Blaster に関する情報
公開日: 2003年8月12日 | 最終更新日: 2004年4月15日
トピック
はじめに
本ワームの感染が行われてしまう条件
影響を受ける恐れのある製品
本ワームへの対策
対策による影響
回避策
イラストを交えた対策説明ページはこちらです | |||
---|---|---|---|
亜種によりネットワークが遅くなる | Windows XP 編 | Windows 2000/Windows NT 4.0 編 | 本情報は、FAX BOX でも入手していただくことが可能です。入手方法は、こちらをご覧ください。 |
Windows Update で時間がかかる場合には、こちらからダウンロードしてください |
---|
以下は Blaster ワームの対策に、最低限必要なプログラムです。インストール方法は上記の対策説明ページをご覧ください。これらのプログラムのインストール後は Windows Update で最新のセキュリティ修正プログラムをインストールしてください。
|
Blaster ワーム駆除ツール |
---|
この駆除ツールは上記のセキュリティ修正プログラムをインストールしたあとで Blaster ワームを駆除することが出来ます。詳細はサポート技術情報 833330 をご覧下さい。 注意 : 2005 年 2 月 8 日、マイクロソフトは Blaster ワーム駆除ツールを Microsoft Windows 悪意のあるソフトウェアの削除ツールに置き換えました。 悪意のあるソフトウェアの削除ツールの関連情報を参照するには、こちらをクリックしてください。 |
Blaster ワームの亜種に関しては、次のページをご覧ください。 Blaster ワームの亜種にご注意ください |
はじめに
日本時間 2003 年 8 月 12 日 午前 2 時頃より Blaster ワームと呼ばれる Windows を対象としたウイルス感染による被害が発生しました。弊社では、このワームによる影響からお客様の環境を守るため、情報を公開いたします。(別名に WORM_MSBLAST.A, W32.Blaster.Worm, W32/Lovsan.worm 等があります)
本ワームは Windows OS に対して、TCP135 ポート (Microsoft RPC) に対して MS03-026 の脆弱性を悪用した攻撃データを送信します。 MS03-026 の脆弱性の対策が行われていない Windows OS は、攻撃を受け "感染" し、自らが攻撃者となり他のシステムに対して "感染" 活動を開始します。
本ワームは、"感染" 活動を行うことが目的であり、 Windows OS の書き換えやデータの破壊は確認されていません。しかしながら、感染活動により、Windows OS の一部が異常終了または再起動することがあります。また、攻撃のためのデータによりネットワークの帯域を消費し、結果的にネットワーク全体のスループットが低下する恐れがあります。
弊社 STPP パートナーであるウイルス対策ソフトウェアベンダー各社からも、本ワームに関する情報が公開されておりますので併せてご参照ください。
インターネット セキュリティ システムズ株式会社 https://www.isskk.co.jp/support/techinfo/general/MS_Blast.html
「Microsoft Windows RPC の脆弱点」をつく攻撃を予防するには https://www.isskk.co.jp/security_center/147/solution.html
RealSecure Desktop Protector (無償予防ツール) https://www.isskk.co.jp/security_center/147/solution.html
株式会社シマンテック https://www.symantec.co.jp/region/jp/sarcj/data/w/w32.blaster.worm.html
W32.Blaster.Worm 駆除ツール (無償駆除ツール) https://www.symantec.co.jp/region/jp/sarcj/data/w/w32.blaster.worm.removal.tool.html
W32.Welchia.Worm 駆除ツール (無償駆除ツール) https://www.symantec.co.jp/region/jp/sarcj/data/w/w32.welchia.worm.removal.tool.html
トレンドマイクロ株式会社 https://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.A
- トレンドマイクロ システム クリーナ ver. 3.0(TSC) (無償駆除ツール) https://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionId=4700
日本ネットワークアソシエイツ株式会社 https://www.nai.com/japan/security/virL.asp?v=W32/Lovsan.worm
- AVERTウイルス駆除ツールStinger(スティンガー)(無償駆除ツール) https://www.mcafee.com/japan/security/stinger.asp
株式会社ラック https://www.lac.co.jp/business/sns/intelligence/index.html
本ワームの感染が行われてしまう条件
RPC インターフェイスのバッファ オーバーランによりコードが実行される(823980) のセキュリティ修正プログラムを適用していない場合
かつWindows が使用している TCP 135 ポートをインターネットとの接続を行っているルーターもしくはファイアウォールで遮断していない場合
影響を受ける恐れのある製品
Microsoft Windows NT:
Microsoft Windows NT Workstation 4.0
Microsoft Windows NT Server 4.0
Microsoft Windows NT Server, Enterprise Edition 4.0
Microsoft Windows NT Server 4.0, Terminal Server Edition
Microsoft Windows 2000:
