平成16年4月30日以降、インターネット上で「Sasser」wormと呼ばれるワームが観測されております。
〇シマンテック社
http://www.symantec.com/region/jp/sarcj/index.html
〇トレンドマイクロ社
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.D
本ワームは、マイクロソフト社が4月14日に発表したMS04-011により措置される脆弱性の一つ(LSASS:Local Securit Authority SubsystemServiceに関するもの)を悪用するもので、Windows2000、Windows XP及びサーバ用製品が導入されているパソコンをネットワークに接続しているだけで感染する種別のものです。
なお、本ワームには、既に複数の亜種が存在しており、その中には、昨年8月に流行したWelchia_worm(またはNachi_worm、MS_Blast.D)と同様、ICMP Echo(いわゆるPing)を大量に発出し、感染先を探す機能を有するものがあると言われております。
本ワームの感染を防止するには、個々のパソコンに「セキュリティパッチを当てる」又は「ウイルス対策ソフトを導入し、パターンファイルを最新化するする」ことが最も確実な手段となりますが、既にワームが発生している状況で上記の対策をとることは困難な状況となりつつあります。
このため、総務省では、一般の方に対し、次善策として、
●ファイアフォールで
・wormの感染経路となる445/TCPをブロックする
・wormの感染源となる5554/TCPをブロックする
・pingの大量送受信に備えpingをDropする
設定をすることの推奨を含めた報道発表を現在準備しております。
【セキュリティ・パッチの適用方法】
1. セキュリティ・パッチを適用したパソコン又はWindows2000、XP及びサーバ用製品以外のOSを導入したパソコンもお持ちの場合
-
- (1)Windows2000、XP及びサーバ用製品(以下「該当OS」という。)を導入したパソコンのうち、セキュリティ・パッチを適用していないものからLANケーブル、モデムケーブルなどネットワーク接続に利用しているケーブル類(以下「ケーブル」という)を外す。
- (2)セキュリティ・パッチを適用したパソコン又は該当OS以外のOSを導入したパソコンを利用して、下記のサイトから必要となるMS04-011用のセキュリティ・パッチ(OSの種別ごとに表から選択)をダウンロードし、CD−R、USBメモリなどに保存する。
なお、これらのセキュリティ・パッチは通常のフロッピーディスクの容量よりも大きいため、殆どのフロッピーディスクは使用できません。
○ http://www.microsoft.com/japan/technet/security/bulletin/ms04-011.asp
- (3)該当OSを導入したパソコンのうち、セキュリティパッチを適用していないものの電源を入れ、(2)で保存したパッチを当該パソコンのハードディスクの適宜の場所に保存する。
- (4)パッチを実行(ダブルクリック)する。なお、パッチを実行した際に、何度か「セキュリティ警告」の画面が表示されることがあるが、全て「はい」を選択する。
- (5)当該パソコンを再起動した後に電源を切り、ケーブルを再接続する。
- (6)Windows Updateを実行する。
○ http://windowsupdate.microsoft.com/
2. 上記1の方法がとれない場合
-
- (1) Windows XP及びサーバ用製品を導入しているパソコンの場合
(詳細な方法は、
http://www.microsoft.com/japan/security/incident/sasser_xp.mspx
をご覧下さい。)
- 当該パソコンのケーブルを外す。
- 当該パソコンの電源を入れる。
- OSの機能である「インターネット接続ファイアウォール」を 有効にする。
(この操作が分からない場合には、画面左下にある「スタート」メニューから「ヘルプとサポート」を選択し、「インターネット接続ファイアウォールを有効または無効にする」で検索してください。)
- 当該パソコンにケーブルを再接続する。
- 当該パソコンを再起動し、Windows Updateを実行する。
- (2) Windows 2000を導入しているパソコンの場合
【Windows 2000が持つ機能のみによる対応は極めて困難です】
- 当該パソコンのケーブルを外す。
- 当該パソコンの電源を入れる。
- 当該パソコンにファイアフォールソフト(市販品等)を導入する。
- 上記ファイアフォールソフトにおいて、UDP ポート 135、137、138、139及び445の5つ並びに TCP ポート 135、138、139、445、593の5つのポートを遮断する(通常のファイアフォールソフトであれば、導入段階で遮断されています)。もしくは下記の操作を行う間のみTCPポート 80及び 8080のみを利用可能とし、その他のポートの全てを遮断する。
- 当該パソコンにケーブルを再接続し、再起動する。
- 下記のサイトから必要となるMS04-011用のセキュリティ・パッチ(OSの種別ごとに表から選択)をダウンロードし、実行する。
○ http://www.microsoft.com/japan/technet/security/bulletin/ms04-011.asp
- 当該パソコンを再起動し、ファイアフォールソフトの設定を初期設定(出荷時の状態)に戻した上で、Windows Updateを実行する。
【ファイアウォールの設定】
-
- Sasserワームから防御するためには、外部接続のためのファイアウォール、LAN内部のファイアウォールを問わず、UDPポート 135、137、138、139及び 445並びにTCP ポート 135、138、139、445及び 593を遮断する。
- また、Sasserワームと感染源とならないよう、TCPポート 5554、9995、9996を遮断する。
- あわせて、Ping(ICMP Echo)の大量送受信に備え、Pingについて送受信共に破棄する設定にする。
- なお、これらの設定を行った場合、ファイル共有などが行えなくなることが有りますので、全てのパソコンにセキュリティ・パッチを適用後は、必要最小限のポートが利用可能となるようファイアウォールの設定を見直すことをお勧めします。
|
コンピュータウイルス(W32.Sasser.worm)について(注意喚起)
お問い合わせ、ご意見、ご感想はinfo@netwave.or.jpまで