Wittyワーム、広まる--感染から30秒でサーバをクラッシュ

　ある企業のセキュリティソフトウェアに見つかった欠陥を悪用するワームが、先週末に数万台ものサーバに急速に感染し、これらのコンピュータをクラッシュさせている。

　「Witty」と名付けられたこのワームは17日（米国時間）に見つかったもので、Internet Security Systems（ISS）製のソフトウェアの欠陥を悪用している。Wittyは、急速に蔓延したSlammerワームと同様の方法で感染を拡大しており、1時間以内に2万台以上のコンピュータに感染した。Wittyは感染したコンピュータのデータを上書きするため、すぐにシステムをクラッシュさせると、Internet Storm Centerの最高技術責任者（CTO）、Johannes Ullrichは述べている。

　「感染したマシンは最終的にクラッシュするため、（このワームは）非常に急速に減少した」とUllrichは述べ、このワームに感染したコンピュータは3万台近くに上り、ほとんどが感染後30分以内にファイル破壊によりクラッシュしたとの見積もりを明らかにした。

　このワームは、BlackICEやRealSecureソフトウェアなどのISSのファイアウォール製品および同社のProventiaネットワーク機器に見つかったセキュリティホールから、システムに侵入する。

　ISSでは、このワームの影響を受けるのは、同社の顧客全体の約2％程度に留まると見積もっている。同社のメンテナンスサービスの契約者には、ワームが出現する1週間前にアップデートが届いていると、ISSは同社ウェブサイトに記している。

　「我々は（ワーム感染に関して）独自の調査を行なっているが、最新の調べでは、（ワームに感染したと見られる）インターネットアドレスは1万2000だった」とISSの脆弱性研究・開発グループディレクター、Dan Ingevaldsonは述べた。「感染の範囲を把握することは不可能だ。IPアドレスをカウントするやり方では、同じマシンが2回、3回と重複してカウントされてしまう場合がある。

　このワームの作者は正体不明だが、欠陥が公表されてからわずか2日間でワームを作成したことになり、これまでのウイルス作成所要時間としては最短となるかもしれない。WittyワームはSlammerと同様、ユーザーデータグラムプロトコル（UDP）を使って、インターネットにデータパケットを送りつける形で感染を広げている。

　「これほど短期間で攻撃がおきたのは、私の知る限り初めてのことだ。全く驚くべき事態だ。これほど大規模なものが、これほど早く生じるとは思っていなかった」（Ingevaldson）

　なお、ISSは17日に、ネットワークセキュリティ会社の eEye Digital Securityがこの欠陥を発見したあと、それを修正するアップデートを自社サイトで公開した。同社はこの脆弱性についておよそ10日前から気づいていたと、Ingevaldsonは述べている。