you are in: 2003-08-19
blast it!
先週からWindowsの脆弱性をついたWorm - W32.Blaster.Worm (Symantec Japan)、またの名をWORM_MSBLAST.A(トレンドマイクロ)、またの名をW32/Lovsan.worm.a(NAI) - が猛威を振るっている。日本でもIPA/ISECによれば、 2003年 8月19日 17:00 現在、IPA/ISEC に寄せられている感染被害等による相談・届出は、累計で 2.210件以上になっており、特に、ホ ームユーザからの相談を多く受けています。
というように、一般のInternetユーザを中心に感染が報告されているようだ。» W32/MSBlaster information (IPA/ISEC)
このWormはTCPポート135を通じ、Microsoftが7月17日に発表したセキュリティホール RPC インターフェイスのバッファ オーバーランによりコードが実行される [823980] [MS03-026] (Microsoft TechNet) を利用して感染して行く。感染するOSはWindows XPやWindows 2000、Windows NT、そして最新のOSとなるWindows 2003だ。Wormが感染するとPCの再起動時に同じネットワーク内のコンピュータやランダムに検索されたIPアドレスを持つコンピュータに感染を試みる。
おかげで自宅のルータは210.xxx.xxx.xxxからのポート135宛のログで溢れかえることとなった。ていうか、これまでまともにルータのログを見ていなかった僕だが、これほどまでにひどいものかとちょっとショックを受けた。
今回のWormはWindowsの脆弱性をついてただ感染を広げるだけでなく、8月16日以降、MicrosoftのWindows UpdateのWebサイトに一斉にDDoS(分散DoS攻撃)を仕掛けるという小手業まで備わっていた。しかし、Microsoftも対応策を講じたため、結局、この攻撃が影響を与えることはなかったようだ。その代わり、18日の昼過ぎぐらいからルータのログにICMPエコーのパケットを廃棄したというnoticeが増え始めた。
2003/08/18 14:44:34 JST [F:1, P:4] S03:MSQ: Discard packet. ICMP(210.130.56.8 -> 210.130.xxx.xxx)
2003/08/18 14:44:43 JST [F:1, P:4] S03:MSQ: Discard packet. ICMP(210.130.72.27 -> 210.130.xxx.xxx)
2003/08/18 14:46:06 JST [F:1, P:4] S03:MSQ: Discard packet. ICMP(210.127.220.46 -> 210.130.xxx.xxx)
2003/08/18 14:46:54 JST [F:1, P:4] S03:MSQ: Discard packet. ICMP(210.127.218.21 -> 210.130.xxx.xxx)
2003/08/18 14:46:58 JST [F:1, P:4] S03:MSQ: Discard packet. ICMP(210.130.46.249 -> 210.130.xxx.xxx)
2003/08/18 14:47:14 JST [F:1, P:4] S03:MSQ: Discard packet. ICMP(210.130.46.167 -> 210.130.xxx.xxx)
2003/08/18 14:48:48 JST [F:1, P:4] S03:MSQ: Discard packet. ICMP(210.130.37.46 -> 210.130.xxx.xxx)
2003/08/18 14:49:06 JST [F:1, P:4] S03:MSQ: Discard packet. ICMP(210.130.35.72 -> 210.130.xxx.xxx)
2003/08/18 14:49:07 JST [F:1, P:4] S03:MSQ: Discard packet. ICMP(210.130.38.44 -> 210.130.xxx.xxx)
2003/08/18 14:50:56 JST [F:1, P:4] S03:MSQ: Discard packet. TCP(210.127.234.120,2547 -> 210.130.xxx.xxx,135)
2003/08/18 14:52:04 JST [F:1, P:4] S03:MSQ: Discard packet. ICMP(210.130.70.237 -> 210.130.xxx.xxx)
2003/08/18 14:53:13 JST [F:1, P:6] SYS:NTP: Adjust time.(14:53:00)
2003/08/18 14:55:13 JST [F:1, P:4] S03:MSQ: Discard packet. ICMP(210.127.214.127 -> 210.130.xxx.xxx)
2003/08/18 14:55:46 JST [F:1, P:4] S03:MSQ: Discard packet. ICMP(210.130.27.10 -> 210.130.xxx.xxx)
2003/08/18 14:57:29 JST [F:1, P:4] S03:MSQ: Discard packet. ICMP(210.132.146.20 -> 210.130.xxx.xxx)