Microsoft Windows 2000 Professional
Microsoft Windows 2000 Server
Microsoft Windows 2000 Advanced Server
Microsoft Windows 2000 Datacenter Edition
Microsoft Windows 2000 Powered
Microsoft Windows XP:
Microsoft Windows XP Home Edition
Microsoft Windows XP Professional
Microsoft Windows XP Tablet PC Edition
Microsoft Windows XP Media Center Edition
* Microsoft Windows XP Media Center Edition の日本語版は発売されていません。
Microsoft Windows XP 64-bit Edition
* Microsoft Windows XP 64-bit Edition は、一般に販売されている Microsoft Windows XP とは異なる製品です。
Microsoft Windows XP Embedded
* Microsoft Windows XP Embedded は、一般に販売されている Microsoft Windows XP とは異なる製品です。
Microsoft Windows Server 2003:
Microsoft Windows Server 2003 Standard Edition
Microsoft Windows Server 2003 Enterprise Edition
Microsoft Windows Server 2003 Datacenter Edition
Microsoft Windows Server 2003 Web Edition
影響を受けない製品
Microsoft Windows 98
Microsoft Windows 98 Second Edition (SE)
Microsoft Windows Millennium Edition (Me)
本ワームへの対策
本ワームの対策には、Windows の修正プログラム MS03-026 を適用する必要があります。すでに感染されている場合は、対策後に、別途駆除の作業が必要となります。
以下の手順では、MS03-026 の修正プログラムの適用方法について解説しています。
Step 0: Windows が突然再起動してしまう場合の対処 |
---|
ワームの影響により、Windows が再起動する場合があります。再起動を繰り返してしまうお客様は、まず、本ページを保存してください。Internet Explorer をお使いの場合は、以下の手順で保存できます
保存が終わりましたら、パソコンを以下の手順でネットワークから切断します。
|
Step 1: 影響を受ける Windows か確認する |
---|
コマンドによる確認方法 ver コマンドを実行するとWindows の種類ごとに 以下のような結果が表示されます。Service Pack の適用状況などにより Version の下四桁は変化することがあります。 |
Step 2: 対策中の攻撃を予防します |
---|
Windows XP または Windows Server 2003 「回避策 2: インターネット接続ファイアウォールを使用する」を実施します。 Windows NT または Windows 2000 「回避策 5: DCOM を無効にする」を実施します。 |
Step 3: Blaster ワームの感染の確認 |
---|
|
Step 4: Blaster ワームの駆除 |
---|
Blaster ワームの駆除には、「はじめに」に記載しているパートナー企業が提供している駆除ツールを利用することも出来ます。以下は、手動による駆除の手順です。
現段階では、まだネットワークに接続しないでください。
ワームの実行を停止します。
|
Step 5: ネットワークの回復 |
---|
Step 0 ではずした、LAN ケーブル、電話線 や 無線 LAN のアダプタ(カード)を元に戻します。また、ADSL, CATV 等のブロードバンドルーターやモデムの電源も合わせて入れます。 |
Step 6: 影響の有無を確認する |
---|
ツールによる確認方法
KB 824146 Scanning Tool による確認方法
マイクロソフトは、Blaster ワームの影響を受ける可能性のある Windows を検知する KB 824146 Scanning Tool というツールをリリースしました。
注意 : 本ツールは、英語版のみですが、日本語環境でもご使用いただけます。ただし、入力ファイル、出力ファイル、ログ ファイル、およびホスト コンピュータのパスには、2 バイト文字セット (DBCS) の文字は使用できません。
このツールは次のページから無償で入手できます。 KB 824146 Scanning Tool このユーティリティは、Windows NT 4.0、Windows 2000、Windows XP および Windows Server 2003 を検索し、Blaster ワームの影響を受ける可能性のある Windows を検知します。 KB 824146 Scanning Tool は個々のコンピュータ、Windows ドメインまたは特定の IP アドレスの範囲をスキャンします。 KB 824146 Scanning Tool を実行すると以下のような結果が表示されます。結果に patched with KB824146 と表示された場合は対策済みです。Blaster ワームによる影響はありません。 結果に unpatched と表示された場合、影響を受ける恐れがあります。 KB 827363 Scanning Tool の使用方法や、出力例などは、下記のサポート技術情報をご確認ください。 827363 KB 824146 Scanning Tool を使用して、セキュリティ修正プログラム 823980 (MS03-026) および 824146 (MS03-039) がインストールされていないホスト コンピュータを特定する方法 (827363) 手動による確認 Windows NT 4.0
Windows 2000
Windows XP
