現在地 HOME > 掲示板 > IT6 > 119.html ★阿修羅♪ |
|
Tweet |
(回答先: ◎◎件名が「photos」のメールに注意,新種ウイルスが流行中【IT_Pro記事】お盆の休み明けに要注意 投稿者 クエスチョン 日時 2004 年 8 月 17 日 21:21:15)
◎あれから1年 Blaster騒動、緊迫の10日間を振り返る。(1/2)【IT_Media記事】
http://www.itmedia.co.jp/enterprise/articles/0408/12/news021.html
2004/08/12 11:30 更新
あれから1年が経過した。Blasterが蔓延したのはちょうど昨年の今日8月12日。ITmediaが伝えた記事からBlaster騒動緊迫の10日間を振り返ってみよう。
8月12日:Blaster拡散開始
Windows RPCの脆弱性狙ったワームが拡散を開始
国内でも蔓延し始めたMSBlast、注意すべきは「休暇明けのPC」
第一報は、早朝米国から入った。昨年7月中頃にマイクロソフトから発表されたWindows RPCの脆弱性を悪用するワームが拡散を始めたとの報だ。一部システム管理者からの情報を元に、ネットワークに入ってくるトラフィックの10%がBlasterによるものだと伝えている。
これをきっかけにして、同日中、国内でも蔓延の兆候をキャッチした。Blasterが利用するTCP135番ポートのトラフィックが国内でも増加を見せ、セキュリティ企業もいち早くアドバイザリを公開。迅速な対応を呼びかけた。
とはいうものの、専門家はRPCの脆弱性の実証コードが公開されていることから、Blasterの登場を警戒するよう事前に呼びかけていた。7月16日にリリースされたパッチ(MS03-026)の適用を完了していれば、この騒動に巻き込まれることはなかったはずだった。
しかし、現実は異なった。BlaseterはWindowsサーバだけでなく、Windows XPの持つ脆弱性も利用していた。お盆休暇の最中、専門家とは到底縁のない老若男女、そして企業を被害に巻き込み、テレビニュースなどでも大きく報じられることとなった。パッチ適用の問題については、この後、マイクロソフトにとって大きな問題へ波及する。
8月15日:亜種も出現
亜種も登場、広がるMSBlastの影
MSBlastに備える――エンドユーザーの、そして管理者の対策
世田谷区が所内のウイルス感染をうけ、住基ネット接続を停止
Blaster登場3日後というわずかな期間に、「.b」「.c」と2種類の亜種も確認された。世田谷区のPCが感染し、住基ネットへの接続試験を停止する措置をとっていたことも伝わり、徐々に被害の状況が明らかになり始めた。同時に、16日にセットされていたWindows UpdateへのDoS攻撃が翌日へと迫っていた。
8月16日:マイクロソフト、DoS攻撃回避
ひとまず回避されたMSBlastのDoS攻撃
ワーム対策でWindows Updateのアドレス変更
マイクロソフトはDoS攻撃を事前のDNS設定の変更により回避した。パッチ配布の主要手段である「Windows Update」に影響すれば、Blasterの収束はもっと遅かっただろう。これに対するマイクロソフトの動きは迅速で、Blaster発生の2日後の14日にはすばやくDNSの設定を変更していたようだ。
だがIPAは、午後1時時点でTCP135番ポートのトラフィックは減少していないことを理由に、感染活動は「収束に向かっているとは言えない」とコメント。予断を許さない状態が続く。
8月18日:沈静化へ
| 1 2 | 次のページ
[堀 哲也,ITmedia]
あれから1年 Blaster騒動、緊迫の10日間を振り返る (2/2)
http://www.itmedia.co.jp/enterprise/articles/0408/12/news021_2.html
2004/08/12 11:30 更新
前のページ | 1 2 |
8月18日:沈静化へ
沈静化へ向かうMSBlastがあぶりだしたユーザーのセキュリティ意識
「ネットの怪物」を生み出したのは作者ではなくユーザー
Windowsワーム感染拡大が物語る「パッチの限界」
“Blaster”はなぜ広がった?
