よくある質問と回答
概要編
Q. Nimda ワームとは何ですか?
| **A.** | Nimda ワームは、IE および IIS の既知の弱点を利用するワームです。このワームは電子メール、Web ブラウザ、Web サーバー、ファイル共有の 4 つの経路から感染する、非常に感染力の高いワームです。このワームに感染した場合、「多大なトラフィックによるインターネット、および LAN の速度低下 」、「CPU 使用率 100% 」、「コンテンツの改ざん (スクリプトが追加されます) 」、「トロイの木馬の設置」などシステムに非常に深刻な弱点が作成されます。 |
Q. Nimda ワームが利用しているのはどのような弱点ですか?
| **A.** | Nimda ワームには 2 つの既知のセキュリティ上の弱点が使用されています。1 つは、[MS01-020「不適切な MIME ヘッダーが原因で Internet Explorer が電子メールの添付ファイルを実行する」](https://www.microsoft.com/japan/technet/security/bulletin/ms01-020.mspx)、もう 1 つは [MS00-078「Web サーバー フォルダへの侵入」](https://www.microsoft.com/japan/technet/security/bulletin/ms00-078.mspx)です。 |
Q. Nimda.E とは何ですか?
| **A.** | Nimda.E は、Nimda ワームの亜種で感染方法などには変わりはありません。しかし、Nimda ワームとは別のファイルに感染します。Nimda.E は、sample.exe というファイルを添付したメールを送信し、ウイルスに感染した httpodbc.dll、Csrss.exe を作成します。 |
対象製品編 : IE について
Q. IE 4.0 は影響を受けますか?
| **A.** | すべての IE 4.0 (4.0/4.01/4.01 SP1/4.01 SP2) で感染する恐れがあります。IE をアップデートし、脆弱性を排除してください。詳細については、「詳細」 セクションの 「電子メール」 および 「Web ブラウザ」 の項目を参照してください。 |
Q. IE 5.0 は影響を受けますか?
| **A.** | 次の IE 5.0 バージョンで感染する恐れがあります。(5.0/5.01/5.01 SP1) |
Q. IE 5.5 は影響を受けますか?
| **A.** | 次の IE 5.5 バージョンで感染する恐れがあります。(5.5/5.5 SP1) |
Q. IE 6.0 は影響を受けますか?
| **A.** | 最小構成でインストールした場合、IE 6.0 でも感染する恐れがあります。Windows Me/Windows 98 Second Edition/Windows 98 に IE 6.0 をインストールする際は 「標準」 または 「完全」 インストールをしてください。Windows 2000 では 「専用モード」 でインストールされるためインストールモードを選択することはできませんが、感染の恐れはありません。 |
Q. Macintosh 用の IE も影響を受けますか?
| **A.** | 影響を受けません。 |
Q. IE 3.x は影響を受けますか?
| **A.** | 影響を受けません。 |
Q. IE のアップデートを行う場合は、以前のバージョンをアンインストールする必要がありますか?
| **A.** | アンインストールは行わないでください。アンインストールによって、必要な共通ファイルが削除され、IIS などでエラーの要因となることがあります。 |
Q. Internet Explorer 5.5 Service Pack 2、 5.01 Service Pack 2、6 (Outlook Express を含む標準構成以上) などの MS01-020 の影響を受けないバージョンでも、改ざんされた Web ページを表示した後にウイルスが検知されました。
| **A.** | Internet Explorer は、html ファイルや 画像ファイルなど、全てのコンテンツを読み込んだ際に Temporary Internet Files (インターネット一時ファイル) という特殊なフォルダに、いったんコンテンツをコピーしてから表示します。改ざんされた Web ページ と readme.eml も、アクセスした際にいったん Temporary Internet Files にコピーされます。 そのため [MS01-020](https://www.microsoft.com/japan/technet/security/bulletin/ms01-020.mspx) の対策がなされている、Internet Explorer 5.5 Service Pack 2、 5.01 Service Pack 2、6 (Outlook Express を 含む標準構成以上) のバージョンでは、改ざんされた Web ページを表示しても感染はしませんが、Temporary Internet Files 内の readme.eml や、html ファイルなどを駆除ツールが検知する場合があります。 「インターネット一時ファイル」が作成されるフォルダなどの設定は、以下の手順で確認できます。 1. Internet Explorer を起動する 2. メニューから \[ツール\] - \[インターネットオプション\] をクリックする 3. \[全般\] タブにある 「インターネット一時ファイル」から \[設定\] ボタンをクリックする |
対象製品編 : IIS について
Q. 対策手順を統一する為、IIS がインストールされていないマシンにも MS01-044 をインストールしようと思いますが、インストールしても問題ありませんか?
| **A.** | インストールしないでください。MS01-044 は、IIS に対する包括的な修正プログラムです。IIS のインストールされていないマシン上にこの修正プログラムをインストールしようとすると、エラーが発生します。 |
Q. MS01-044 のセキュリティ修正モジュールを Personal Web Server (PWS) に適用することはできますか?
| **A.** | Windows NT Workstation 4.0 Service Pack 5 以上の環境、また Windows 2000 Professional 環境に、[MS01-044](https://www.microsoft.com/japan/technet/security/bulletin/ms01-044.mspx)のセキュリティ修正モジュールを適用することができます。 |
