Windows RPC の脆弱性を使用するワームに関する注意喚起
最終更新: 2003-08-15
各位
JPCERT-AT-2003-0006
JPCERT/CC
2003-08-15
<<< JPCERT/CC Alert 2003-08-15 >>>
Windows RPC の脆弱性を使用するワームに関する注意喚起
Threat of W32/Blaster Worm DDoS Attack
http://www.jpcert.or.jp/at/2003/at030006.txt
I. 概要
Microsoft Windows の RPC (Remote Procedure Call) の実装に含まれる既
知の脆弱性を使用するワームの感染が、国内外で広がっています。このワーム
に感染したホストは分散型サービス運用妨害 (DDoS) 攻撃を行なう可能性があ
ります。
II. ワーム感染への対処方法
「W32/Blaster」ワームに感染しているかどうかの確認および対処方法につ
いては、以下の URL で示されるページをご参照ください。
JPCERT/CC Alert 2003-08-13
TCP 135番ポートへのスキャンの増加に関する注意喚起
http://www.jpcert.or.jp/at/2003/at030005.txt
JPCERT/CC Vendor Status Note JVNCA-2003-20
W32/Blaster ワーム
http://jvn.doi.ics.keio.ac.jp/vn/JVNCA-2003-20.html
なお、感染したホストの復旧作業として、OS を再インストールしパッチを
適用するためネットワークに接続したところで、W32/Blaster ワームあるいは
別のワームなどに再度感染する例が報告されています。以下に示す URL で紹
介されているドキュメントなどを参照し、十分に注意しつつ復旧作業を行なう
ことをお勧めします。
マイクロソフト セキュリティ情報
Blaster に関する情報
http://www.microsoft.com/japan/technet/security/virus/blaster.asp
III. ワームによる DDoS 攻撃について
W32/Blaster ワームは windowsupdate.com というドメイン名で示される IP
アドレスへの DDoS 攻撃を行なう可能性があります。また、この DDoS 攻撃で
は IP パケットの送信元アドレスを詐称することも指摘されています。この
DDoS 攻撃のトラフィックによりネットワークが輻輳を起こすなどの影響を受
ける可能性が考えられます。
自サイト内の W32/Blaster ワームに感染したホストが攻撃を行なうことを
防ぐために、またネットワークへの影響を抑えるために、ルータなどのパケッ
トフィルタリング機能を使って、自サイトから windowsupdate.com の IP ア
ドレスに向かうパケットに対してフィルタを適用することもご検討ください。
なお、このワームが DDoS 攻撃の対象としている windowsupdate.com は、
通常 Windows Update を行なう際に利用されるサイトとは異なるドメイン名で
す。よって、フィルタリングを適用しても Windows Update を行なう上では影
響はありません。
今回の件につきまして当方まで提供いただける情報がございましたら、ご連
絡ください。
======================================================================
JPCERT コーディネーションセンター (JPCERT/CC)
TEL: 03-3518-4600 FAX: 03-3518-4602
http://www.jpcert.or.jp/
Topへ