2003/08/18 15:00:40 JST [F:1, P:4] S03:MSQ: Discard packet. ICMP(61.178.44.76 -> 210.130.xxx.xxx)
2003/08/18 15:01:43 JST [F:1, P:4] S03:MSQ: Discard packet. ICMP(218.17.60.211 -> 210.130.xxx.xxx)
2003/08/18 15:02:10 JST [F:1, P:4] S03:MSQ: Discard packet. ICMP(61.82.109.42 -> 210.130.xxx.xxx)
2003/08/18 15:03:13 JST [F:1, P:6] SYS:NTP: Adjust time.(15:03:00)
結局、これは今日になって新種のWorm W32.Welchia.Worm (Symantec Japan) ということがわかった。ちなみにこのWorm、NAIではW32/Nachi.wormとしているものの、トレンドマイクロだけがMSBlastの亜種としてWORM_MSBLAST.Dという名前にしている。そのICMPエコー(pingを打っている)が今日も届く。少し沈静化してきたかと思ったが、またかなり増えてきているようだ。
Blasterが流行した要因として、これが今も感染数の多いKlez (IPA/ISEC) や一昨年に流行したNimda (IPA/ISEC) といったメールで感染するものとは違い、ネットワーク上で拡散していくWormということだろう。また、Windows XPの脆弱性 - RPCインタフェースのバッファオーバーラン - がMicrosoft自身わかっていたように、非常に重大な欠陥だったことだ。そしてその重大なセキュリティホールにパッチを当てているユーザがどれだけ少ないかということがわかったのだった(このセキュリティホールが発表されたのは7月のことだ)。» WindowsのRPCに任意のコードを実行されてしまう深刻な脆弱性 (INERNET Watch)
クライアント側で先のWindowsのパッチを当てていれば、常時接続の回線を利用している場合、ルータを介して接続していれば(不要なポートは閉じていれば)、Blasterに感染することはなかった(もしくはWin32系のOSを使っていなければいいというWin9x系を使っている者はラッキーということだ)。しかし、問題の根元はやはりWindowsのセキュリティホールにある。いくらMicrosoftがパッチを無償で提供しているのだからと言っても、それを一般ユーザに定期的に行えというのは無理がある。このことはMicrosoft自身認めている。» 懸念される『ブラスター』類似の攻撃 (HotWired Japan)
マイクロソフト社では、実際問題として利用者には責任がないことを認めている。「結局のところ、原因はわれわれのソフトウェアの脆弱性だ」
そう言う僕はWindowsのパッチやIEのパッチをw2k SP2を当てて以来、ずっと当てていない。パッチを当てると何かほかのアプリケーションでおかしな動作が生じたりするのに耐えきれなくなったからだ。メールについてはISPのメールサーバでウィルスチェックを行っている。しかし、Webや今回のネットワークを経由したWormについては無防備だと思う。
WebについてはIEはなるべく使わずにOperaで閲覧するようにしているからそれほど脅威を感じない。また、今回のようなポートを叩いてくるようなものでも、ルータのパケットのフィルタリングでなんとかなっている。これだけではいずれ感染するのではないかという不安はある。特にWindowsを使っている限りその脅威からは逃れられないのかもしれない。本気でLinuxかFreeBSDに移行しようかと考える今日この頃だ。しかし、WindowsのGUIの方が使いやすい、Linux/FreeBSD系の日本語フォントの拙さに重い腰が上がらないというのが本音だ。■
梅雨、ふたたび
8月、お盆に入っても一向に天気は回復せず、長雨に祟られる今年の夏、ついに気象庁が今月2日に出した関東甲信越と東北地方南部の梅雨明け宣言を撤回する可能性があると読売新聞が報じている。» 気象庁、梅雨明け撤回を検討…関東甲信・東北南部(読売新聞)
8月も後半に入ったが、相変わらず涼しい日が続いている。このまま行くと今年は冷夏、1993年以来の冷夏になる可能性あるらしい。そして米や野菜といった農作物の不作が懸念されている。メディアでは早速、野菜価格の高騰を伝え始めた。» 冷夏:お盆明けに野菜高騰 東京・大田市場(毎日新聞)
******
一方、今年のヨーロッパは異常な熱波に襲われている。30°Cを越す日々が続いているらしい。先々週にはなんと英国南部KentにあるGravesendで100.6°F (38.1°C) を記録、これは1875年に記録を取り始めてから最高気温となったとのこと。ロンドンでも33°Cを記録した。これは英国の比較的涼しい、過ごしやすい夏からすると本当に異常だ。» Heatwave sizzles on after record day (BBC News)
パリではこの熱波で50人が亡くなった (BBC News) と言われ、異常気象が続いている。これは偏西風が蛇行していることが原因とテレビでは言っていた。また、このヨーロッパの熱波と日本の冷夏は関連があり、ジェット気流が今年は大きく蛇行していることがこの異常気象を発生させているらしい。
******
正直のところ、僕はこのまま夏は終わり、秋がやって来てくれたらと思う。ただじめじめと蒸し暑い日本の夏は嫌いだ。そして、10月ぐらいに心地いい、からっとした好天が続いてくれたりすると嬉しい。Indian summerを期待。■