本頁作成日: 2004年5月2日
最終更新日: 2004年5月8日

the Incidents 5



 2004.05.02
 ■ GW 連休明けの職場の Windows マシンの起動にご注意 ■

Sasser (2004年4月30日 In the Wild)は、LSASS の脆弱性 (CAN-2003-0533)(※1) を悪用、
昨年夏の Blaster (※2) のように、コンピュータをインターネットに接続しただけで感染し、
他のコンピュータへ拡散(ばら撒き)させてしまう恐れがあります。

|2004.05.04 追記:
|この脆弱性の対策を含む修正プログラムは、日本時間の4月14日、
Microsoft Windows のセキュリティ修正プログラム (835732) という名前で、
|Windows Update など、Microsoft Web サイト上でリリースされました。

|何かの理由でこの修正プログラムを適用していなかった、
該当プラットフォームの、GW 連休期間中に休止していたマシンが、
|電子メールや、ウィルス対策ソフトの定義ファイル更新等のために
|インターネットに接続することで、(常時接続の場合はマシンの電源を
|入れただけで)このワームや、類似した攻撃の被害に遭う可能性があります。

|2004.05.08 追記:
|このお話の切っ掛けである、LSASS の脆弱性 (CAN-2003-0533) の詳細内容、
|今回のワームの感染・拡散メカニズム、また、感染してしまったシステムファイル/
|レジストリ等の修復方法などについては、当サイトでは解説しません。
|それについて責任ある立場の、ソフトウェアのベンダーである Microsoft 社、
|および、ワクチンベンダー等が出す情報でご確認ください。

|ベンダーのほか、独立行政法人 情報処理推進機構 セキュリティセンター (IPA/ISEC)
|でも、5月5日、「新種ワーム「W32/Sasser」に関する情報」として注意を呼びかけ、
|同時にワームの解析情報や、駆除・修復方法等を公表しています。




(インターネットに接続しただけで)感染の可能性がある条件

   ・ファイアウォールの保護下にない(ルータを介して接続していない)、
   ・セキュリティ修正プログラム (835732) の適用が未実施の、
   ・Windows 2000, Windows XP マシン



  ・リムーバブルメディア(CD-R、フロッピーディスク等)でワーム本体をコピーして
   システムに持ち込んだ場合の感染対象は、上記プラットフォームに限りません。
 




リンク先は当サイト外です。 Microsoft より(一例):

Microsoft.com/ Security/ Sasser ワームについてのお知らせ
http://www.microsoft.com/japan/security/incident/sasser.mspx


    2004.05.08 追記:
    Sasser は Blaster と違って、感染マシンがクラッシュしたり、突然再起動する
    といった怪しい挙動(自覚症状)を見せないことが、しばしばあるようです
    (怪しい挙動が見られなくても、感染マシンは他のコンピュータへの
     拡散プロセスをバックグラウンドで続けようとするので、必ず駆除が必要です)。    

    また、Sasser に感染した後でセキュリティ修正プログラムをインストールしても、
    Sasser の拡散プロセス自体は抑えられていないので意味がありません
    (Sasser を駆除した後、他のウィルス感染がないことを確認してから、
     セキュリティ修正プログラムをインストールする必要があります)。

    もし、ご自分のマシンが感染していないかどうか不安という場合は、
    Microsoft 社が公表する、下記 「Sasser ワームについてのお知らせ」 にある
    対策方法に従うことよって、Sasser 感染有無の確認ができるでしょう。
    また、最新のエンジン・定義ファイルに保ったウィルス対策ソフトの常駐が、
    (多少は後追いになっても)ワーム拡散プロセスの動作を監視してくれるでしょう。    





リンク先は当サイト外です。 ワクチンベンダー各社からの情報(一例):

F-Secure
Sasser
http://www.f-secure.co.jp/v-descs/v-descs3/sasser.htm

NAI
W32/Sasser.worm
http://www.nai.com/japan/security/virS.asp?v=W32/Sasser.worm

Sophos
W32/Sasser-A
http://www.sophos.com/virusinfo/analyses/w32sassera.html

Symantec
W32.Sasser.Worm
http://www.symantec.com/region/jp/sarcj/data/w/w32.sasser.worm.html

Trend Micro
WORM_SASSER.A
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.A


    ウィルスの命名規則は、ワクチンベンダーによって異なります。
    ウィルスの駆除(システムファイルやレジストリの修復)の際は、
    お使いのウィルス対策ソフトのベンダーが出す情報をご確認ください。    




2004.05.03
◆ すでに亜種が発生している模様です注:駆除方法等がオリジナルと異なります)。 ◆

F-Secure
Sasser.B
http://www.f-secure.com/v-descs/sasser_b.shtml

NAI
W32/Sasser.worm.b
http://www.nai.com/japan/security/virS.asp?v=W32/Sasser.worm.b

Sophos
W32/Sasser-B
http://www.sophos.com/virusinfo/analyses/w32sasserb.html

Symantec
W32.Sasser.B.Worm
http://www.symantec.com/region/jp/sarcj/data/w/w32.sasser.b.worm.html

Trend Micro
WORM_SASSER.B
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.B


2004.05.03 13:30
◆◆ また更なる亜種が発見された模様です。 ◆◆

F-Secure
Sasser.C
http://www.f-secure.com/v-descs/sasser_c.shtml

Symantec
W32.Sasser.C.Worm
http://securityresponse.symantec.com/avcenter/venc/data/w32.sasser.c.worm.html


