マイクロソフトがBlasterワームに関する取り組みを説明

一般消費者向けで大きな課題、Windowsアップデートの周知徹底へ

 2003.08.22−マイクロソフトは20日、プレス向けセミナーを開催し、大きな被害を出した“ブラスター(Blaster)ワーム”事件に関する同社の取り組み状況や今後の対応策などについて説明した。同社の東貴彦取締役経営戦略担当は、「今回のぜい弱性は1ヵ月前に発見され、順次対応を進めてきていた。企業や産業界のインフラへの被害を最小限に食い止められたことは評価できるが、一般消費者に被害が広がったことについては反省点が多かった。全社をあげて“信頼のおけるコンピューティング”(Trustworthy Computing)を推進してきただけに、今回の事件は悔しいし残念だ。ウイルス制作者への強い憤りを感じる」と総括した。緊急対策用のCD-ROMを20万枚配布する計画も明らかにされた。

      ◇     ◇     ◇

 マイクロソフトの説明によると、今年の7月は緊急のセキュリティ情報が3件発表されるなど、例月に比べても問題の多い月だったという。具体的には、MS03-023「HTMLコンバーターのバッファーオーバーランによりコードが実行される」、MS03-026「RPCインターフェースのバッファーオーバーランによりコードが実行される」、MS03-030「DirectXの未チェックのバッファーによりコンピューターが侵害される」−の3件の“緊急”告知があった。

 今回のブラスターワームは、このMS03-026のぜい弱性を悪用したもの。最近のウイルス攻撃はコードレッドやニムダなどサーバーのぜい弱性を突いて侵入するものが多く、いわば不正侵入のためのクラッキングの手口を自動化したタイプが広がっている。今回のブラスターは、その手口でクライアントパソコンを遠隔攻撃する点で新しいタイプの脅威だといえるという。

 具体的には、感染したマシンを踏み台にして、そのマシンのIPアドレスの近隣のアドレスをスキャンし、そのなかに135番ポートのRPCのセキュリティホールが空いているマシンを見つけると、そこにワーム本体である「MSBLAST.EXE」をファイル転送し、それを自動実行させることで感染先を広げるという仕組み。このため、怪しいメールを受け取ったり、怪しいサイトをブラウズしたりすることがなくても、インターネットに接続しているだけで自分のマシンが攻撃される可能性がある。

 近隣のIPアドレスを優先して攻撃先を探すので、企業などで1台でも感染すると、またたく間に被害が広がる恐れがある。ウィンドウズが再起動を繰り返して利用できなくなるという症例は、プログラムのバグの結果あらわれた一種の副作用であり、犯人は技術レベルの低い愉快犯だと考えられるという。ブラスター自体は感染を広げるだけのワームで、具体的な破壊活動は行わない。 135番ポートは通常はファイアーウォールなどで防御されており、管理の甘い個人のモバイルマシンを狙って、そこから企業内に入り込む作戦だったのではないかという。

 MS03-026公開以降の時系列的な経緯は別表「Blaster事件におけるマイクロソフトの対応」にまとめたが、同社では「実際には1ヵ月の時間的余裕があったわけで、企業ユーザーの管理者のセキュリティ意識の高まりにより、修正パッチが適用されて産業界への混乱が最小限にとどまったことは良かった」(東取締役)としている。一方で、一般消費者に被害が大きかったことに関しては、「7月末までには150万通以上の告知メールを発信し、専用の対策サイトも立ち上げていたが、そうしたネットワークに依存し過ぎた対応が裏目に出た。マシンが再起動を繰り返してしまい、ネットに接続すらできなくなった状態に陥ってしまっては、対策を施すこと自体が不可能だった。これは、重大な教訓として受け止めたい」とし、緊急対策として20万枚の無償CDを配布する計画を明らかにした。

 このCDは、トレンドマイクロやシマンテック、ラックなどのセキュリティベンダーと協力して、各社の対策ツールとマイクロソフトの修正プログラムを組み合わせて提供するもの。ただ、ネットワークの脅威は日々新たになっており、CDでの対応では遅過ぎるので、基本的にはネットワーク上の最新パッチを当ててもらいたいとしている。今回はあくまでも特例だということだ。

 今回の反省に立ち、同社では“ウィンドウズアップデート”の重要性を訴えるための啓蒙活動にさらに力を入れることにしている。とくに、一般消費者への周知徹底を図るが、「当社からの連絡メールを読まない人や読んでも意味がわからない人が多かったと思う」とし、今年末に向けて“マイクロソフトアップデート”という形でさらにわかりやすく、またパッチを当てやすくする努力を払っていくという。

 プレスセミナー後のQ&Aでは、ウィンドウズアップデートがそれほど浸透していない実態が指摘された。この間の修正プログラムのダウンロードが平時の100倍以上だったことから、逆に普段は100分の1しか利用されていないことも明らかになった。パッチを場当たり的に提供するのではなく、根本的な解決策はないのかという記者の問いに対して、同社では「すべてのセキュリティホールを洗い出してふさぐのは不可能であり、デフォルト設定のセキュアさも再度見直しはしたいが、完全にセキュアな設定というものはなく、いずれにしてもユーザー側で何らかの対処をしてもらう必要がある」と説明した。

 なお、ブラスターワームの被害は急速に沈静化しているが、すでにいくつかの亜種が発生し、なかでもウェルチア(Welchia)などに置き替わりつつ活動が活発化しているため、引き続き警戒が必要だという。

Blaster事件におけるマイクロソフトの対応

段階 日付 実際に行った対応など
ぜい弱性調査段階 6月27日 L.S.DがRPC/DCOMのぜい弱性を初めて発見し、マイクロソフトへ通報
  7月14日 発見者と協調し、問題の明確化、修正プログラムの検討、過負荷テストを実施
ぜい弱性告知段階 7月17日 2003年に発見された26番目のぜい弱性として、MS03-026 RPCのぜい弱性として情報を公開。修正パッチを提供開始
  7月17日 TechNetなどの既存の告知システムを利用し、約10万人に対してメーリングリストで連絡
  7月18日 新聞、雑誌、ウェブなどの協力を得て、幅広い告知を実施
ぜい弱性の緊急体制開始 7月末 MS03-026を悪用する攻撃プログラムのサンプルが公開される
  7月25日 緊急判断により、今回のぜい弱性の再告知と、対策用特別ページを作成して公開
  7月25日 製品登録ユーザーやメーリングリストなどで146万通の告知メールを送信
  8月初め セキュリティパートナーとホットラインを結び、セキュリティ攻撃の事前調査ならびに情報作成を開始
  8月6日 STPPパートナーラウンドテーブルを開催。本ぜい弱性に関する意見交換、意識合わせ、大規模な被害勃発時における対応方法などを検討
インシデント発生対応 8月12日 Blasterワームが初めて検出される。緊急体制発動および調査開始
  8月12日 Blasteワーム対策ページの公開。さらなるメール告知140万通
  8月13日 企業顧客のプロファイル取得と緊急対応の実施
  8月14日 プレスアナウンスを実施し、セキュリティ窓口の週末対応を発表
  8月15日午前 プレスアナウンスを実施し、Blasteワーム特設ページを発表
  8月15日午後 プレスアナウンスを実施し、FAX/iMODEでのサポート開始や24時間窓口対応を発表
  8月15日午後 全国主要7新聞に対して対策告知広告を掲載
  8月15日午後 セキュリティ対策窓口の24時間対応を開始
  8月18日 この間の問い合わせ件数が通常期の40倍を記録。窓口回線および対応人員を増強