◇ 2003年1月のウイルス考察

1月上旬に発見されたW32.Lirva（リルバ）とW32.Sobig（ソービッグ）による被害が急増しました。これらはWindowsアドレス帳やOutlook Expressのアドレス帳に登録されているメールアドレスだけでなくhtml、eml、idxなどの拡張子を持つファイルからもメールアドレスを探し出し感染メールを送信する大量メール送信ワームです。また、メール以外の感染経路としてネットワーク共有を利用するという特徴を持ちます。送信するメールの件名は先頭にRe:やFwd:が付いた「Re: Reply on account for IIS-Security」、「Fwd: Re: Admission procedure」など知人からの返信メールや転送メールを装っています。Lirva、Sobigの被害が急増した原因は、こういったメールを受け取ったユーザが勘違いして開けてしまったことによるものと考えられます。手口としては今回初めて使われたというわけでなく、すでに使い古されたものといえます。こうしたことから考えると、セキュリティホールの対策、安易にメールを開かない、不要なネットワーク共有設定の見直しなど、セキュリティ対策の基本を徹底するだけで十分防ぐことができます。

■　ウイルス最新情報　−下記URLにて最新のウイルス情報、駆除ツールを紹介しています−

http://www.symantec.com/region/jp/sarcj/index.html

◇　2003年1月の不正アクセス考察

今月1位となった「SQLExp Incoming Worm Attack」 は、1月24日（米国時間）に発見され、韓国に大規模な通信障害を引き起こしたワームW32.SQLExp.Wprm（エスキューエルイーエックスピー）による攻撃です。このワームはMicrosoft SQLサーバとMSDE 2000のセキュリティホールを狙うもので、外部から直接メモリ上で不正コードを実行し、侵入時にファイルコピーなどを行わないため、ファイルベースで監視を行うウイルス対策ソフトではワームの侵入を検知できません。シマンテックでは、発見から数時間で約25,000台のサーバが感染していることを確認し、大きな被害を警戒しましたが、発見から約12時間後にはワームの活動は沈静化しました。
このワームによる攻撃は、ランダムなIPアドレスのUDP/1434ポートに繰り返し攻撃し続けるだけの単純なものでしたが、パケットを大量に送信するため、インターネットのトラフィックが急増しアクセスに影響を及ぼす結果となりました。ランキングからもその攻撃の様子が見て取れます。
すべてのセキュリティホールは絶えず攻撃の対象になっているという意識を持ち、セキュリティ対策は常時万全を期し継続して行うことが大切です。

（考察：Symantec Security Response 星澤裕二）

Symantec Security Response
シマンテックの誇る世界最大のインターネット・セキュリティ研究所。世界のどこで発生するかわからない新たな脅威に備え、100人を超える専門家が24時間365日体制で、セキュリティの研究や新種ウイルスへの対応、脆弱性情報の収集・分析等を行っています。アジアの中心であり稼動コンピュータ数も多い日本でのサポートを重視し、東京にその拠点の1つを置いている他、米国、欧州、豪州の各地に分散して計9ヶ所の拠点を置いています。

＊Symantec 社の名称、ロゴおよび各製品は、米国 Symantec Corporation の米国内およびその他の国における登録商標または商標です。
＊その他製品名などはそれぞれ各社の登録商標または商標です。