当サイトは、いわゆる、ニュース速報のサイトではないため、
以降の Sasser 亜種情報の追跡は行いませんが、

1.Microsoft 社の一部のコンポーネントの脆弱性の悪用を
  試みるコードがインターネット上で公開されたことにより、
  「インターネットに接続しただけで感染するワーム」が、
  現在、発生・拡散しやすくなっている。

2.この脆弱性は、日本時間4月14日のセキュリティ修正プログラムにて
  対応されており(MS04-011 (835732) に含む)、これを適用していない
  コンピュータは特に要注意である。
  また、誰がしかのコンピュータへのオリジナルな感染が報告されてから後、
  少なくとも半日〜1日程度待たないと対応できないウィルス対策ソフト、
  いわゆるワクチンでは、『インターネットに接続しただけで』の今回のような
  リアルタイムで拡散するワームに対し、感染前の予防は期待できない。
  インターネットに接続するのを諦め、健全なコンピュータ等から
  セキュリティ修正プログラムを分けてもらい、対応する必要がある。

という状況だけ、お伝えしておきたいと思います。


ワーム亜種発生が著しい場合、ともすると、名前の接尾辞部分だけで
アルファベットのA〜Zをいとも簡単に使い切ってしまうことがありますが、
そういったワームの解析情報をコレクションするのが本来の目的ではありません。
亜種が発生しやすいということは、悪意ある第三者にとっては、
他人のコンピュータを安定して乗っ取れる手口が確立されたということであり、
私達エンドユーザは、これを悪用されないよう、脆弱性対策、啓発活動が急務
と思われます。



参考

MS03-026 (※3) の脆弱性等を悪用した Blaster は、発見(In the Wild)が昨年の8月11日でしたが、
日本では、それが丁度お盆の連休に重なったため、周知されていない多くのWindows ユーザが
連休明けに脆弱性対策未実施のままでマシンをインターネットに接続して感染・拡散させ、
それが全国で連鎖的に起こったため、結果、トラフィックを含めて大きな被害を齎しました。
今回の Sasser (およびその亜種)も、今まさにゴールデンウィークの連休中に発生・拡散しており、
これに似たような事態に陥る危険性があり、注意が必要です。


 

※印

リンク先は当サイト外です。 Microsoft.com/ Security より:

※1
Microsoft Windows のセキュリティ修正プログラム (835732) (MS04-011)
(LSASSの脆弱性 (CAN-2003-0533) の修正を含む)
http://www.microsoft.com/japan/security/bulletins/ms04-011e.mspx

MS04-011 に関連する悪用コードの情報
PCT/SSL および LSASS (Local Security Authority Subsystem Service)
の脆弱性の悪用を試みるコードに関するもの
http://www.microsoft.com/japan/security/incident/pctdisable.mspx

※2(参考):
『Blaster ワーム』 および関連する情報の一覧
http://www.microsoft.com/japan/technet/security/virus/blstlink.asp

※3(参考):
RPC インターフェイスのバッファ オーバーランによりコードが実行される (823980) (MS03-026)
http://www.microsoft.com/japan/security/bulletins/ms03-026e.mspx


その他、重要な更新情報一覧
http://www.microsoft.com/japan/security/bulletins/default.mspx


長期休暇の前に
セキュリティ対策のお願い
http://www.microsoft.com/japan/security/vacation.mspx





 ■ ご注意 ■

当サイトでの、上記のようなご紹介に速報性はありません。
また、注意するべきコンピュータウィルスは、今回の Sasser に限りません。
ご使用のコンピュータの OS や周辺コンポーネント等に纏わる脆弱性情報に
絶えず注目していく必要があります。



  リンク先は当サイト外です。 経済産業省/ 情報セキュリティに関する政策、緊急情報/
    コンピュータウイルス対策基準
    http://www.meti.go.jp/policy/netsecurity/CvirusCMG.htm

  リンク先は当サイト外です。 総務省/
    国民のための情報セキュリティサイト
    http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/

  リンク先は当サイト外です。 独立行政法人 情報処理推進機構 セキュリティセンター (IPA/ISEC)
  http://www.ipa.go.jp/security/

  リンク先は当サイト外です。 総務省・経済産業省 連携プロジェクト サイバークリーンセンター
  https://www.ccc.go.jp/

  リンク先は当サイト外です。 有限責任中間法人 JPCERT コーディネーションセンター (JPCERT/CC)         
  http://www.jpcert.or.jp/

  リンク先は当サイト外です。 JEITA 社団法人電子情報技術産業協会/
    パーソナルコンピュータ(PC)安全・安心
    http://home.jeita.or.jp/cgi-bin/page/detail.cgi?n=75&ca=14

  リンク先は当サイト外です。 日本コンピュータセキュリティリサーチ株式会社
  http://www.jcsa.jp/

  リンク先は当サイト外です。 株式会社ラック/
    注意喚起の記事
    https://www.lac.co.jp/lacwatch/alert/

  リンク先は当サイト外です。 エフセキュア株式会社/
    エフセキュアブログ
    http://blog.f-secure.jp/

  リンク先は当サイト外です。 フィッシング対策協議会 (Council of Anti-Phishing Japan)
  http://www.antiphishing.jp/

  リンク先は当サイト外です。 警視庁/ 警視庁について/
    こんなときこそ110番(通報したい時)
    http://www.keishicho.metro.tokyo.jp/jiken_jiko/110/110_110.html
    こんな時は、もう一つの110番(#9110: 悩みごと・相談ごと)
    http://www.keishicho.metro.tokyo.jp/jiken_jiko/110/110_9110.html


ベンダーのサイトなどで定期的な情報収集をされることを強くお勧めします。







目次へ戻る