現在地 HOME > 掲示板 > IT1 > 341.html ★阿修羅♪ |
|
最後の
> Microsoftはまた同日、MSBlastワームにまつわるデマメールが出回って
>いると警告を発した。メールの件名は「updated」で、MSBlast対抗パッチ
>の重要なアップデートだと偽って添付ファイルをクリックさせようとする
>が、クリックするとマシンにトロイの木馬が埋め込まれる。ウイルス対策
>企業のSophosはこのトロイの木馬を「Graybird」と呼んでいる。
は注意が必要、トロイの木馬を埋め込まれたのでは堪らない。デマメール
に注意しよう。
http://www.zdnet.co.jp/enterprise/0308/18/epn16.html
つかみづらいMSBlast感染台数、便乗デマメールも登場
米Akamai関係者の話では、MSBlastワームの感染ペースはほとんど変わっ
ていない。
米大手ネットワークサービスプロバイダー関係者が8月15日語ったとこ
ろによると、MSBlastワームによるネットワークトラフィックの3〜4割減
少を伝えた早期のデータは、必ずしもこのワームの感染ペース下落を意味
するものではないという。
Akamai Technologiesによれば、このワームの感染ペースは過去数日間、
ほとんど変わっていないようだ。同社セキュリティ担当者は、「多くのネ
ットワークオペレーターは(MSBlastが使うデータチャンネルの)ポート
135をフィルタリングし始めた。この結果、感染マシンの台数が減少して
いるように見えている」と説明する。
現実には、MSBlastワーム感染率はごくわずかしか減少していないと見
られる。Akamaiの推定では、11日に拡散を始めたMSBlastは30〜100万台の
マシンに感染を広げている。
このように推定感染台数にはかなりの幅がある。これは、こうした攻撃
の影響を測定する際には、常につきまとう問題だ。
米Symantecは大規模な侵入検知ネットワークを使って感染したPCとサー
バのインターネットアドレスを記録している。同社の15日時点の最新デー
タでは、11日朝以降、38万件のアドレスがMSBlastに感染した。
だがこのアドレス数は、必ずしもマシンの台数とは一致しない。ネット
ワーク上のすべてのコンピュータが1件のアドレスでまとめられ、そのネ
ットワーク上のコンピュータの多くが感染している可能性もあるからだ。
またこのアドレス数では、感染拡大が始まって以後、ワームが駆除された
マシンの台数は勘案していない。さらには、ダイヤルアップユーザーの大
半とブロードバンド利用者の一部は、プロバイダーに接続するたびに新た
なインターネットアドレスを受け取っており、数字だけ見ると、実際より
多くのマシンが感染しているようにも見える。
Symantecのデータでは、11日と12日を比べると、トラフィックが3割か
ら4割減少しているように見える。同社セキュリティ対策エンジニアリン
グ担当者は、インターネットサービスプロバイダーがフィルタリングを実
施している場合があると認めた上で、「問題は(フィルタリングが)どれ
だけ続くかだ。これにはCPU時間と帯域幅の面でかなりのコストがかかる」
と語った。
15日発表のデータによると、Microsoftは深刻なサービス拒否(DoS)攻
撃をかろうじて回避している。このワームはWindows Updateサイトに大量
のデータを送り込むよう設計されているが、同社はこのワームが狙うアド
レスを削除した。
Microsoftはまた同日、MSBlastワームにまつわるデマメールが出回って
いると警告を発した。メールの件名は「updated」で、MSBlast対抗パッチ
の重要なアップデートだと偽って添付ファイルをクリックさせようとする
が、クリックするとマシンにトロイの木馬が埋め込まれる。ウイルス対策
企業のSophosはこのトロイの木馬を「Graybird」と呼んでいる。