IPAは、毎月発表するコンピュータウイルスや不正プログラムの状況分析から、「今月の呼びかけ」を発表している。今月は、急増するDownadupというウイルスへの警戒を呼びかけている。

Windowsの脆弱性を狙ったアクセスが急増

IPAのインターネット定点観測システムTALOT2(国内大手ISPと複数契約し一般のPC利用者と同等の回線を利用して、インターネット上のアクセスを観測するシステム)で、TCP/IPの445番ポート(データ通信の経路の1つ)をねらうアクセスが観測されている。

2008年10月から観測され始め、2009年1月以降は急増している。原因は、2008年10月24日にMicrosoftから緊急発表した、Windowsの脆弱性(MS08-067)を狙ったアクセスである可能性が高い。そして、この脆弱性を突いて攻撃を行うウイルスが、複数確認されている。

まずは、Windowsの脆弱性(MS08-067)であるが、特別な細工がされたパケットが、攻撃対象のPCに送り付けられた場合に、ファイルやプリンタの共有などを行うために利用されるServerサービスで、リモートでコードが実行されてしまうものである(詳細は「マイクロソフトセキュリティ情報MS08-067 - 緊急 Serverサービスの脆弱性によりリモートでコードが実行される」を参照)。

感染は、攻撃対象のTCP/IPの445番ポートを利用する。この脆弱性を解消していないPCはウイルスの感染、さらには、データの表示・変更および削除、管理者権限を持つ新たなアカウントの作成などの不正アクセスが行われる(脆弱性を解消していれば、ウイルス感染の可能性は低い、しかし亜種による別の手段による感染の可能性もあるので注意が必要となる)。

この脆弱性を悪用したウイルスの1つに、Downadupと呼ばれる2008年11月下旬に発見されたウイルスがある。年末にはその亜種であるDownadup.Bが発見されている。

Downadupウイルスは、脆弱性が解消されていないPCにネットワーク経由で感染したのち、そのPCを起点に、さらに多くのPCへ感染活動を試みる。このため、多数のPCが接続されているLAN内で1台でもウイルス感染すると、その組織(企業、学校など)のLANの中で感染が拡大する恐れがある。

さらに、亜種であるDownadup.Bは、USBメモリなどリムーバブルメディアへの感染機能が追加された。IPAでは、1月に入り445番ポートへのアクセスが急増したのは、ウイルスの亜種発生をきっかけとしてウイルスに感染したPCが増加し、それに伴い他のPCを攻撃するアクセス総数も増加したと推測している。

USBメモリを感染経路とする同様のウイルスは、2008年より猛威をふるっており、Downadup.Bもその感染機能を追加したことで、インターネットに接続していないイントラネットなどでも感染が報告されている。Downadup.Bに感染すると以下のような被害が想定される。

  • ウイルス対策ソフトのウェブサイトへのアクセスが制限され、ウイルス定義ファイルの更新が妨害される。
  • マイクロソフトのサイトへのアクセスが制限され、Windows Updateが妨害される。
  • 悪意のあるサイトに接続し、他のウイルスのダウンロードを試みる。

IPAでは、これらの症状のすべてが発生するとは限らないとし、今後、新たな症状が発生する可能性もあると警告をしている。

Downadupへの対策

この脆弱性を狙った攻撃による被害を、未然に防ぐための対策は次の通りである。

脆弱性の解消

最も重要な対策は、脆弱性の解消である。この脆弱性が解消されているかわからない場合は、Windows Updateを行い、未適用のセキュリティパッチが残っていないか確認する。未適用のものが残っていた場合は、すみやかに適用し、脆弱性の解消を行うことである。

ウイルス対策ソフトの活用

ウイルスの感染を防ぐには、ウイルス対策ソフトを利用することも効果的である。ただし、新種のウイルスが次々と発見されているので、ウイルス定義ファイルなどを常に最新の状態にする必要がある。

パーソナルファイアウォールの活用

パーソナルファイアウォールとは、外部からの不正な攻撃を遮断したり、内部からの不正な通信(感染ウイルスによる外部ネットワークとの通信など)を遮断したりする機能である。統合型のセキュリティ対策ソフトでは、この機能を有していることが多い。今回の445番ポートなど、不要なポートは閉じておくことである。

なお、Windowsにもファイアウォール機能があるので、有効にすべきである。ただし、Windows XPのファイアウォール機能は、内部から外部への不正な通信に対応していない。内部から外部への不正な通信を遮断できるウイルス対策ソフトの導入を検討する必要もあるだろう。さらに、アクセスルータなどでも、不要なポートが開かれていないかを確認すべきである。

USBメモリ経由による感染への対策

低価格化と大容量化が進み、手軽なリムーバブルメディアとして利用される機会が非常に多い。使用にあたっては、自身が管理していないUSBメモリや所有者の不明なUSBメモリは、自分のPCには接続しない、自分が管理していないPCや不特定多数が利用するPCには、自分のUSBメモリを接続しない、といった対応をとるべきであろう。

Downadupに感染した場合のPCの復旧方法

ウイルス対策ソフトで、ウイルスを駆除できたとしても、システムの設定が変更されている場合がある。このような場合には、「システムの復元」を行うことで、感染前の状態に戻すことができる。しかし、症状が改善されない場合や「システムの復元」が失敗した場合には、PCを初期化するしかない。

Downadupは、亜種の登場により感染経路も拡大され、さらに脆弱性が存在しないPCに対してもパスワードクラックを行うなどしてLANに侵入する。一度、感染すると組織のLANで感染が一気に拡大する可能性もある。十二分な注意をしてほしい。