【マンスリーレポート2003/08】新種ワームBlasterが猛威をふるった8月

──────────────────────────────〔Info〕─
Scan Monthly Report　Best Worst
http://shop.vagabond.co.jp/p-sbw01.shtml

製品・サービス・業界動向業界動向

2003年9月26日（金） 12時00分

──────────────────────────────〔Info〕─
Scan Monthly Report　Best Worst
http://shop.vagabond.co.jp/p-sbw01.shtml

ネットワークセキュリティ・インシデント年鑑2003
http://shop.vagabond.co.jp/p-inc02.shtml
───────────────────────────────────

■ウイルス月次レポート

ランキング　ウイルス名　　　届出・被害件数
一位　　　　MS Blaster　　　　2,156件
二位　　　　Welchia　　　　　　　989件
三位　　　　WORM_Klez　　　　　806件
四位　　　　W32/Sobig　　　　　771件
五位　　　　WORM_Bugbear　　　445件

Trend Micro　　　　Symantec　　　　　　ＩＰＡ　　　　　　ソフォス
MS Blaster　　　　MS Blaster　　　　W32/Sobig　　　W32/Sobig
1624件　　　　　　　　217件　　　　　　　542件　　　　　　　37.6％
Welchia　　　　　　WORM_Bugbear　 WORM_Klez　　MS Blaster
789件　　　　　　　　 207件　　　　　　　409件　　　　　　　18.8％
TROJ_DYFUCA　 WORM_Klez　　　MS Blaster　　　 Welchia
283件　　　　　　　　200件　　　　　　　315件　　　　　　　 5.5％
WORM_Klez　　　　REDLOF.A　　　 WORM_Bugbear　　Mimail
197件　　　　　　　　177件　　　　　　　153件　　　　　　　5.3％
REDLOF.A　　　　　IRC Trojan　　　W32/Mimail　　　W32_Yaha
187件　　　　　　　　115件　　　　　　　107件　　　　　　　2.9％

>> ネットワーク感染ワームの登場で最速、最悪の被害に

　ウイルス情報系の各社が、2003年8月度のウイルス届出・被害状況を発表した。表は各社の結果をまとめたものである。トレンドマイクロ、シマンテックは「被害件数」、IPAは「届出件数」の数値である。ソフォスは件数ではなく被害報告全体に対する割合となっており、全世界での数値となっている。また、複数の亜種が存在する場合でも、ウイルスの名称ごとに件数や割合を合計している。

　8月度は、長期間にわたって届出・被害件数のトップに君臨していたKlezがようやく終息傾向を見せていたものの、過去最速の感染拡大速度を記録したBlasterの登場によって件数が大幅に増加した。8月16日に発見されたBlasterは急速に感染を広げ、8月19日までに発見された4種類の亜種の届出・被害件数の合計は3千件を超えた。

　Blasterは非常に感染力が強く、ネットワーク経由で感染することもあり最初の感染から5日間で500を超える企業、2,500近いPCが感染した。また、早いピッチで複数の亜種が登場し、Blaster.Dにも多くのPCが感染した。ネットワーク経由で感染するためトラフィックが増大したことも特徴だ。

　3位以下はKlez、Sobig、Bugbearが続いており、Klezは7月度よりわずかながら増加し、Bugbearは100件以上減少している。Sobigは新たな亜種が登場し、海外で被害を拡大したことを受けて500件以上も増加している。ただし、ほとんどが届出の件数であり、国内での感染被害は少なかったようだ。

>> Blasterが示唆する新しい感染拡大のスタイル

　Blasterはテレビをはじめ多くのメディアで取り上げられ、マイクロソフトによる積極的な対策キャンペーンも行われている。それだけ危険度の高いワームであったわけだが、その理由は感染方法と登場までのスパンの短さである。

　Blaster.AはMSBlast、Lovsan、Pozaの別名を持つワームで、メールなどの感染媒体を必要とせず、直接ネットワーク経由で感染を広げることが特徴だ。このワームはMicrosoft DCOM RPCインターフェースのバッファオーバーフロー脆弱性（MS03-026）を攻撃するもので、パッチがあてられていないと容易に感染してしまう。

　感染するとWindowsが強制終了されるようになるが、その裏で感染を拡大するためのパケットが送信される。ネットワーク上で感染PCと同様の脆弱性を持つPCが発見されると、リモート操作によってワームを送信し実行させる。このように感染を拡大し、結果としてネットワークトラフィックが著しく増大する。

　Blaster.DはMSBlast.D、Lovsan.D、Welchia、Nachiなどの別名を持つBlasterの亜種である。感染方法および拡大方法はBlaster.Aと同様だが、感染PCがBlaster.Aに感染している場合、これを駆除して消滅するという一件変わった動作を行う。ただし、ネットワークトラフィックを増大させることに変わりはなく、悪質であるといわざるを得ない。

　Windowsの脆弱性が公表されたのが7月17日であり、同28日には脆弱性を攻撃するコードが公開された。Blasterの登場はおよそ半月後と短いスパンであったことに注意したい。その後もマイクロソフトでは複数のセキュリティホールが公表されているため、これらを攻撃するワームの登場も時間問題と思われる。ネットワークによる直接攻撃という新たな手法も要注意だ。

【執筆：吉澤亨史】

（詳しくはScan Daily Expressをご覧ください）
http://shop.vagabond.co.jp/m-sdx01.shtml

──────────────────────────────〔Info〕─
トレンドマイクロ
http://www.trendmicro.co.jp/msblast/
ソフト入手方法（ダウンロード）
http://www.vector.co.jp/swreg/catalogue/vb2003/?srno=SR031494&site=vg
シマンテック
http://www.symantec.com/region/jp/sarcj/data/w/w32.blaster.worm.html
ソフト入手方法（ダウンロード）
http://www.vector.co.jp/swreg/catalogue/norton/2003/antivirus/?srno=SR036290&site=vg
───────────────────────────────────

《ScanNetSecurity》