Windows Server 2003
|
Step 7: サービスパックの確認 |
---|
Windows NT と Windows 2000 をお使いの場合は、修正プログラムを適用する前に Service Pack を適用する必要があります。現在適用している Service Pack は、以下の手順で確認できます。
Windows NT 4.0
Service Pack の適用前に、リリースノート および、FAQ をお読みください。 Windows 2000
Windows 2000 をお使いの場合は、Serverce Pack 2、Service Pack 3 または 4 を適用する必要があります。Service Pack は、以下から入手可能です。できる限り最新の Service Pack を適用することをお勧めします。 Service Pack の適用前に、各 Service Pack のページに記載の「詳細情報」をお読みください。 |
Step 8: セキュリティ修正プログラムの入手 |
---|
MS03-026 を適用することで本ワームの感染を防ぐことができます。以下の手順で入手することができます。
MS03-026 の修正を含む MS03-039 が公開されました。 可能な限り、 MS03-026 の修正を含む MS03-039 の適用をお勧めいたします。 しかしながら、亜種の中に MS03-007 を併用する複合型のワームが発見されました。 そのため、あわせて MS03-007 の修正プログラムが適用されていることを確認してください。Windows 2000 のお客様は MS03-013 の適用でも防ぐことが可能です。(Windows 2000 用の MS03-013 の修正プログラムには、MS03-007 の修正内容が含まれています。)
|
Step 9: 対策 |
---|
再度感染しないために、セキュリティ修正プログラムを以下手順で適用します。
Windows NT 4.0
注意 : 再起動しませんと修正プログラムの適用が終了しません。再起動前は、本ワームの影響を受ける状態ですので、必ず再起動をお願いします。 Windows XP/Windows 2000/Windows Server 2003
注意 : 再起動しませんと修正プログラムの適用が終了しません。再起動前は、本ワームの影響を受ける状態ですので、必ず再起動をお願いします。 |
Step 10: ネットワークの回復とシステムの開始 |
---|
Step 2 で実施した回避策を元に戻します。 注意 : ご家庭等で LAN を構築されている方(複数台をネットワークで接続している方) は、全てのコンピュータの対策が完了してから、インターネットに接続してください。 |
対策による影響
本体策による特別な影響はございません
回避策を実施することによる影響については、各回避策の欄をご覧ください。
回避策
以下の回避策は、全て実施する必要はありません。 環境や使用している機能に合わせてもっとも適切な回避策を選択してください。
回避策 1: ポートをブロックする |
---|
ファイアウォールまたは境界ルーター等で以下のポートを使用した通信を遮断、外部からの感染を防止します。
ポートの通信を遮断する場合は、外から内 (In-bound) と 内から外 (Out-bound) の両方を遮断してください。 Out-bound を閉じることで、社内から本ワームの活動がインターネットに広がることを防止します。
関連するポート
本回避策による影響
注意 : 社内 LAN を接続する拠点間のルーターで対策する場合は、回避策を実施することで、拠点間の通信が行えなくなることがあります。 VPN 等で接続されている場合は問題ありません。 |
回避策 2: インターネット接続ファイアウォールを使用する |
---|
Windows XP および Windows Server 2003 は、「インターネット接続ファイアウォール」を使用することができます。
インターネット接続ファイアウォールを有効にすることで、既定の状態でインターネットなどの外部からの RPC 接続が遮断されます。本機能を有効にするには、以下の設定を行います。
より詳細な情報は、以下のサポート技術情報 をご覧ください。
本回避策による影響
さらに、インターネット接続ファイアウォールの情報が必要な場合は、こちら をご覧ください。 |
回避策 3: IPSEC によりポートをフィルタする |
---|
Windows 2000, Windows XP, Windows Server 2003 は、「IPSec (IP セキュリティ ポリシー)」を使用することができます。
ファイアウォールまたは境界ルーター等で以下のポートを使用した通信を遮断、外部からの感染を防止します。 本機能を有効にすることで、影響を受けるポートの通信をフィルタすることができます。 また、本機能の設定は、比較的容易にグループポリシーオブジェクト (GPO) などを使用して配布することが可能です。 本機能の設定方法は、以下のサポート技術情報をご覧ください。
MS03-026 で警告している脆弱性による悪用を防ぐことを支援する 2 つの IPSec ツール は、以下から入手することが出来ます。 関連するポート 回避策 1 をご覧ください。 本回避策による影響 回避策 1 をご覧ください。 |
回避策 4: COM Internet Services (CIS) または RPC over HTTP を無効にする |
---|
COM Internet Services (CIS) または RPC over HTTP は、インターネットを経由して COM を利用するための機能です。本機能は、既定の状態で無効です。
現在、有効に設定されている場合に、再度、無効に設定することで TCP 593 および 80 を経由した感染を防止すること可能です。 しかしながら、この回避策と併用して他の影響を受けるポートへの対策も必要です。
本機能の設定方法は、以下のサポート技術情報 および 開発者向け情報をご覧ください。
本回避策による影響
注意 : VPN 等で接続されている場合は問題ありません。 |
回避策 5: DCOM を無効にする |
---|
分散COM (DCOM) は、コンピュータ間でネットワークを通じて COM オブジェクトを利用できる機能です。本機能は、既定の状態で有効です。
DCOM を無効にするには、以下の設定を行います。
本回避策による影響
|