WORM_DOWNADが登場する約1カ月前には、脆弱性の注意喚起および修正プログラムが公開されていました。しかし、ここにきて企業などを中心に被害が拡大しています。原因は、企業などでは、修正プログラムなどの実施は、個別にその有用性が確認されてから行われることがあります。したがって、脆弱性の解消が行われないPCが、マイクロソフトの情報公開後、1カ月を過ぎても多数存在していたと推測されます。
WORM_DOWNADの感染の手口の一例を紹介します。WORM_DOWNADは感染に成功すると、不正侵入を自動化します。図2は、WORM_DOWNADが作成したタスクオブジェクトファイルです。この結果、タスクスケジュールとして定期的に実行され、不正侵入を行います。
図2 WORM_DOWNADによって作成されたスケジュール化されたタスク、ウイルスバスター2009では検知すると警告を出す |
企業などでは、ファイアウォールを構築することが一般的です。外部ネットワークからの侵入を厳しく検査し、許可されたパケットのみを内部のネットワークに通過させる仕組みです(図3)。
図3 ファイアウォール |
ファイアウォールにより、外部からのウイルスの感染は防ぐことができると、過信してしまったことも原因の1つです。WORM_DOWNADの感染原因は、私物のノートPCや、出張など外部でインターネット接続をして感染したノートPCなどを、内部に持ち込んだことと推測されています。すでにWORM_DOWNADに感染したノートPC(携帯端末などの可能性もある)が、内部のネットワークに接続し、脆弱性の解消が行われていない社内のPCに感染が広がったと思われます。
このような感染例は、ブラスターなど過去にいくつもの事例があります。外部への対策はそれなりにとられていたにもかかわらず、内部のセキュリティ対策の不備から、企業などでウイルスが蔓延した事例が報告されています。まとめると、
- 脆弱性の解消が十分に行われていなかった。
- 外部からの侵入にはそれなりの対策を施していたが、内部のセキュリティ対策にあまさがあった。
ということになります。幸いにして、WORM_DOWNADの一般家庭での感染はあまり多くはありません。その理由は、おもな感染経路として、TCP445番ポートを使用します。このポートは、家庭向けのルータなどでは初期設定で閉じられているケースが多く、インターネット側からの直接攻撃を行うことができなかったことによります(企業ではLAN内でフォルダやファイル共有ために開放していることが多い)。
さらに進化するWORM_DOWNAD
トレンドマイクロの調査によると、日本国内で一企業で数百台のPCがWORM_DOWNADに感染されていたという報告があるようです。しかし、ここにきて、さらなる脅威が発生しています。さまざまなWORM_DOWNADの亜種が登場しているのです。再度、図1を見てください。最初のWORM_DOWNAD.Aが11月21日に検出され、その約1カ月後の12月30日には、第2フェーズのWORM_DOWNAD.ADが検出されています。このように非常に短い期間で、亜種が出現することもウイルスの脅威の1つといえます。
図4 WORM_DOWNADの亜種 |
第2フェーズでは、脆弱性がなくともパスワード攻撃を行い、ネットワークに侵入する機能を備えました。さらに拡散モジュールとして、2008年に大流行したオートランの感染方法を加えました。USBメモリなどで自動実行に使われるAUTORUN.INFを悪用するものです。これにより、外部と接続していないネットワークでも、WORM_DOWNADの感染が報告されています(これまでは安全とされた一般家庭でも感染の可能性がある)。悪意を持った攻撃者は、「オートランが流行している」と知るや、その手口をすぐさまWORM_DOWNADに応用してきたのです。WORM_DOWNADのAUTORUN.INFを見ると、普通はテキストファイルのはずが、バイナリのデータが埋め込まれています。
 |
図5 バイナリが埋め込まれたAUTORUN.INF |
画面中央に「RuNdLl32.EXE」の文字が見えます。これは、WindowsのRUNDLL32.EXEというダイナミックリンクライブラリを呼び出すプログラムを使い、ウイルスであるjwgvsq.vmxを実行させているのです(「RuNdLl32.EXE」の1行下にその文字が見える)。短期間で亜種が登場することや、過去の手口が有効とわかると積極的にその手口を利用して、手段を選ばず攻撃を行うなどウイルスの脅威は、留まることはありません。これらの脅威に対抗するには、パターンファイルの日々の更新を怠らないことが極めて重要になります。
