-----BEGIN PGP SIGNED MESSAGE----- JPCERT/CC 2004-05-13 JPCERT/CC インターネット定点観測システム Sasser ワームの感染活動に関連するポートスキャン状況について 昨年11月から稼動しているインターネット定点観測システム (ISDAS) におい て、4月末以降、Sasser ワームの感染活動に関連すると思われるスキャン傾向 を観測しています。 2004年4月14日(水) から 5月10日(月) のグラフ http://www.jpcert.or.jp/isdas/average_scans_nostack_sasser.png Sasser ワームは、2004年4月に公開された MS04-011 で報告されている Microsoft Windows の Local Security Authority Subsystem Service (LSASS) に含まれる脆弱性を使って伝播するワームであり、その存在は 2004 年4月30 日に確認されました。このワームは、感染を広げる際に 445/tcp へのアクセ スを行なうことが知られています。 445/tcp へのアクセス (スキャン) は、Sasser ワームの出現以前から観測さ れていましたが、Sasser ワームの出現とともに急激に増加しました。 今回の ISDAS の観測結果では、5月4日以降 Sasser ワームの感染活動は減少 傾向にあると推測されますが、すでに複数の亜種が確認されていること、また、 Sasser と同じ脆弱性を悪用する新種のワームも確認されていることから引き 続き注意が必要です。 [参考資料] JPCERT/CC インターネット定点観測システム Internet Scan Data Acquisition System (ISDAS) http://www.jpcert.or.jp/isdas/ JPCERT/CC REPORT 2004-05-12号 (W32/Sasser ワームに関する情報) http://www.jpcert.or.jp/wr/2004/wr041801.txt JPCERT/CC Alert 2004-05-04 Windows LSASS の脆弱性を使って伝播するワーム W32/Sasser http://www.jpcert.or.jp/at/2004/at040006.txt Status Tracking Note TRJVN-2004-02 W32/Sasser ワーム http://jvn.doi.ics.keio.ac.jp/tr/TRJVN-2004-02.html マイクロソフト セキュリティ情報 Sasser ワームについてのお知らせ http://www.microsoft.com/japan/security/incident/sasser.mspx マイクロソフト セキュリティ情報 Sasser ワームおよび亜種についての警報 http://www.microsoft.com/japan/technet/security/alerts/sasser.mspx 以上 -----BEGIN PGP SIGNATURE----- Version: 2.6.3ia Charset: noconv iQCVAwUBQKNATIx1ay4slNTtAQFZ3AP+KWGF8db9LBhOiRefwzpjXOgd1ovueNlY zcWdDDm0MlQSn9zNJ16tkCinBQldTclT5rQXl2t1e0OBYdVWhJkTyqS7L5dqvmn/ dSWTPI/91d1Sw7zo6VG9YgM0m7rJAI63ZPz6aQuKWSH01vHuJfA2mBDAuG0Qte2l rwycCI/yv0s= =fcPI -----END PGP SIGNATURE-----