futuremix

8月11日頃から、MS03-026 のセキュリティホールを利用するワーム MBlaster (別名 MSBlaster / Lovsan) が広まっています。 関連情報と対策についてまとめましたのでご利用下さい。

亜種も出現しています。 一部テレビなどで誤った情報が伝えられていますが、「8月16日の20:00前後にインターネットに繋がなければ安全」というのは間違いです。

MBlaster の感染する対象は Windows 2000 / XP です。NT4.0 には感染しないそうですが、今後修正された亜種が出てくることが予想されますので対策を検討して下さい。Windows 98 / Me には感染しないようです。

このワームに感染すると、バックドアを仕込まれます。動作が不安定になり、パソコンが異常終了する場合があります。MSBlaster 自体はファイル破壊活動などは行ないませんが、どのような亜種が出てくるか分かりません。対策はお早めに。

関連情報

• 「ブラスト」除去する新ウイルス「ブラストＤ」出現[asahi.com]2003年08月19日
• MSBlastを停止させパッチを当てる新ワーム[ZDNet]2003年08月19日
  

  いくらMSBlastを停止させ、正しいパッチを適用させようとするからといって、このワームも立派なワームの1つだ。今はなんら不審な動作をしないとしても、今後、悪意ある目的に利用されないとも限らない。また、ICMPトラフィックがネットワークに及ぼす影響も無視できない可能性がある。

• Windowsを危険にさらすRPCのセキュリティホール[ZDNet特集]2003年08月19日更新
• ブラスター狂想曲[がんばれ!!ゲイツ君]2003年08月19日
• 沈静化へ向かうMSBlastがあぶりだしたユーザーのセキュリティ意識[ZDNet]2003年08月18日
• つかみづらいMSBlast感染台数、便乗デマメールも登場[ZDNet]2003年08月18日
  

  MSBlastワームにまつわるデマメールが出回っていると警告を発した。メールの件名は「updated」で、MSBlast対抗パッチの重要なアップデートだと偽って添付ファイルをクリックさせようとするが、クリックするとマシンにトロイの木馬が埋め込まれる。

• ひとまず回避されたMSBlastのDoS攻撃[ZDNet]2003年08月16日
  

  TCP 135番ポートへのトラフィックは、引き続き大きな増減なく推移しており、8月16日午後1時時点でも「収束に向かっているとは言えない」という。

• 長野市も「ウイルス心配」で住基ネット切断[Yomiuri OnLine]2003年08月16日
• マイクロソフト，「Blaster」に備えて電話相談窓口を24時間体制に[日経ITPro]2003年08月15日
• 【Blaster続報】IPAへの届け出は600件超，休暇明けはワームの“持ち込み”に注意[日経ITPro]2003年08月15日
• Windowsのセキュリティ上の弱点を利用するワーム『Blasterワーム』対策情報に関するお知らせ（続報２）[Microsoft]2003年08月15日
• RPC インターフェイスのバッファ オーバーランによりコードが実行される (823980) (MS03-026)[Microsoft TechNet]2003年08月14日更新
• 新種ワーム　感染被害世界で20万台以上に[毎日新聞]2003年08月14日
• ＭＳブラスト感染の余波で住基ネット接続停止　世田谷区[asahi.com]2003年08月14日
• 「MSブラスト」の亜種ウイルス、アジア各国が対応に追われる[日経BizTech]2003年08月14日
• ウイルス「ＭＳブラスト」に早くも二つの亜種　米で発見[asahi.com]2003年08月14日
• 新ウイルスでネット上のデータ量増加　被害報告は横ばい[asahi.com]2003年08月13日
• 爆発的流行の兆し？　Blasterウイルス対策マニュアル [INTERNET Watch]2003年08月13日
• ［追加情報］RPCインターフェイスの脆弱性により、システムが乗っ取られる可能性（MS03-026の脆弱性を悪用するワーム「Blaster」について）[HotFix Report]2003年08月13日更新
• MS03-026 に関する情報[Microsoft TechNet]2003年08月13日更新
• マイクロソフトWindowsの脆弱性を狙ったワームの発生に関する注意喚起[経済産業省]2003年08月13日
• なぜWindowsが再起動させられるのか？――「Blaster」ワームの謎を解く[日経ITPro]2003年08月13日
• Windowsのセキュリティ・ホールを狙うワーム，国内でも感染を拡大中く[日経ITPro]2003年08月13日
• Blaster に関する情報[Microsoft TechNet]2003年08月12日
• CERT Advisory CA-2003-20 W32/Blaster worm(翻訳版)[lac][CERT/CC]2003年08月12日更新
• 国内でも蔓延し始めたMBlast、注意すべきは「休暇明けのPC」[ZDNet]2003年08月12日
• Windowsワームに欠陥、専門家は修正版登場を懸念[ZDNet]2003年08月12日
• Windows RPCの脆弱性狙ったワームが拡散を開始[ZDNet]2003年08月12日
• Windows Updateサイトに攻撃を仕掛けるワームが出現，“超特大”ホールを狙う[日経ITPro]2003年08月12日
• 「W32/MSBlaster」ワームに関する情報[ 情報処理振興事業協会 セキュリティセンター(IPA/ISEC)]2003年08月12日
• MSRPC DCOM ワーム「MS Blast」の蔓延[インターネット セキュリティ システムズ株式会社]2003年08月11日
• 米国でウィンドウズの欠陥狙ったワーム型ウイルスが急拡大[日経BizTech]2003年08月11日
• [MS03-026] RPC インターフェイスのバッファ オーバーランによりコードが実行される[Microsoft Product Support Service]2003年08月06日
• “超特大”のセキュリティ・ホールを悪用する攻撃をラックが検知[日経ITPro]2003年08月06日
• MS03-026 : Windows の重要な更新 RPC インターフェイスのバッファ オーバーランによりコードが実行される (823980)[絵でみるセキュリティ情報]2003年07月17日

