JPCERT コーディネーションセンター

Windows RPC の脆弱性を使用するワームに関する注意喚起

各位

JPCERT-AT-2003-0006
JPCERT/CC
2003-08-15

JPCERT/CC Alert 2003-08-15


Windows RPC の脆弱性を使用するワームに関する注意喚起

Threat of W32/Blaster Worm DDoS Attack

http://www.jpcert.or.jp/at/2003/at030006.txt

I. 概要

Microsoft Windows の RPC (Remote Procedure Call) の実装に含まれる既知の脆弱性を使用するワームの感染が、国内外で広がっています。このワームに感染したホストは分散型サービス運用妨害 (DDoS) 攻撃を行なう可能性があります。


II. ワーム感染への対処方法

「W32/Blaster」ワームに感染しているかどうかの確認および対処方法については、以下の URL で示されるページをご参照ください。

JPCERT/CC Alert 2003-08-13
TCP 135番ポートへのスキャンの増加に関する注意喚起
http://www.jpcert.or.jp/at/2003/at030005.txt

JPCERT/CC Vendor Status Note JVNCA-2003-20
W32/Blaster ワーム
http://jvn.doi.ics.keio.ac.jp/vn/JVNCA-2003-20.html

なお、感染したホストの復旧作業として、OS を再インストールしパッチを適用するためネットワークに接続したところで、W32/Blaster ワームあるいは別のワームなどに再度感染する例が報告されています。以下に示す URL で紹介されているドキュメントなどを参照し、十分に注意しつつ復旧作業を行なうことをお勧めします。

マイクロソフト セキュリティ情報
Blaster に関する情報
http://www.microsoft.com/japan/technet/security/virus/blaster.asp


III. ワームによる DDoS 攻撃について

W32/Blaster ワームは windowsupdate.com というドメイン名で示される IP
アドレスへの DDoS 攻撃を行なう可能性があります。また、この DDoS 攻撃では IP パケットの送信元アドレスを詐称することも指摘されています。この
DDoS 攻撃のトラフィックによりネットワークが輻輳を起こすなどの影響を受ける可能性が考えられます。

自サイト内の W32/Blaster ワームに感染したホストが攻撃を行なうことを防ぐために、またネットワークへの影響を抑えるために、ルータなどのパケットフィルタリング機能を使って、自サイトから windowsupdate.com の IP アドレスに向かうパケットに対してフィルタを適用することもご検討ください。

なお、このワームが DDoS 攻撃の対象としている windowsupdate.com は、通常 Windows Update を行なう際に利用されるサイトとは異なるドメイン名です。よって、フィルタリングを適用しても Windows Update を行なう上では影響はありません。


今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。

==============================
JPCERT コーディネーションセンター (JPCERT/CC)
TEL: 03-3518-4600 FAX: 03-3518-4602
http://www.jpcert.or.jp/
Topへ
最新情報(RSSメーリングリストTwitter