MS-Blaster について SecuriTeam vs SCAN 編集部 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.09.20(水)

MS-Blaster について SecuriTeam vs SCAN 編集部

製品・サービス・業界動向 業界動向

>> 感染への対処では世界ワーストの日本 セキュリティ水準の低さが浮き彫り

SCAN:MS-Blaster の騒動はまだ続いていますが、いろいろな面で日本と諸外国の体制や動きの違いを浮き彫りにした騒動だったと思います。例えば、Dshield( http://www.dshield.org/ )の統計を見ると日本はいまだにポートへのアタックが増加傾向にあります。現在、世界でもっともポート135へのポートアタックの多い国になっています。

SecuriTeam:MS-Blaster は急速に感染を拡大しました。われわれのいるイスラエルでもそれは同じでした。世界中で 350,000 台のマシンに感染したと推定されています。それぞれの国の状況によって感染状況に差異があったようです。ブロードバンドが普及している国ではホームユーザへの感染が進んだと思います。イスラエルでもファイアウォールなしでブロードバンドを利用しているユーザはすぐに感染しました。
 非常に興味深いのは高い感染率にも関わらず、その感染が早い段階で食い止められたことです。およそ48時間程度で感染率は急速に下がりました。その理由としては、ISPがポート135を閉じたこと、新聞やコンピュータ関連WEBでパッチの適用を進める記事が掲載されたことなどがあげられます。

SCAN:日本ではワームの感染拡大から沈静化までの時間が非常に時間がかかったと思います。ワームの感染がはじまった12日頃と沈静化が進んだ17日を比べると、日本での対応の遅れが目立ちます。例えば韓国では17日のポートアタックの数は12日の約19%でした。これに対して日本では47%までしか下がっていませんでした。残念ながら日本のこれはセキュリティ水準の低さを物語っているとしか思えません。

SCAN:今回は感染の拡大の割りにはDDOSなどの影響があまりなかったようです。MS-Blaster はマイクロソフトのサイトをターゲットとしていました。マイクロソフトが、ねらわれたサイトを早々に閉じたこともよかったようですね。

SecuriTeam:ワームは単に windowsupdate.com のみにDDOSをしかけるようになっていました。マイクロソフト社は windowsupdate.com を閉じて windowsupdate.microsoft.com を代わりに使うことで攻撃を回避しました。
 ワームは、windowsupdate.com のポート 80 に SYN FLOOD を送ります。ワームは、GETHOSTBYNAMEによってそのホスト名のためのIPアドレスを決定します(オリジナルのコード・レッド・ワームにあったように、IPアドレスそのものは埋め込まれていません)。しかし、該当するホストがないため、攻撃を実行することができなかったのです。


>> 初動でつまづいていた日本 諸外国ではワーム登場1週間前に周知徹底

SCAN:実は今回の騒動で非常に気にかかるのは、初動捜査というか、初期の予防体制が不十分だったのではないかという点です。われわれの知る範囲では、わが国ではワームそのものの発生まで、ワームについての情報および情報に基づく予防措置はじゅうぶんとはいえませんでした。しかし、実際には、今回のワームはかなり以前からその存在が知られていたようですね。

SecuriTeam:われわれはワームが登場する1週間前に顧客に対して警告を発していました。そのようなワームが開発されたという情報が underground ですでに出回っていたからです。もちろん、われわれだけでなく、FBIをはじめとする米国機関も米国の企業に警告を発していました。実際にワームが登場する前に、そのための準備が整っていたわけです。

SCAN:日本では経済産業省が8月5日の段階でワームの登場を見越したような警告を発しています。Windows RPCの脆弱性をねらうワームが登場する可能性を指摘し、早急にパッチをあてるようにという指摘でした。

SecuriTeam:イスラエルや米国では、ワームが登場するまでに問題となる脆弱性への対処方法などを含めた情報が新聞やWEBサイトに数多く掲載されていました。そのためワーム登場後、スムーズにその対処が進んだと考えられます。


>> 体制がかわらない限り悪夢は何度でも起こる さらに凶悪なワーム Sobig.F

SCAN:ちなみに、アメリカでは12日を100%とした場合、17日は48%でした。ほぼ、日本と同じ水準の下がり方といえます。アメリカを模倣することを優先している現状の体制から考えれば、日本とアメリカが同水準というのはよくわかる結果です。しかし、編集部ではかねてから、アメリカのセキュリティ体制は重要インフラを優先し、個人や中小企業の優先度を低くしたものであるという指摘をしてきました。その結果、個人や中小企業は、CodeRed、Nimdaといった災厄に何度も襲われて来たわけです。
 日本も同じ施策を模倣する限りにおいて、同様の災厄に何度でも襲われる可能性が高いといえます。何度も繰り返すように重要インフラも個人も同じネットワークを共用している以上、一部のみを確実に守る方法はないと考えた方がよいでしょう。この変化の激しい時期において2年も前に掲載されたコラムがいまだに引できるのはさびしい限りです。

大量無差別攻撃に無防備なサイバーテロ対策 その1(2001.10.29)
by Prisoner Langley
https://www.netsecurity.ne.jp/article/7/3144.html
大量無差別攻撃に無防備なサイバーテロ対策 その2(2001.10.30)
by Prisoner Langley
https://www.netsecurity.ne.jp/article/7/3147.html

 すでに、次の災厄 Sobig.F があらわれています。


Scan Security Wire
http://www.vagabond.co.jp/c2/scan/ct.html
http://www.ascii-store.com/catalog.cgi?id=00050244
「Prisoner Langley the column vol.01」を発売(バガボンド)(2003.7.17)https://www.netsecurity.ne.jp/article/10/10589.html


《ScanNetSecurity》

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

製品・サービス・業界動向 カテゴリの人気記事 MONTHLY ランキング

  1. ルートゾーンKSKの情報更新など呼びかけ、期限は9月19日まで(総務省)

    ルートゾーンKSKの情報更新など呼びかけ、期限は9月19日まで(総務省)

  2. 「サイバーセキュリティ関連で最もクールな4つの職種」を発表(マカフィー)

    「サイバーセキュリティ関連で最もクールな4つの職種」を発表(マカフィー)

  3. 世界の大規模漏えい事故から、日本企業の「社外」にある情報資産を可視化(イード)

    世界の大規模漏えい事故から、日本企業の「社外」にある情報資産を可視化(イード)

  4. 顔認証システムの現状、顔写真を使った「なりすまし」も3Dデータ照合で防ぐ

  5. 自分の利用しているサーバの状況を確認する方法 不正中継確認

  6. アジア以外ではランサムウェアの検出数が前年の2倍に、脅威の進化も(チェック・ポイント)

  7. 「FFRI yarai」「CWAT」にサイバーセキュリティ保険を付帯(NTT-AT)

  8. サイバー攻撃対応の総合訓練・検証施設を開設、重要インフラ向けに訓練サービス(日立)

  9. スポットで利用できる成果報酬型の脆弱性発見サービスを開始(SHIFT SECURITY)

  10. ランサムウェア対策を強化した「秘文」2製品の最新版を発売(日立ソリューションズ)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×