ウィルス対策ベンダー別

• ウィルス情報 W32/Lovsan.worm[Network Associates]2003年08月14日更新
• W32.Blaster.Worm[Symantec]2003年08月13日更新
• WORM_MSBLAST.A[TREND MICRO]

パソコンメーカー別（順不同）

• 富士通(Fujitsu)
• ソニー(SONY)
• 日本電気(NEC)
• 松下電器産業(Panasonic)
• 東芝(TOSHIBA)
• ソーテック(SOTEC)
• デル(DELL)
• エプソン(EPSON)
• 日立(HITACHI)
• hp (compaq) は情報提供していない模様(2003年08月14日現在)

対策

対策については、なるべく複数の情報源を元に書いていますが、100% 安全・正確である保証はありません。対策にあたっては当然のことながら自己責任でお願いします。 (このページの情報を利用して被害にあったり、別の不具合が発生しても当方は責任をとりません。)基本的な対策としては、

1. MS03-026 のパッチを適用する。
2. ファイアウォールで TCP 135/137〜139/445/4444, UDP 69 のポートを塞ぐ。
3. dcomcnfg.exe で DCOM を無効にする。

という方法がありますが、Windows 2000 SP2以下では DCOM を無効にしただけでは防げないとの情報あり。実際に Win2000SP0の環境で試しましたが DCOM は無効にならないのを確認できました。ウィルス定義も最新の状態にするのはもちろんですが、ウィルス対策ソフトだけではこのワームの感染を防げません。パッチを適用しましょう。

「RPC サービスを停止するという対策方法」が公開されているサイトもありますが、Windows の動作が極端に遅くなるのでお勧めしません。

パッチの適用

Windows NT4.0 / 2000 / XP / 2003 Server は、Windows Update を利用して、MS03-026 (823980) のパッチを適用して下さい。もしくは、MS03-026 のパッチをダウンロードして、パッチを適用して下さい。上記 Microsoft のサイトでは、Windows NT4.0 Workstation については触れられていませんが、これは NT4.0 WS に影響がないのでなく、サポート対象外だからです。(Windows NT4.0 Workstation のサポートは 2003年06月30日で終了しています。)しかし、Windows NT 4.0 Server 用のパッチを適用することができますので、まだ NT4.0 Workstation を利用している方は、こちらを適用しましょう（当然保証範囲外）。なお、NT 4.0 は Service Pack 6a の環境にしていないとパッチを適用できません。

また、Windows 2000 では、Service Pack 3 以上が必須です。SP2 でもパッチは適用可能ですが、サポート対象外です。

パッチ適用状況の調査

Microsoft 謹製のチェックツールがリリースされました。

  C:\>kb823980scan 10.1.1.1/24

の様にして利用できるみたいです。

また、Internet Security Systems が提供している scanms というコマンドラインツールを使うと、ネットワーク上のコンピュータの脆弱性の有無をチェックすることができます。このツールは tcp 135 ポートをスキャンして、MS03-026 のパッチが適用されているかどうかを調べます(100%正確ではありません)。手元の環境ではほぼ 100% の確率で検知できました(パッチ適用漏れの端末がありました。^^;)

これらのツールは攻撃ツールではありません。このツールを自分の管理外のネットワークに向けては使用しないようにして下さい。

感染した場合の対処方法

• Blaster ワームへの対策 – Windows XP 編[Microsoft TechNet]2003年08月13日
• Blaster ワームへの対策 – Windows 2000/Windows NT 4.0 編[Microsoft TechNet]2003年08月13日
• AVERTウイルス駆除ツール Stinger（スティンガー）[Network Associates]2003年08月12日更新
• W32.Blaster.Worm 駆除ツール[Symantec]2003年08月12日更新