「ワーム攻撃の前兆」--Windowsのエクスプロイトコードに専門家が警鐘

　米国時間11日に明らかにされたWindowsの脆弱性を悪用するコードが早速開発されたが、これはワームによる攻撃が近づいていることを示す兆候といえる。

　専門家が13日に明らかにしたところによると、Microsoftが今週修正パッチを用意した14件の脆弱性に対し、それを悪用するエクスプロイトコードが4種類存在するという。このうちの1つはMicrosoftが「緊急」に分類する脆弱性を悪用したものだ。この脆弱性は「Microsoft Distributed Transaction Coordinator（MSDTC）」と呼ばれるトランザクション処理用のWindowsコンポーネントに存在している。

　Symantec Security ResponseのシニアディレクターAlfred Hugerは、「エクスプロイトコードが出始めると、必ず悪質なコードも出てくる。少なくともMSDTCの脆弱性を悪用するワームが近日中に出回るものと想定している」としている。

　このエクスプロイトコードは、Microsoftが脆弱性に関する情報を公表してから24時間以内に作成されたが、Hugerによるとこれはエクスプロイトコード登場までの平均時間に比べ、ずいぶん早いという。

　「過去2年間の、脆弱性の公表からエクスプロイトコード登場までの平均時間は4〜5.8日だった」（Huger）

　専門家らは、MSDTCの脆弱性には2カ月前に大混乱を招いたZotobワームのような攻撃を引き起こす可能性があるとし、Microsoftが11日にパッチをリリースした時点で既に注意を呼びかけていた。Microsoftも、特にWindows 2000やService Pack 2を適用していないWindows XPのユーザーに対し、セキュリティ情報MS05-051で公表したこの欠陥を修正するアップデートを優先するように述べていた。

　MSDTCのエクスプロイトコードは一般には出回っていないが、専門家らは、これが公開されるのも時間の問題だ、との予測を示している。このコードはセキュリティベンダーのImmunityが自社の侵入テスト製品ユーザー向けに開発したもので、同社はさらに、Windowsのプラグ＆プレイに関する欠陥（MS05-047）や、Novell NetWareネットワークをサポートするコンポーネントのバグ（MS05-046）に対応したエクスプロイトコードも開発した。

　さらに、iDefenseディレクターのMichael Suttonによると、Windows FTPクライアントの欠陥（MS05-045）を悪用するコードもインターネット上で公開されているという。iDefenseは、VeriSign傘下のセキュリティ情報提供会社。

　「早急にパッチを適用する必要がある。エクスプロイトコードが一般にも出回ることが予想され、特にMSDTCの問題に関するものはその可能性が高い」（Sutton）