ラスベガス発――オンラインハッカーたちがあるプログラムを使って、IRC(インターネット・リレーチャット)ネットワーク経由でWindowsサーバに侵入し、これを遠隔操作している、とシステム管理者らが2日(米国時間)に報告した。
この遠隔攻撃ツールは、Windowsコンピュータに最近見つかった脆弱性につけ込むものをはじめとする、複数のプログラムを組み合わせたもので、攻撃者のコマンドをIRCネットワーク経由で受け取り、そのコンピュータをスキャンし、Windowsの欠陥をついてこれに侵入する。
このワームが感染したサーバに残したファイルが、あるセキュリティ関連メーリングリストで公開された。コンピュータセキュリティ会社の米Symantecがこのファイルを分析したところ、当初ワームだと思われたこのファイルが、実は攻撃プログラムであることが判明した。
「我々が分析したところでは、これはワームではなさそうだ。感染を広めようとしている様子はない」とSymantecのセキュリティ対応チーム上級マネージャーOliver Friedrichsは述べている。Friedrichsは、ラスベガスで開かれたBlack Hat Briefings and DefCon会議に参加していた。
ネットワークにつながったコンピュータに次々と自動的に感染する能力は、コンピュータワームに顕著な特徴だ。Symantecが分析したプログラム類は、コンピュータに侵入するツールで、オートルータと呼ばれるもの。また、このツールはIRCネットワークの特定のチャンネルをリスニングして、攻撃者のコマンドをIRC経由で受け取る、IRCボットのような機能も持っている。
当初セキュリティ研究者らがワームだと考えたこのプログラムは、西海岸時間の2日午前10時、Full-Disclosureセキュリティメーリングリストに最初に投稿された。
このツールは、脆弱なシステムを見つけて攻撃する6個のファイルから構成されている。Windowsの欠陥が発表されて以来、多くのセキュリティ研究者らは、この欠陥を悪用するワームが作成されるだろうと予想していた。このIRCボットはワームほど危険ではなく、破壊力は弱い。
このIRCボットは米Microsoftが7月16日に公表した欠陥を利用してコンピュータに侵入する。
Windows のこの欠陥は、Distributed Componet Object Model(DCOM)インターフェイスのなかに ある。DCOMはOSの一部で、そのマシン上で何らかのアクションやサービスを行おうとする他のコンピュータからリクエストを受け付ける。Remote Procedure Call (RPC)として知られているそのオブジェクトは、ファイル共有などを可能としたり、そのコンピュータに接続されたプリンターを他のマシンから利用できるようにするもので、DCOMインターフェイスにむけて大量のデータを送りつけることで、攻撃者はそのマシンのどの部分へもアクセスできる権限を手にすることができてしまう。
この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」