Internet Watch logo
記事検索
最新ニュース
レゴ、小学生向けプログラミング教材「WeDo 2.0」発売
[2016/01/29]
マクロウイルスを知らない世代の社員が狙われる? 「Office文書を開いて感染」攻撃が再び増加
[2016/01/29]
新gTLD「.shop」、49億円でGMOが落札、AmazonやGoogleなどに競り勝つ
[2016/01/29]
Windows SQL Server 2005サポート終了の4月12日が迫る、報告済み脆弱性の深刻度も高く、早急な移行を
[2016/01/29]
インストール不要の非常駐型セキュリティソフト「Dr.Web CureIt!」、日本語版を無料で提供
[2016/01/29]
筆まめ、中小事業者向け顧客管理ソフト「筆まめ顧客管理 Windows版」発売
[2016/01/29]
大日本印刷が「サイバーナレッジアカデミー」設立、IAIの訓練システムでセキュリティ技術者を養成
[2016/01/29]
「インターネット白書2016」発売、20周年記念の特別版
[2016/01/29]
NEC、中小規模事業者向けセキュリティアプライアンス「Aterm SA3500G」を発売
[2016/01/29]
Synology、2ベイNASのハイエンドモデル「DS216+」、暗号化データも上下100MB/秒以上で高速転送
[2016/01/29]
公安9課が情報流出の危険性を解き明かす、「攻殻機動隊 S.A.C.」の描き下ろしPDFコミック「HUMAN-ERROR TRAPS」無償公開
[2016/01/29]
Google Playに「マンガストア」オープン、ジャンプコミックスも配信開始
[2016/01/28]
BIGLOBE、電力とインターネットのセットプラン、中部電力の首都圏エリア展開に合わせ
[2016/01/28]
ウェブブラウザーのプライベートブラウジング機能、認知していた人は23.1%
[2016/01/28]
LINE、違う電話番号のスマホから一方的にアカウント移管操作を行えないよう仕様変更
[2016/01/28]
LINEのiPhone版アプリがiPadにも対応、「LINE for iPad」より多機能、大画面で音声・ビデオ通話が可能に
[2016/01/28]
Microsoft、Officeと他社クラウドストレージとの連携を強化
[2016/01/28]
Googleのディープラーニングシステムによって、人工知能が初めて囲碁のプロ棋士に勝利
[2016/01/28]
ソラコム、IoTプラットフォーム「SORACOM」と既存システムを専用線でつなぐサービスや認証機能など提供開始
[2016/01/28]
Google「Chrome 48」iOS版ではクラッシュ率70%低下、JavaScript実行速度も大幅改善
[2016/01/28]

「MS08-067」攻撃の被害続く、トレンドマイクロが詳細分析


12月23日時点の「WORM_DOWNAD.A」感染状況(トレンドマイクロ公式ブログより転載)
 トレンドマイクロは24日、「MS08-067」の脆弱性を悪用するネットワーク型ウイルス「WORM_DOWNAD」の感染被害が広まっているとして注意喚起した。「WORM_DOWNAD」は、11月21日にスペインのセキュリティ組織により検体が報告された。日本国内では11月25日に初めて報告を受け、現在も局地的に大規模感染が報告されているという。

 「MS08-067」は、WindowsのServerサービスの脆弱性。特別な細工をした通信パケットをWindowsマシンに送られることで、任意のコードを実行させられる危険がある。10月中旬にマイクロソフトが限定的な攻撃を確認したため、11月の月例パッチを待たずに、10月24日に緊急の修正パッチをリリースしている。

 トレンドマイクロによれば、「WORM_DOWNAD」については、脆弱性が未修正の一部のPCで予期せぬ再起動が繰り返されるほか、正規プロセス(svchost.exe -k netsvcs)により起動されたサービスが一斉に停止したり、意図せぬTCP 445番ポートへの通信によって帯域が圧迫されるなどの報告が寄せられているという。また、攻撃者の意図通り攻撃が成立した場合は、表層的な症状が現れない場合もあるとしている。

