ネットに蔓延するMSBlastワームは、つぎはぎプログラム

 「フランケンシュタインのようなワーム」とでも呼べばいいのか。

 インターネットを襲う最新の脅威である「MSBlast」は、ネット上での蔓延というただ1つの目的のために、複数の小さなプログラムを集めてつくられたものだ。このフランケンシュタインのような接ぎはぎのコードの怪物は、広く利用されているファイルサーバと、大部分のWindowsに見つかった欠陥を悪用するプログラム、そしてコンピュータに侵入するよくある方法とを組み合わせて使用している。

 この組み合わせは目新しいものではないが、効力は充分だ。W32/Lovsan.wormやW32.MSBlasterなどとも呼ばれている同ワームが成功したのは、ワーム作成者がプログラミングに詳しいからではなく、インターネットに接続したコンピュータユーザの大部分が、いまだにセキュリティに関して無知だからだ。

 ほとんどの国では、自己増殖型コードをインターネットに流すことは法律で禁じられている。しかし、電子メールウイルスやワームの作者を見つけるのは非常に困難なため、法律を厳しくしても、個人がこうしたプログラムを流すことを思い留まらせる効果は期待できない。

 よくあるウイルスは、電子メールへの添付ファイルの形で広まり、メールを大量送信するが、インターネットワームはファイルに添付されることはなく、ユーザーが何もしなくても感染してしまうものだ。

 MSBlastワームは、セキュリティ研究者やハッカーがネット上で明らかにした脆弱性悪用プログラムと全く同じやり方で、20個のインターネットアドレスに同時に接続しようとする。この脆弱性悪用プログラムdcom.cは、他のコンピュータからWindowsシステムのコマンドを実行したり、サービスを利用したりするためのWindowsコンポーネントの脆弱性を利用している。このコンポーネントはWindowsで広く使用されているもので、Microsoftは7月16日(米国時間)にこの欠陥についての警告を出している。

 このコンポーネントはRPC(remote procedure call)プロセスと呼ばれ、他のコンピュータとのファイルやプリンタの共有を簡単に行なえるようにしているものだ。攻撃者は、RPCプロセスに大量のデータを送信することにより、システムへのフルアクセス権限を手に入れることができる。

 MSBlastは、ハッカーが自分でサーバを攻撃する場合と同様、TFTP(Trivial File Transfer Protocol)サーバと呼ばれるファイル共有プログラムをインストールして実行し、侵入したコンピュータ上でMSBlastコードをダウンロードする。しかしワームが被害者のコンピュータにファイルをダウンロードするやり方は、非常に効率が悪いとセキュリティの専門家は指摘している。

この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画広告

企画広告一覧

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]