パッチでの対処に限界--Wittyワームの投げかける新たな脅威

　Wittyワームはまず、脆弱であることが分かっているコンピュータを踏み台にして急速に感染を拡大したため、大半の企業ではパッチを適用する時間がなかったことが、この問題の分析によって明らかになった。

　このワームは先々週末に、悪用する欠陥の存在が最初に公表されてから48時間も経たないうちに、インターネット上に出現した。25日（米国時間）にCooperative Association for Internet Data Analysis（CAIDA）とカリフォルニア大学サンディエゴ校が発表した報告によると、これは脆弱性発表後のワーム開発期間としては、現在までの最短記録だという。

　「どの被害者も、ファイアウォールソフトウェアの脆弱性が公表された翌日に、そのソフトウェアを通じた攻撃を受けた。これにより、エンドユーザーがパッチを適用してセキュリティホールを塞ぐという従来のセキュリティ対策モデルには、無理があることが示された」と報告には記されている。

　WittyはRealSecureやBlackIceなど、Internet Security Systems（ISS）の販売するソフトウェアセキュリティ製品に見つかった脆弱性を悪用する。ISSでは、このワームの影響を受けるのは、同社の顧客全体の約2％程度に留まると述べているが、CAIDAらの報告によると1時間以内に1万2000台ものコンピュータが感染したという。

　もし他のワームもこれほど急速な開発が可能だとすれば、各企業はソフトウェアセキュリティに関して、セキュリティホールを塞ぐことよりも、脆弱性の脅威を減らす他の方法に力を入れるほうが良いだろうと、同レポートを作成したメンバーの1人で、CAIDAのシニア・セキュリティリサーチャーのColleen Shannonは述べている。

　「2日間では時間が短すぎて、大きな組織は対応しきれない」とShannonは言う。同氏はまた、「適宜パッチを適用し、システムを最新の状態に保つには、エンドユーザー側でかなりのスキルが要求されるため、ほとんどのユーザーはそれほど頻繁にはパッチを適用していない」とも述べている。

　この報告では、Wittyワームが、脆弱なサーバを素速く攻撃できるような形でネット上に流されたという証拠も示されている。

　Wittyワームは20日早朝に感染を開始した。同報告によると、このワームは約45分間で、インターネット上にある脆弱なサーバの大多数--約1万2000台--に感染したという。また10秒後には感染したホストマシンが110台見つかっているが、CAIDAではこの点について、これらのサーバが「preseeding」と呼ばれる方法で、ワームの感染拡大に利用されたと考えている。

　Wittyワームは、感染のメカニズムに内在する特徴から、素速く消滅する。このワームは感染したシステムのハードディスク上の任意の箇所に65キロバイトのデータを書き込むことで、このディスクに保存された情報をゆっくりと読み取れなくしてしまう。その結果、感染したシステムの半分近くが、12時間以内にクラッシュしてしまった。

　CAIDAによると、合わせて7万〜1０万台のコンピュータに感染したMicrosoft SQL Slammerと比べると、Wittyワームの攻撃したマシンの数は少なく、またこうした脅威に対してネットワークを保護する箇所に設置されたコンピュータを狙って攻撃を加えたという。

　ウイルスのこうした進化が示唆する問題は無視すべきものではないと、同報告は述べている。

　「ほとんどスキルのない個人ユーザーが、数千・数万というマシン内部に押し入り、こうしたマシンを使ってほとんどどんなことでもできてしまい、しかもほとんどのマシンでは攻撃者が侵入した痕跡も残らない」（同報告）