全体的には沈静化の傾向が見えてきたようだ。それと同時に、本格的にBlaster被害の原因分析が始まる。シマンテックは、「セキュリティホールを修正するためのパッチを当てていなかったのがMSBlast拡大の一番の要因」と結論。だが、根本対策となるパッチの適用を徹底させること自体に限界があるとの意見が正直なところで、その後怒りの矛先はマイクロソフトのパッチ頻発へと向う。10月になってマイクロソフトはパッチリリースの定期化を決めた。その発端となったのがこの頃となるのかもしれない。
だが、お盆の休暇明けということもあり、持ち込みPCによる被害が企業に出始めたのは、この前後からだと推測させる。Excelを使ってパッチ管理をしているところも多く、状況の把握だけでも複数日を費やしたケースも耳にしている。
8月19日:Blaster取って食われる?
MSBlastを停止させパッチを当てる新ワーム
電子メール型ウイルスの終焉、そして……
MSBlast、Cisco製品にも影響
8月18日には、Nachiと呼ばれるワームが出現。このワームはBlasterを取って食う捕食機能を備えていた。Blasterのプロセスを停止させ、MS03-026のセキュリティパッチをダウンロードし適用しようとする。まさに本物のウイルスごとくの生態系だが、Nachiもワームであることにかかわりなく、セキュリティ企業は注意を呼びかけた。またシスコ製品にも影響するとの報も伝えられた。
8月20日:マイクロソフトが緊急措置、反省も
マイクロソフトとセキュリティベンダー、MSBlastワーム緊急対策用CDの無償配布を決定
周知徹底は周知されていなかった――MSBlastからベンダーが学んだこと
感染を広める新ワーム「Nachi」、日本語版Windowsでは脆弱性はそのまま放置
米海兵隊のイントラネットに“ナチ”が侵攻
マイクロソフトが同社の会議室に記者を集め、緊急対策の概要を説明。27日に緊急対策CD-ROMを無償で配布する計画を明らかにした。「一般コンシューマーへの告知はネットワークに依存したため、十分に機能しなかった」とは、マイクロソフトの反省の弁。ダイアルアップを利用するユーザーが多くWindows Updateが予想以上に機能していないことを認めざるを得なかった。
この頃、Blasterに便乗したNachiが牙をむいていた。
8月21日:Blasterより悪質か? Nachi
まだそこにある危機
MSBlastでCATVネット接続に障害相次ぐ
IEに「緊急」の脆弱性、累積パッチリリース
海外ではNachi被害が顕著に。だが、企業ではまだBlaster対応がひと段落という状況だっただろう。そんな中、追い討ちをかけるように、Internet Exploreに緊急の脆弱性が発表される。IT管理者は怒りと落胆が入り混じった心境になったに違いない。
8月22日:パッチ更新の自動化へ
Microsoft、セキュリティパッチの自動化を示唆
Blaster発生10日後、マイクロソフトがユーザーに依存したパッチ配布体制を見直す考えを示す。記事内には「多くのユーザーがこの警告を無視していたのは明らかで、この脆弱性を利用するBlasterワームはその数週間後に広がり始め、数十万台のコンピュータに感染した」との記述がある。だが、多くの一般ユーザーはこの警告を理解できていなかった可能性は高い。
マイクロソフトは、この後、Windows Updateとネットワークウイルスを防ぐパーソナルファイアウォール機能(ICF)のデフォルトオンに向けて動き出した。一年が経った今、そのひとつの結果であるWindows XP SP2が登場しはじめた。
企業においてもパッチ管理の重要性を痛いほど味わうこととなり、この1年でパッチ管理の自動化を検討/導入したところも多かったのではないだろうか。二度とこのような目に会わないためにも、Blaster教訓を一年経った今、再び思い出してもらえればと思う。
関連記事
特集:Windowsを危険にさらすRPCのセキュリティホール
特集:いま、ウイルス対策を再考する
松本市、かくBlasterと戦えり
現場の声はMSに届いたか? セキュリティパネルディスカッション
マイクロソフト、自虐的演出でセキュリティへの取り組みに決意
セキュリティチャンネル
エンタープライズTOP
前のページ | 1 2 |
[堀 哲也,ITmedia]