PR

 心配されていた,BlasterのDoS(サービス妨害)攻撃によるトラフィックの急増は現時点では確認されていない(関連記事)。ひとえに,関係者の尽力のおかげのようだ。しかし,安心はできない。次に心配なのは,夏期休暇明けの8月18日である。ワームに感染したノート・パソコンなどの接続により,LAN中に感染が広がる恐れがある。システム管理者あるいは各部署の担当者は,ユーザーがノート・パソコンなどをLANに接続する前に,あるいはデスクトップ・パソコンの電源を入れる前に,注意を呼びかけてほしい。

 注意を呼びかける方法については,ラックが公開する情報「システム管理者向けBlasterワーム盆休み明け対策ガイドライン」などが参考になる。経済産業省も同様の注意を呼びかけている。LANにまん延してからでは遅いのだ。

 ファイアウオールなどでLANとインターネットの境界を守っていても,内部からまん延するワーム(ウイルス)は防げない。「ファイアウオールで守られているから大丈夫」と勝手に思い込んで対策を施していないユーザーのマシンすべてが“犠牲”となる。2001年9月に出現した「Nimda」をはじめとする過去のワーム(ウイルス)が,このことを証明している。

 特に,8月18日は多くの企業(組織)において夏期休暇明けの初めての出社となるので,自宅に持ち帰って使用していたノート・パソコンをLANに接続するケースが多いと考えられる。このノート・パソコンにBlasterが感染していると,LANに接続して起動した瞬間,未対策のマシンに感染が広がることになる。

 LANに接続されているデスクトップ・パソコンも同様だ。未対策の場合には,別のマシンから感染させられる恐れがある。また,既に感染している可能性もある。BlasterはWindowsの起動とともに実行されるので,電源を入れた瞬間,そのパソコンから感染が広がる恐れがある。

 休暇明けの“悲劇”を防ぐには,各ユーザーがパソコンの電源を入れたり,パソコンをLANにつないだりする前に,「Blasterが世間にまん延していること」「Blasterに感染していないこと,および対策を施していることを確認しなければLANに接続してはいけないこと」――を周知徹底させる必要がある。特に,無線LANに注意したい。ユーザーが知らないうちに接続してしまう可能性がある。ラックでは,アクセス・ポイントを停止しておくなどの配慮をするよう勧めている。

 もちろん,メールやイントラネットの掲示板で告知しても意味はない。ラックでは,「目立つところに,注意事項を記述した書面を掲示する」「口頭で注意を呼びかける」――ことを勧めている。

 Blasterに感染しているかどうかは,Windowsの「タスクマネージャ」から調べられる。まず,LANに接続していない状態(現在接続されているマシンは,ネットワーク・ケーブルを抜く)で,マシンを起動する。起動したら,「Ctrl」「Alt」「Delete」キーを同時に押すなどして,「タスクマネージャ」を立ち上げる。そして,「プロセス」タブをクリックする。表示されるプロセス一覧に「msblast.exe」というプロセス(イメージ名)があれば,そのマシンはBlasterに感染している(「イメージ名」ボタンをクリックすると,イメージ名がアルファベット順に表示されるので探しやすい)。

 なお,イメージ名が「teekids.exe」や「penis32.exe」といった変種が確認されている。これらはオリジナルほど感染を広げていないようだが,これらについてもプロセス一覧に存在しないかどうか確認したほうがよいだろう。

 感染している場合には,「タスクマネージャ」から「msblast.exe」を終了すれば,現在動作しているBlasterを終了できる。ただし,これだけでは駆除したことにはならない。マシンにコピーされているBlasterを削除したり,レジストリを元に戻したりする必要がある。各ベンダーが公開する駆除ツールを使えば,Blastarを削除できると同時に,Blasterが変更したレジストリなどを元の状態に戻せる。ラックが公開するツールは,感染の確認と駆除,および対応(パッチの適用)が可能だ。同ツールは,マイクロソフトのサイトからもダウンロードできる。

