※本記事は、マカフィー株式会社 プロフェッショナルサービス マネージャー 兜森清忠によるものです。
McAfee Labsではデータセンターで把握している情報をもとに毎月、サイバー脅威の傾向を公表しています。ここ数カ月における特徴的な点としては、W32/Confickerがウイルス検知会社数のランキングに入っていることが挙げられます。Conficker は2007年末から2008年にかけて流行しましたが、再度活発化しているといえるでしょう。今月も検知会社数で6位にランクインにしています。今回は、MS08-067の脆弱性で感染する以外にも外部メディアで感染する機能を持っているこのワームについて、直近の感染動向を解説します。
最近のConficker感染動向
Confickerの感染活動における初動としては、以下の3点があげられます。
- リモートからWindowsの脆弱性(MS08-067が適用されていない)をついた実行
- 感染したUSBメモリーなど、Autorunによる実行
- 管理共有を経由した、ファイルのコピーとタスク実行
最近の感染傾向としては、1と3のケースがその大半を占めます。一方、企業もConfickerの感染特徴を認識しており、その特徴に合った対策を実行します。大抵の場合、MS08-067の適用および管理共有を利用するために、Confickerのユーザーパスワードに対するブルートフォース攻撃(総当たり攻撃)に対応するべく、複雑なパスワードの設定を実施します。企業は、パスワードを複雑なものに設定すると安心し、管理共有によるアウトブレークの可能性を多くの場合、見逃してしまいます。その結果、多くの企業は、ウイルス対策ソフトによる駆除を実施した後も再度感染してしまうというループに陥ってしまいます。
企業の多くはサーバーが感染
多くの企業は、「インターネット」と「内部ネットワークとのネットワーク境界」を重視した、セキュリティ対策を行っています。しかし、USBメモリーとモバイル端末への対応が不十分な場合、マルウェアはネットワーク境界を経由せずに侵入することができます。通常のセキュリティレベルの企業は、RPCポートのクローズやWindowsの脆弱性をついた攻撃に対しては、ネットワーク境界に設置したファイアウォールおよびIPS/IDSなどにより、対策を行っています。企業はWindowsサーバーのセキュリティパッチの適用など、業務の可用性を優先する傾向があり、結果的にWindowsのMS08-067のパッチの適用を行っていないサーバーが感染します。
管理共有の認証が必要
Confickerの特徴を認識しているユーザーは、ブルートフォース攻撃や辞書にあるパスワードを確認して、「該当しない」と判断する場合があります。しかし、Windowsの管理共有を利用できる環境において、ローカルホストのAdministratorに対して共通のパスワードを利用している場合、マルウェアはパスワードを意識することなく、ターゲットのWindowsマシンに容易にアクセスすることができます。これは、ドメインAdministratorを利用した場合も同様です。
通常、Windowsの管理共有を利用する場合、ユーザーIDとパスワードの入力を要求されます。
しかしながら、利用先のローカルAdministratorのパスワードが同じ場合には、リモートからユーザーID、パスワードを入力する必要がありません。以下が、管理共有への接続を行い利用可能になった状態を示しています。
また、リモートからのタスク登録することも可能です。
Confickerによる感染を防ぐためには、大きく以下の4点があげられます。
- Windowsのセキュリティパッチの適用
- 安易なパスワードを利用しない
- USBなどのAutorun実行に注意
- サーバー運用の際におけるアカウント考慮
特に、ドメインAdministratorの利用制限やローカルAdministratorのパスワードを共有しない、といった手段が有効です。
現時点では感染していないユーザーも、管理共有経由のリスクを確認するなど、引き続き注意をお願いします。
関連記事
- [2010/09/02] ワーム「Conficker」、拡散にセキュリティ検証ツール「Metasploit」のペイロードを流用
関連情報
※本ページの内容はMcAfee Blogの抄訳です。
原文:Be careful on help files
