お使いのブラウザは最新版ではありません。最新のブラウザでご覧ください。

ネットに蔓延するMSBlastワームは、つぎはぎプログラム

2003/08/15 10:18
  • このエントリーをはてなブックマークに追加

 「フランケンシュタインのようなワーム」とでも呼べばいいのか。

 インターネットを襲う最新の脅威である「MSBlast」は、ネット上での蔓延というただ1つの目的のために、複数の小さなプログラムを集めてつくられたものだ。このフランケンシュタインのような接ぎはぎのコードの怪物は、広く利用されているファイルサーバと、大部分のWindowsに見つかった欠陥を悪用するプログラム、そしてコンピュータに侵入するよくある方法とを組み合わせて使用している。

 この組み合わせは目新しいものではないが、効力は充分だ。W32/Lovsan.wormやW32.MSBlasterなどとも呼ばれている同ワームが成功したのは、ワーム作成者がプログラミングに詳しいからではなく、インターネットに接続したコンピュータユーザの大部分が、いまだにセキュリティに関して無知だからだ。

 ほとんどの国では、自己増殖型コードをインターネットに流すことは法律で禁じられている。しかし、電子メールウイルスやワームの作者を見つけるのは非常に困難なため、法律を厳しくしても、個人がこうしたプログラムを流すことを思い留まらせる効果は期待できない。

 よくあるウイルスは、電子メールへの添付ファイルの形で広まり、メールを大量送信するが、インターネットワームはファイルに添付されることはなく、ユーザーが何もしなくても感染してしまうものだ。

 MSBlastワームは、セキュリティ研究者やハッカーがネット上で明らかにした脆弱性悪用プログラムと全く同じやり方で、20個のインターネットアドレスに同時に接続しようとする。この脆弱性悪用プログラムdcom.cは、他のコンピュータからWindowsシステムのコマンドを実行したり、サービスを利用したりするためのWindowsコンポーネントの脆弱性を利用している。このコンポーネントはWindowsで広く使用されているもので、Microsoftは7月16日(米国時間)にこの欠陥についての警告を出している。

 このコンポーネントはRPC(remote procedure call)プロセスと呼ばれ、他のコンピュータとのファイルやプリンタの共有を簡単に行なえるようにしているものだ。攻撃者は、RPCプロセスに大量のデータを送信することにより、システムへのフルアクセス権限を手に入れることができる。

 MSBlastは、ハッカーが自分でサーバを攻撃する場合と同様、TFTP(Trivial File Transfer Protocol)サーバと呼ばれるファイル共有プログラムをインストールして実行し、侵入したコンピュータ上でMSBlastコードをダウンロードする。しかしワームが被害者のコンピュータにファイルをダウンロードするやり方は、非常に効率が悪いとセキュリティの専門家は指摘している。

この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。

  • このエントリーをはてなブックマークに追加
個人情報保護方針
利用規約
訂正
広告について
運営会社