現在地 HOME > 掲示板
> IT5 > 495.html
★阿修羅♪
|
現在地 HOME > 掲示板
> IT5 > 495.html
★阿修羅♪
|
|
| Tweet |
(回答先: “接続しているだけで感染する”Blasterタイプのウイルス「Sasser」発生 (impress Watch) 投稿者 シジミ 日時 2004 年 5 月 03 日 19:38:15)
「国内のSasser届け出数は少ないが油断は禁物,駆除ツールをかたるウイルスにも注意」――シマンテック【IT_Pro記事】
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20040506/143872/
「『Sasser』ワームについて,ワールドワイドの届け出数に比較すると国内ユーザーからの届け出数は少ない。しかし,だからといって被害が少ないとはいえないので注意してほしい」――。シマンテックのSymantec Security Response星澤裕二マネージャはプレス向けの説明会で強調した(写真)。併せて,Sasserの駆除ツールにみせかけた「Netsky」の変種についても注意を呼びかけた。
米Symantecに世界中から寄せられたSasserの発見届け出件数は,5月6日18時時点で,オリジナルのSasserが459件,Sasser.Bが112件,Sasser.Cが172件,Sasser.Dが81件である。「ワールドワイドでは,出現当初の報告件数はBlasterよりも多い。ただし,現在では減少傾向にある」(星澤氏)
一方,国内からの発見届け出数は,Sasserが2件,Sasser.Bが112件,Sasser.Cが5件,Sasser.Dが0件と少ない。「とはいえ,過去のウイルス/ワームについても,海外に比較すれば,国内からの報告件数は少ない。報告件数がそのまま被害状況を反映しているとは限らない。また,海外の状況と国内ではタイムラグがある場合がある。現時点での報告件数が少ないからといって,今後増えないという保証はない」(星澤氏)。油断は禁物である。今後も,Sasserを社内に持ち込まないように,ノート・パソコンなどを安易に社内ネットワークに接続してはいけない。
また,星澤氏は今後出現するであろう変種についても警告する。Sasserおよびその変種は,プライベート・アドレス(10.0.0.0〜10.255.255.255,172.16.0.0〜172.31.255.255,192.168.0.0〜192.168.255.255)を持つマシンには攻撃パケット(感染パケット)を送信しない。このため,各マシンにプライベート・アドレスを割り当てている企業ネットワークでは感染の心配はないと思われるかもしれないが,「まったく安心はできない。プライベート・アドレスを感染対象とする変種が出現する可能性は高い」(星澤氏)と注意を呼びかける。
さらに,Sasserに“便乗”したウイルスについても,星澤氏は注意を呼びかけた。Netskyの新たな変種「Netsky.AC」である。メールで感染を広げるNetsky.ACは,メールの内容を“工夫”して,添付されているNetsky.AC自身をSasserの駆除ツールに見せかける場合がある。
具体的には,メールの差出人(Fromヘッダー)を「support@symantec.com」「support@nai.com」「support@norman.com」「support@sophos.com」のいずれかにして,アンチウイルス・ベンダーからのメールに見せかける。そして本文には,「添付されているのは<特定のウイルス>を駆除するツールなので実行してください」と英文で書かれている。この<特定のウイルス>として,「NetSky.AB」「Sasser.B」「Beagle.AB」「Mydoom.F」「MSBlast.B」――のいずれかが指定される。
「シマンテックに限らず,いずれのベンダーもメールでツールなどを配布することはないので,このようなメールを受け取ったらウイルスだと考えてほしい」(星澤氏)。Netsky.ACについては,警察庁(@police)も注意を呼びかけている。
なお,今回の「Sasser」は,Windowsに見つかった「LSASS(Local Security Authority Subsystem Service)の脆弱性」を突く(関連記事)。星澤氏によると,この“LSASS”から“Sasser”と名付けられたという。
◎参考資料
◆W32.Netsky.AC@mm(シマンテック)
◆Netskyウイルスについて(警察庁)
(勝村 幸博=IT Pro)
題名には必ず「阿修羅さんへ」と記述してください。