 初期の感染経路としては、他のウイルスと同様に、スパムメールの添付ファイル、悪意のあるWebサイト、利用者自身の手によるインストールなどの可能性が高いという。また、感染したPCをHTTP(Web)サーバーとすることで、ネットワークを介してさらに感染を拡大させる2種類のワーム活動が特徴であるとしている。

 1つ目のワーム活動としては、「Windows Server Service RPC」の脆弱性を突いた侵入だ。具体的には、細工されたRPCリクエストが感染対象となるPCのTCP 445番ポートへ送信されることで、「WORM_DOWNAD」が侵入。対象PCが「MS08-067」の脆弱性を修正していない場合、ペイロード(発病機能)が発症してシェルコード(悪意ある行為を行うコード)が動作するという。

 なお、「WORM_DOWNAD」は、感染対象となるPCを探索するために、攻撃元となるPCのネットワークアドレスを起点として、自らのIPアドレスに対して数値を1つずつ加算。算出されたIPアドレスに対して、攻撃を仕掛けることが特定されているという。


「WORM_DOWNAD.A」による「Windows Server Service RPC」の脆弱性を衝いた侵入(トレンドマイクロ公式ブログより転載)

 2つ目のワーム活動については、シェルコードの起動により行われる。シェルコードの起動により、感染したPCがHTTPサーバーとなるとともに、感染源である攻撃元のPCに対してHTTPリクエストを発行。一方、攻撃元は感染したPCからのHTTPリクエストに対して、「WORM_DOWNAD.A」のコピーであるDLLファイル「x」を送信する。

 なお、HTTPレスポンス返答時のヘッダは、「Content-Type:image/jpeg」と指定されていると指摘。この点についてトレンドマイクロは、「実行ファイルの通信をコンテンツフィルタリング製品によって禁じられている環境に対する回避策」と推測している。


シェルコード起動により感染対象コンピュータをHTTPサーバ変換(トレンドマイクロ公式ブログより転載)

 「WORM_DOWNAD」のワーム活動についてトレンドマイクロは、「閉じられたネットワークのみならず、正規のインターネットサービスを悪用している」と説明。具体的にはまず、感染したPCが自身のIPアドレスを参照できるサイトへアクセスしてIPアドレスを入手。次いで、検索サイトにアクセスして入手した日時情報をもとにホスト名を決定し、感染したPCをHTTPサーバーとして機能させている。IPアドレスと日時情報を取得したサイトは、いずれも正規サイトだという。

 トレンドマイクロでは、「WORM_DOWNAD」にはワーム活動のほかにも、不正なWebサイトを介して新たな脅威を呼び込もうとするダウンローダー機能が組み込まれていると説明。攻撃者は不正なWebサイトに様々なウイルスを仕掛けることで、さらなる攻撃を計画していた可能性も考えられるとしている。

 「MS08-067」を悪用する攻撃の対策についてトレンドマイクロでは、セキュリティ更新プログラムの適用を呼びかけている。今回悪用されている「MS08-067」だけでなく、導入している機器やソフトウェアについても、セキュリティ更新プログラムが公開されていないかどうかを確認することが重要だとしている。


「WORM_DOWNAD」が正規インターネットサービスを悪用するイメージ(トレンドマイクロ公式ブログより転載)
関連情報

URL
  Trend Micro Security Blogの該当記事
  http://blog.trendmicro.co.jp/archives/2383

関連記事
「MS08-067」攻撃を直感的に、トレンドマイクロが攻撃ツール確認(2008/11/07)
企業狙った「Blaster」を彷彿させる攻撃、「MS08-067」脆弱性で(2008/12/18)


( 増田 覚 )
2008/12/25 18:15

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2008 Impress Watch Corporation, an Impress Group company. All rights reserved.