-----BEGIN PGP SIGNED MESSAGE----- 各位 JPCERT-AT-2003-0006 JPCERT/CC 2003-08-15 <<< JPCERT/CC Alert 2003-08-15 >>> Windows RPC の脆弱性を使用するワームに関する注意喚起 Threat of W32/Blaster Worm DDoS Attack http://www.jpcert.or.jp/at/2003/at030006.txt I. 概要 Microsoft Windows の RPC (Remote Procedure Call) の実装に含まれる既 知の脆弱性を使用するワームの感染が、国内外で広がっています。このワーム に感染したホストは分散型サービス運用妨害 (DDoS) 攻撃を行なう可能性があ ります。 II. ワーム感染への対処方法 「W32/Blaster」ワームに感染しているかどうかの確認および対処方法につ いては、以下の URL で示されるページをご参照ください。 JPCERT/CC Alert 2003-08-13 TCP 135番ポートへのスキャンの増加に関する注意喚起 http://www.jpcert.or.jp/at/2003/at030005.txt JPCERT/CC Vendor Status Note JVNCA-2003-20 W32/Blaster ワーム http://jvn.doi.ics.keio.ac.jp/vn/JVNCA-2003-20.html なお、感染したホストの復旧作業として、OS を再インストールしパッチを 適用するためネットワークに接続したところで、W32/Blaster ワームあるいは 別のワームなどに再度感染する例が報告されています。以下に示す URL で紹 介されているドキュメントなどを参照し、十分に注意しつつ復旧作業を行なう ことをお勧めします。 マイクロソフト セキュリティ情報 Blaster に関する情報 http://www.microsoft.com/japan/technet/security/virus/blaster.asp III. ワームによる DDoS 攻撃について W32/Blaster ワームは windowsupdate.com というドメイン名で示される IP アドレスへの DDoS 攻撃を行なう可能性があります。また、この DDoS 攻撃で は IP パケットの送信元アドレスを詐称することも指摘されています。この DDoS 攻撃のトラフィックによりネットワークが輻輳を起こすなどの影響を受 ける可能性が考えられます。 自サイト内の W32/Blaster ワームに感染したホストが攻撃を行なうことを 防ぐために、またネットワークへの影響を抑えるために、ルータなどのパケッ トフィルタリング機能を使って、自サイトから windowsupdate.com の IP ア ドレスに向かうパケットに対してフィルタを適用することもご検討ください。 なお、このワームが DDoS 攻撃の対象としている windowsupdate.com は、 通常 Windows Update を行なう際に利用されるサイトとは異なるドメイン名で す。よって、フィルタリングを適用しても Windows Update を行なう上では影 響はありません。 今回の件につきまして当方まで提供いただける情報がございましたら、ご連 絡ください。 ====================================================================== JPCERT コーディネーションセンター (JPCERT/CC) TEL: 03-3518-4600 FAX: 03-3518-4602 http://www.jpcert.or.jp/ -----BEGIN PGP SIGNATURE----- Version: 2.6.3ia Charset: noconv iQCVAwUBPzyhc4x1ay4slNTtAQE3hgQAq8P1BWAgJDqgZEwgMILh5kna5il4YXci f8N/ioEDayWnctfo74QQ00yjOIQcIksgErVJC9F1XpbLJYExISTLh/5mg6qRTHz2 hMksfyXy2c7VW7wpoPfWNlHKR4/V6zdgI7ikVcw8UNy4TXAj1S6s5ylrhJk4Spv1 r6zy5RyJSj4= =CGL3 -----END PGP SIGNATURE-----