 より詳しい確認方法や感染している場合の駆除方法については,マイクロソフトが公開している情報やラックが公開している情報および記事末の「参考資料」に記したサイトの情報,「関連記事」などを参考にしていただきたい。

 なお,現在LANに接続しようとしているマシンがBlasterに感染していないことを確認できたからといって安心はできない。Blasterと同じセキュリティ・ホールを悪用する新種ワームは既に出現している。そのソース・コードが公開されているワームもある。これらが感染を拡大する前に,すべてのマシンにパッチを適用されていることを確認する必要がある。繰り返しになるが,ワームはどこからでも入り込む。ファイアウオールで守るだけでは不十分なのだ。それぞれのマシンにおいて対策を施さなければならないのである。

 マイクロソフトは,Blasterが悪用するセキュリティ・ホールがネットワーク上のマシンに存在するかどうかをリモートからチェックできるツールを公開している。ぜひ活用したい。ツールは英語版だが,日本語環境でも利用できる(ただし,ホスト名などに日本語は使えない)。米eEye Digital Securityや米Internet Security Systems(ISS)もチェック・ツールを公開している(関連記事)。

 管理者は,これらのツールを利用するなどして,8月18日の就業前に,その時点でLANに接続されているマシンにセキュリティ・ホールがないかどうかも調べておきたい。

 管理者や担当者は,以上の事前対策のために,休日出勤や早朝出勤を余儀なくされるだろう。そのため,不満を覚える方は少なくないだろう。しかし,感染マシンをLANに接続されてしまうと“おしまい”なのである。一度LAN内に感染が拡大すると,復旧するのは大仕事となる。DoS攻撃によるトラフィック異常の恐れが少なくなった現在,関係者が危ぐしているのは,8月18日の就業時の感染拡大である。管理者や担当者は,企業(組織)およびユーザーのために,一肌脱いでいただきたい。

◎参考文献
【休暇明けの対策】
「システム管理者向け Blaster ワーム 盆休み明け対策ガイドライン」(ラック)
「マイクロソフトWindowsの脆弱性を狙ったワームの発生に関する注意喚起について(その2)~18日月曜日の朝に要注意~」(経済産業省)

【ワームの感染確認および駆除方法】
「Blaster に関する情報」(マイクロソフト)
「Blaster ワームへの対策 - Windows XP 編」(マイクロソフト)
「Blaster ワームへの対策 - Windows 2000/Windows NT 4.0 編」(マイクロソフト)
「Blaster ワームに感染した場合の対策について」(マイクロソフト)
「JSOC 緊急レポート(Blaster または Lovsan ワーム)」(ラック)
「エムエスブラスト対策ページ」(トレンドマイクロ)
「W32.Blaster.Worm」(シマンテック)
「W32/Lovsan.worm」(日本ネットワークアソシエイツ)

【ワームの駆除ツール】
「Blaster ワーム 対策ツール」(ラック)
「Blaster ワーム 対策ツール」(マイクロソフト。ラックのツールを期間限定で公開している)
「W32.Blaster.Worm 駆除ツール」(シマンテック)
「トレンドマイクロ システム クリーナ ver. 3.0(TSC)」(トレンドマイクロ)
「AVERTウイルス駆除ツール」(日本ネットワークアソシエイツ)

【Blasterが悪用するセキュリティ・ホールの検査ツール】
「KB 823980 Scanning Tool を使用して,セキュリティ修正プログラム 823980 (MS03-026) がインストールされていないホスト コンピュータを特定する方法」(マイクロソフト)
「Retina RPC DCOM Vulnerability Scanner from eEye Digital Security」(米eEye Digital Security)
「Scanms - MS03-026 RPC Vulnerability Scanner」(米Internet Security Systems)

【国内におけるBlasterの感染状況など】
「マイクロソフトWindowsの脆弱性を狙ったワームの発生に関する状況について」(経済産業省)
「『W32/MSBlaster』ワームに関する情報(IPA/ISEC)

(勝村 幸博=IT Pro)