
記事検索 |
最新ニュース |
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
トレンドマイクロ、ウイルス「Blaster」に関するセミナー実施 |
||||||||||||||||
|
||||||||||||||||
|
Blasterはパッチを当てない利用者への警告だ~トレンドマイクロ岡本氏
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
岡本氏によると、Blasterは12日(米国時間11日)に米国で発生して以降、感染報告数は発生1日~3日目が1日200件程度で推移し、6日目にピークの250件程度に達したという。感染報告数は、以前流行したNimdaやBadtransと比較しても多いとのこと。 また、Blasterがリモートシェルで利用するTCP/IPポート4444番は、通常企業においてはファイアウォールで閉じている場合が多いため、閉じている企業では感染が広がらなかったと発言している。一方、Blasterが攻撃を仕掛けるポート135番はネットワークアプリケーションなどで利用しているケースが多いため、ファイアウォールで対策することが難しかったという。 マイクロソフトのWebサイト「windowsupdate.com」へのDoS攻撃に関しては、同社がDNS情報を変更したため回避できたが、Blasterのプログラムは「windowsupdate.com」へ攻撃できなかった場合、IPアドレス「255.255.255.255」へ攻撃するように作られている。IPアドレス「255.255.255.255」は存在しないIPアドレスのため、Blasterは架空の攻撃を仕掛けることとなり、PCに負荷が掛かって不具合が発生するケースがあったという。 Blasterに感染すると「RPCサービスエラー」が表示され、再起動するケースがあるが、この症状がBlaster削除後も表われることが多く、対応に苦心したという。また、個人ユーザーでトレンドマイクロのパーソナルファイアウォールを利用しているユーザーに関しては、デフォルト設定でポート135番が閉じられているため、感染を防げたケースが多かったと報告した。 18日に発生した「Blaster.D」も多くの感染報告が寄せられており、18日~19日の2日間にそれぞれ100件弱報告され、この数字はオリジナルBlasterより若干少ないもののほぼ同数だという。Blaster.Dは、PCの存在を確認するためPINGリクエストを送信するが、多数のPCがBlaster.Dに感染した場合、PINGリクエストが多数送信されて“PING攻撃”の状態となり、ネットワークトラフィックが混雑するケースが寄せられている。このような場合は、いったんネットワークから切断し、セグメント単位で復旧を図るのが有効だと岡本氏は説明した。 最後に岡本氏は今後のウイルスの傾向として「ファイル共有以外のプロトコルを利用したネットワークウイルスの増加」「修正パッチ登場前に攻撃が始まるゼロデイアタックの増加」「DoS攻撃を日にちを置かずに行なうテロ兵器化」「ハッキング機能強化」の4点を挙げた。また、Blasterについては「パッチを当てていないユーザーに対する“警告的な意味合い”が強いウイルスだと考えている。『どうしてパッチを当てないんだ』というメッセージを感じる」とコメントした。
関連情報 ■URL トレンドマイクロ http://www.trendmicro.co.jp/ ・ シマンテック、「Blaster.D」が社内ネットワーク混雑させていると警告(2003/08/20) ・ わざわざ修正パッチを当ててくれる“親切な”Blaster亜種が登場(2003/08/19) ・ シマンテック、「Blasterウイルス」セミナー実施、最新状況を報告(2003/08/18) ・ 爆発的流行の兆し? Blasterウイルス対策マニュアル(2003/08/13)
( 大津 心 )
- ページの先頭へ-
|
