［米国］
マイクロソフト、Windowsを狙う新たなワーム攻撃を警告

Windows 2000/XP/Server 2003は深刻度「緊急」、MS08-067パッチの適用を推奨

（2008年11月27日）

　Microsoftのセキュリティ研究者が11月25日、同社が10月に緊急パッチをリリースしたWindowsのバグを悪用する攻撃が急増していると警告し、すでにSymantecが発表していた同様の内容を追認した（関連記事）。「MS08-067」パッチを適用していないユーザーはすぐにこれを適用するよう、同社はあらためて呼びかけている。

Microsoftの「Malware Protection Center」

　Microsoftの「Malware Protection Center」の報告によれば、同攻撃の発生を確認したのは先週末だが、発生頻度はこの2日間できわめて高くなっており、Symantecが11月21日に初めて明らかにしたワームが確かに使用されているという。

　Microsoftでは「Conficker.a」、Symantecでは「Downadup」と名付けている同ワームは、WindowsのServerサービスに存在する脆弱性を悪用するものだ。この脆弱性を悪用されると、リモートで任意のコードを実行される恐れがあるという。Microsoftは、東南アジア地域を中心に少数のPCが同ワームに感染していることを突き止め、5週間前に特例のアップデートを配布して、このバグを修正していた。

　Malware Protection Centerの研究者であるジブ・マダー（Ziv Mador）氏は、今回確認された波状攻撃は主に企業で蔓延しており、数百件におよぶ一般ユーザーも被害にあっていると説明した。マダー氏は、Malware Protection Centerの公式ブログに、「感染事例の大半は米国内の利用者が報告してきたものだが、複数の国外ユーザーからも連絡があった」と記している。

　また同氏は、「このワームは、ウクライナにあるコンピュータを避けるように広まっているため、製作者はウクライナ人である可能性がある」と指摘している。地元の警察当局による対応を遅らせたり、取り締まりを食い止めたりするために、自分が住んでいる国のシステムを攻撃対象から除外するハッカーは非常に多い。

　「興味深いことに、このワームはメモリAPIの脆弱性を修復し、攻撃対象としたマシンがそれ以上ほかの攻撃を受けないようになっている。もちろん、マルウェア製作者が攻撃対象のコンピュータの安全性を気にかけているわけではない。別のマルウェアに、獲物を取られるのを防ぐための策だ」（マダー氏）

　Microsoftは技術レポートの中で、同ワームはマシンのシステム復元ポイントを書き換えるため、Windowsを感染前の状態にロール・バックするが困難もしくは不可能となるとも述べている。

　Symantecは先週、同社の顧客やハニーポットが同攻撃を受けたのを確認し、「ThreatCon」セキュリティ警告システムのステータスを「1」から「2」へ引き上げた。もっとも、ほかのセキュリティ・ベンダーは、これを過剰反応だと批判している。