【マンスリーレポート2003/08】新種ワームBlasterが猛威をふるった8月 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2018.09.21(金)

【マンスリーレポート2003/08】新種ワームBlasterが猛威をふるった8月

──────────────────────────────〔Info〕─ Scan Monthly Report Best Worst http://shop.vagabond.co.jp/p-sbw01.shtml

製品・サービス・業界動向 業界動向
──────────────────────────────〔Info〕─
Scan Monthly Report Best Worst
http://shop.vagabond.co.jp/p-sbw01.shtml

ネットワークセキュリティ・インシデント年鑑2003
http://shop.vagabond.co.jp/p-inc02.shtml
───────────────────────────────────


■ウイルス月次レポート

ランキング ウイルス名   届出・被害件数
一位    MS Blaster     2,156件
二位    Welchia       989件
三位    WORM_Klez     806件
四位    W32/Sobig      771件
五位    WORM_Bugbear   445件

Trend Micro    Symantec      IPA      ソフォス
MS Blaster    MS Blaster    W32/Sobig   W32/Sobig
1624件        217件       542件       37.6%
Welchia      WORM_Bugbear  WORM_Klez  MS Blaster
789件         207件       409件       18.8%
TROJ_DYFUCA  WORM_Klez   MS Blaster    Welchia
283件         200件       315件        5.5%
WORM_Klez    REDLOF.A    WORM_Bugbear  Mimail
197件         177件       153件        5.3%
REDLOF.A     IRC Trojan   W32/Mimail   W32_Yaha
187件         115件       107件        2.9%


>> ネットワーク感染ワームの登場で最速、最悪の被害に

 ウイルス情報系の各社が、2003年8月度のウイルス届出・被害状況を発表した。表は各社の結果をまとめたものである。トレンドマイクロ、シマンテックは「被害件数」、IPAは「届出件数」の数値である。ソフォスは件数ではなく被害報告全体に対する割合となっており、全世界での数値となっている。また、複数の亜種が存在する場合でも、ウイルスの名称ごとに件数や割合を合計している。

 8月度は、長期間にわたって届出・被害件数のトップに君臨していたKlezがようやく終息傾向を見せていたものの、過去最速の感染拡大速度を記録したBlasterの登場によって件数が大幅に増加した。8月16日に発見されたBlasterは急速に感染を広げ、8月19日までに発見された4種類の亜種の届出・被害件数の合計は3千件を超えた。

 Blasterは非常に感染力が強く、ネットワーク経由で感染することもあり最初の感染から5日間で500を超える企業、2,500近いPCが感染した。また、早いピッチで複数の亜種が登場し、Blaster.Dにも多くのPCが感染した。ネットワーク経由で感染するためトラフィックが増大したことも特徴だ。

 3位以下はKlez、Sobig、Bugbearが続いており、Klezは7月度よりわずかながら増加し、Bugbearは100件以上減少している。Sobigは新たな亜種が登場し、海外で被害を拡大したことを受けて500件以上も増加している。ただし、ほとんどが届出の件数であり、国内での感染被害は少なかったようだ。


>> Blasterが示唆する新しい感染拡大のスタイル

 Blasterはテレビをはじめ多くのメディアで取り上げられ、マイクロソフトによる積極的な対策キャンペーンも行われている。それだけ危険度の高いワームであったわけだが、その理由は感染方法と登場までのスパンの短さである。

 Blaster.AはMSBlast、Lovsan、Pozaの別名を持つワームで、メールなどの感染媒体を必要とせず、直接ネットワーク経由で感染を広げることが特徴だ。このワームはMicrosoft DCOM RPCインターフェースのバッファオーバーフロー脆弱性(MS03-026)を攻撃するもので、パッチがあてられていないと容易に感染してしまう。

 感染するとWindowsが強制終了されるようになるが、その裏で感染を拡大するためのパケットが送信される。ネットワーク上で感染PCと同様の脆弱性を持つPCが発見されると、リモート操作によってワームを送信し実行させる。このように感染を拡大し、結果としてネットワークトラフィックが著しく増大する。

 Blaster.DはMSBlast.D、Lovsan.D、Welchia、Nachiなどの別名を持つBlasterの亜種である。感染方法および拡大方法はBlaster.Aと同様だが、感染PCがBlaster.Aに感染している場合、これを駆除して消滅するという一件変わった動作を行う。ただし、ネットワークトラフィックを増大させることに変わりはなく、悪質であるといわざるを得ない。

 Windowsの脆弱性が公表されたのが7月17日であり、同28日には脆弱性を攻撃するコードが公開された。Blasterの登場はおよそ半月後と短いスパンであったことに注意したい。その後もマイクロソフトでは複数のセキュリティホールが公表されているため、これらを攻撃するワームの登場も時間問題と思われる。ネットワークによる直接攻撃という新たな手法も要注意だ。

【執筆:吉澤亨史】

(詳しくはScan Daily Expressをご覧ください)
http://shop.vagabond.co.jp/m-sdx01.shtml


──────────────────────────────〔Info〕─
トレンドマイクロ
http://www.trendmicro.co.jp/msblast/
ソフト入手方法(ダウンロード)
http://www.vector.co.jp/swreg/catalogue/vb2003/?srno=SR031494&site=vg
シマンテック
http://www.symantec.com/region/jp/sarcj/data/w/w32.blaster.worm.html
ソフト入手方法(ダウンロード)
http://www.vector.co.jp/swreg/catalogue/norton/2003/antivirus/?srno=SR036290&site=vg
───────────────────────────────────
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×