Windowsの脆弱性を突く新たなインターネットワームが拡大

文:Elinor Mills(CNET News.com) 翻訳校正:編集部 2008年11月27日 13時24分

  • このエントリーをはてなブックマークに追加

 Microsoftは米国時間11月26日、「Win32/Conficker.A」と名付けられたワームが、Windowsマシンで広まっていることを発表した。同社が10月にパッチをリリースしたセキュリティホールが利用されているという。

 セキュリティアップデート「MS08-067」によって対処された脆弱性を利用するこの攻撃は、ここ数日で増加している。

 Microsoftは「Microsoft Malware Protection Center」へのブログ投稿で、このマルウェアは主に企業内で広がっているものの、家庭用PCも数百台攻撃されたと述べている。

 この投稿には「このマルウェアは、ポート番号1024〜10000の範囲にあるポートを無作為に開き、Webサーバのように動作する。そして、MS08-067の脆弱性を悪用することでネットワーク上の無作為に選択したコンピュータに伝播していく。いったんリモートコンピュータへの攻撃が成功すると、そのコンピュータは、ワームによって無作為に開かれたポートを用いてHTTP経由でワームのコピーをダウンロードする。ワームがコピーされる際にはしばしば、.JPGが拡張子で使用され、そのコピーは無作為に付けられた名前のdllファイルとしてローカルのシステムフォルダに保存される」と書かれている。

 Microsoftはまた、「興味深いことに、このワームは脆弱性を抱えたAPIに対してメモリ中でパッチを当てることで、該当マシンの脆弱性に対処する。マルウェア作者は、該当のコンピュータを気遣ってこういったパッチを当てているわけではなく、他のマルウェアにコンピュータを乗っ取られないようにしているだけだ」とも述べている。

 感染しているマシンのほとんどは米国内にあるものだが、ドイツやスペイン、フランス、イタリア、台湾、日本、ブラジル、トルコ、中国、メキシコ、カナダ、アルゼンチン、チリでも感染が報告されている。Microsoftによると、このワームは何らかの理由でウクライナにあるコンピュータには感染しないようになっているという。

 また、「Backdoor:Win32/IRCbot.BH」に分類される複数の種類のボットもこのセキュリティホールを悪用している。これらのボットは、外部からのコマンドを待ち受けるために、IRCサーバに接続するトロイの木馬型のバックドアを仕掛ける。

この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ

  • このエントリーをはてなブックマークに追加
関連キーワード
セキュリティ

関連ホワイトペーパー

SpecialPR

  • 「奉行シリーズ」の電話サポート革命!活用事例をご紹介

    「ナビダイヤル」の「トラフィックレポート」を利用したことで着信前のコール数や
    離脱数など、コールセンターのパフォーマンスをリアルタイムに把握するに成功。詳細はこちらから

  • デジタル変革か?ゲームセットか?

    デジタルを駆使する破壊的なプレーヤーの出現、既存のビジネスモデルで競争力を持つプレイヤーはデジタル活用による変革が迫られている。これを読めばデジタル変革の全体像がわかる!