Q. MS00-078 「Web サーバー フォルダへの侵入」の弱点を利用するということですが、なぜ SRP や MS01-044 の適用が必要になるのですか?
| **A.** | 前回 CodeRed という [MS01-033「Index Server ISAPI エクステンションの未チェックのバッファにより Web サーバーが攻撃される」](https://www.microsoft.com/japan/technet/security/bulletin/ms01-033.mspx)のセキュリティ ホールを利用したワームが発生しましたが、その際にそのセキュリティ ホールのみをふさいだサーバーが、今回の Nimda による [MS00-078](https://www.microsoft.com/japan/technet/security/bulletin/ms00-078.mspx)のセキュリティ ホールによる攻撃で感染しております。このように、セキュリティ ホールを残しておくことは、別のセキュリティ ホールを使用するワームが発生したときに、再度感染することを意味します。[SRP](https://www.microsoft.com/japan/technet/archive/security/news/nt4srp.mspx?mfr=true) や [MS01-044](https://www.microsoft.com/japan/technet/security/bulletin/ms01-044.mspx) を適用することで他の既知の弱点を利用した別のウイルスや攻撃からサーバーを守ることができます。 |
Q. IIS 1.0 は影響を受けますか?
| **A.** | 現在 (2001/09/26) のところ、Web サーバー経路による感染は確認されていません。 |
Q. IIS 3.0 は影響を受けますか?
| **A.** | 現在 (2001/09/26) のところ、Web サーバー経路による感染は確認されていません。IIS 3.0 をご利用になっているお客様には、IIS 4.0 以降のバージョンにアップグレードすることを強くお勧めします。IIS 4.0 へのアップグレードには、[Windows NT 4.0 Option Pack](https://www.microsoft.com/japan/products/ntserver/option_pack/default.htm) が必要です。IIS 5.0 へのアップグレードには、OS 自体を Windows 2000 Server にアップグレードする必要があります。 注意 : IIS 3.0 をご利用の環境に MS01-044 を適用しないでください。現在 (2001/09/26) のところ IIS 3.0 環境における Web サーバー経路での Nimda ワームの感染は確認されていませんが、IIS 4.0 にアップグレードの上、MS01-044 を適用していただくことをお勧めします。 |
Q. PWS (Personal Web Server) を使用しています。Nimda ワームの感染経路のひとつに「Web サーバーの経路」があげられていますが、PWS の場合でも感染しますか?
| **A.** | PWS をご使用いただいている環境によって異なります。Windows 95/98 の環境で PWS をお使いの場合は、「Web サーバーの経路」による感染の恐れはありません。ただし、「Web サーバーの経路」以外での感染の可能性はありますので、Internet Explorer のバージョンアップなどの対策は必要になります。 Windows NT 4.0 Workstation の環境で PWS をお使いの場合は、「Web サーバーの経路」による感染の可能性があります。Windows NT Workstation 4.0 Service Pack 5 以上を適用し、[MS01-044](https://www.microsoft.com/japan/technet/security/bulletin/ms01-044.mspx)の修正プログラムを適用してください。 |
ファイル共有について
Q. ファイル共有で感染する経路は、どの脆弱性によるものですか?
| **A.** | ファイル共有を通じての感染は、マイクロソフト製品自体の脆弱性をついたものではありません。感染したクライアントが自身のA~Zドライブに対して、ワームのファイルをコピーする際に、共有ディレクトリをドライブマッピングしている場合、ファイル共有元のディレクトリに対してウイルスをコピーすることが原因です。 |
対策編
Q. ウイルス除去プログラムを実行したところ、httpodbc.dll というファイルが検出されました。Nimda ワームと何か関係がありますか?
| **A.** | httpodbc.dll は、 Nimda ワームの亜種である Nimda.E に感染した場合に検出されます。 |
Q. ウイルス対策プログラムを実行すると、_RESTORE フォルダにウイルスが発見されました。しかし、除去することができません。
| **A.** | Windows Me のシステムファイル保護機能によって \_RESTORE フォルダが保護されていることが原因です。詳細および除去の手順については、サポート技術情報 [JP263455](https://support.microsoft.com/default.aspx?scid=kb;ja;jp263455)を参照してください。 |
Q. Windows Me の復元機能を実行したら、ウイルスに感染してしまいました。?
| **A.** | Windows Me のシステムファイルの保護機能で使用する \_RESTORE フォルダ内のファイルがウイルスに感染していた可能性があります。始めにウイルス対策ソフトを使用して、システムのウイルスの除去を行ってください。その後、ウイルス感染時のデータが \_RESOTR フォルダに格納されている可能性がある場合には、サポート技術情報 [JP263455](https://support.microsoft.com/default.aspx?scid=kb;ja;jp263455)を参照し、詳細の確認、除去を行ってください。 |
Q. ユーザーのために用意された本件に対する技術的な問合せ先はありますか?
| **A.** | 弊社では Nimda ウイルスおよび IIS を Web サーバーとしてお使いのお客様に対する専用の問い合わせ窓口を開設しました。 セキュリティ修正モジュールの適用の仕方や入手方法などの簡単な技術的問い合わせに応じます。通常の製品サポートを行うものではありませんので、Nimda ワーム以外のお問い合わせにつきましては、当窓口/センターではお答えいたしかねますことをご理解願います。また、ご質問の内容によりましては弊社の有償サポートをご案内させていただくこともあります。 **セキュリティ情報に関する窓口** Microsoft セキュリティ情報センターでは、セキュリティに関するお問い合わせをお受けします。 詳細については以下のホームページをご参照ください。 Microsoft セキュリティ情報センター |
.gif){kind=icon}