2003年08月18日(月) 09時55分
つかみづらいMSBlast感染台数、便乗デマメールも登場(ZDNet)
米大手ネットワークサービスプロバイダー関係者が8月15日語ったところによると、MSBlastワームによるネットワークトラフィックの3〜4割減少を伝えた早期のデータは、必ずしもこのワームの感染ペース下落を意味するものではないという。
Akamai Technologiesによれば、このワームの感染ペースは過去数日間、ほとんど変わっていないようだ。同社セキュリティ担当者は、「多くのネットワークオペレーターは(MSBlastが使うデータチャンネルの)ポート135をフィルタリングし始めた。この結果、感染マシンの台数が減少しているように見えている」と説明する。
現実には、MSBlastワーム感染率はごくわずかしか減少していないと見られる。Akamaiの推定では、11日に拡散を始めたMSBlastは30〜100万台のマシンに感染を広げている。
このように推定感染台数にはかなりの幅がある。これは、こうした攻撃の影響を測定する際には、常につきまとう問題だ。
米Symantecは大規模な侵入検知ネットワークを使って感染したPCとサーバのインターネットアドレスを記録している。同社の15日時点の最新データでは、11日朝以降、38万件のアドレスがMSBlastに感染した。
だがこのアドレス数は、必ずしもマシンの台数とは一致しない。ネットワーク上のすべてのコンピュータが1件のアドレスでまとめられ、そのネットワーク上のコンピュータの多くが感染している可能性もあるからだ。またこのアドレス数では、感染拡大が始まって以後、ワームが駆除されたマシンの台数は勘案していない。さらには、ダイヤルアップユーザーの大半とブロードバンド利用者の一部は、プロバイダーに接続するたびに新たなインターネットアドレスを受け取っており、数字だけ見ると、実際より多くのマシンが感染しているようにも見える。
Symantecのデータでは、11日と12日を比べると、トラフィックが3割から4割減少しているように見える。同社セキュリティ対策エンジニアリング担当者は、インターネットサービスプロバイダーがフィルタリングを実施している場合があると認めた上で、「問題は(フィルタリングが)どれだけ続くかだ。これにはCPU時間と帯域幅の面でかなりのコストがかかる」と語った。
15日発表のデータによると、Microsoftは深刻なサービス拒否(DoS)攻撃をかろうじて回避している。このワームはWindows Updateサイトに大量のデータを送り込むよう設計されているが、同社はこのワームが狙うアドレスを削除した。
Microsoftはまた同日、MSBlastワームにまつわるデマメールが出回っていると警告を発した。メールの件名は「updated」で、MSBlast対抗パッチの重要なアップデートだと偽って添付ファイルをクリックさせようとするが、クリックするとマシンにトロイの木馬が埋め込まれる。ウイルス対策企業のSophosはこのトロイの木馬を「Graybird」と呼んでいる。(ZDNet)
http://headlines.yahoo.co.jp/hl?a=20030818-00000068-zdn-sci