リビング＋：ニュース

2003/09/03 18:21:00 更新

Nachiの狙いは日本――ソースコードも一部公開

ISSが9月3日に公開したアドバイザリによると、Windows RPCインタフェースの脆弱性を悪用するワーム「Nachi」は、日本を主なターゲットにしたものという。

　インターネット セキュリティ システムズ（ISS）が9月3日に公開したアドバイザリによると、Windows RPCインタフェースの脆弱性を悪用するワーム「Nachi」は、日本を主なターゲットにしたものという。

　Nachiは、その前に登場したMSBlast同様、Windowsに存在するセキュリティホール（MS03-026）を悪用して拡散するワームだ。Nachiはいったん感染すると、PC上でMSBlastが動作しているかをチェックし、そのプロセスを停止させる。さらにマイクロソフトのサイトにアクセスし、MSBlastとNachi自身が悪用しているMS03-026の修正用パッチをダウンロードしようとする。

　ただし、このときにダウンロードされるのは、英語版、中国語版、韓国語版のパッチのみ。日本語版パッチのダウンロードはNachiの動作に組み込まれていない。

　したがって、日本語版Windowsを搭載したPCでは、MS03-026のセキュリティホールはそのまま放置され、Nachiはまん延し続けることになる。事実、情報処理新興事業協会セキュリティセンター（IPA/ISEC）が9月1日に更新した、Nachiによるものと思われるICMPリクエストの動向を見ても、トラフィックに目だった減少は見られず、むしろ一定数を維持している状態だ。

　このようなNachiの挙動を受けて、ISSは先に、Nachiが深く静かに潜行する可能性を指摘していた。同社IT企画室室長の高橋正和氏はさらに、Nachiがまん延し始めた8月19日の時点で、「うがった見方かもしれないが、Nachiによって変えられたインターネット環境では、日本語版Windowsを利用している環境のみにMS03-026のセキュリティホールが残ることになる。このため、今後MS03-026に対する攻撃を行った場合、日本だけが大きな被害を受け、他の国では大きな被害が起きない状況が想定される」と懸念を示していた。

　残念ながら、この懸念は一部当たったことになる。

　ISSのアドバイザリによると、Nachiに関連が深いと考えられるサイトにおいて、Nachi本体のソースコードの一部が公開されていたという。その中には、「Nachiが日本を主なターゲットとして作成された」旨が明記されていたということだ。

　そのうえこのサイトでは、MS03-026の脆弱性を悪用するワームや攻撃コードを作成する際に基本となるプログラムのソースコードまでが公開されているという。このサイトには、ワームの作成方法の解説も掲載されており、一連の情報を組み合わせれば、MS03-026の脆弱性を悪用した新たなワームの作成は容易な状況という。

　同社はアドバイザリの中で、「日本のサイトに限定した攻撃が非常に起こりやすい状況にあると考えられる」と述べ、改めて、Windows Updateの活用、パッチの適用と不要なポートのフィルタリングといった基本的なセキュリティ対策が取られているか確認すべきとしている。

関連記事
「Nachi」は中国産？――当局がウイルス作者検挙に本腰
感染を広める新ワーム「Nachi」、日本語版Windowsでは脆弱性はそのまま放置
特集：Windowsを危険にさらすRPCのセキュリティホール

関連リンク
インターネット セキュリティ システムズ

[高橋睦美，ITmedia]

---