Windowsのサーバーサービスの脆弱性を突くワームが感染力を増し、企業や組織内のパソコンに感染を広げているとして、セキュリティベンダーや機関が注意を呼びかけている。
問題のワームは、マイクロソフトが昨年10月に緊急パッチをリリースした「MS08-067」を悪用するもので、11月下旬に発見され、Conficker(マイクロソフト/マカフィー)、Downadup(シマンテック)、DOWNAD(トレンドマイクロ)などと命名された。当初のConfickerは、感染パソコンをWebサーバにして自身をホスト。ファイル共有サービスなどを実行しているネットワーク内のパソコンに「MS08-067」の脆弱性を突く不正なRPC(Remote Procedure Call)リクエストを送り、シェルコードを実行させて自身をダウンロードさせるという拡散方法を採っていた。
12月下旬に発見された亜種は、新たに脆弱なパスワードを破る機能と、リムーバーブルメディアを悪用する機能が実装された。前者は、パスワードを破ってネットワーク内の他のパソコンに侵入。自身をコピーし、スケジューラーを使って自動実行するように細工する。後者は、感染パソコンに接続されたドライブに自身をコピーし、Windowsの自動実行機能(オートラン)を悪用するためのAutorun.infを作成。感染パソコンで使用したUSBメモリーなどを他のパソコンで使用すると、感染が広がるという仕掛けだ。
「MS08-067」の脆弱性は、一般家庭のパソコンでは悪用するためのポートが閉じていることが多いため、メールやWeb経由で感染したConfickerが、それ以上拡散する可能性は低かったのだが、新たな拡散機能の実装により、二次感染の拡大が急激に上昇。特にオートランの悪用は深刻で、USBメモリーを介して自宅のパソコンから会社のパソコン、さらには会社のネットワーク内の他のパソコンへと、Confickerが一気に拡散してしまう可能性がある。実際、今年に入ってUSBメモリー経由で持ち込まれたとみられるConfickerが、オフィス内で感染を広げる事例がいくつか上がっており、24日付の読売新聞などによると、警視庁のオンラインシステムもこのワームの被害を受けたという。
これまでのところ、Confickerはもっぱら感染活動に終始しているようで、情報漏えいやボット化といった悪質な活動は報告されていない。が、いつ豹変してもおかしくない状況にあり、「MS08-067」のパッチ適用、強いパスワードの設定、オートラン機能の無効化、最新の定義ファイルによるウイルス対策ソフトのリアルタイム検出といった対策を実施し、警戒に当たっていただきたい。
(2009/01/28 ネットセキュリティニュース)
■Conficker(Downadup)ワームに関するまとめ(MSRC Blog)
http://blogs.technet.com/jpsecurity/archive/2009/01/24/3191000.aspx
■系譜から探る深刻度が増した「WORM_DOWNAD」(Trend Micro Security Blog)
http://blog.trendmicro.co.jp/archives/2507
■企業ネットワークに広がるワームに関する警告(エフ・セキュア)
http://www.f-secure.co.jp/news/200901081/