Windows を標的とした Blaster ワームに関する情報
よくある質問と回答
概要編
Q. Blaster ワームとは何ですか?
| **A.** | Blaster ワームは、[MS03-026](https://www.microsoft.com/japan/technet/security/bulletin/ms03-026.mspx) で警告しているネットワーク上の別のコンピュータの機能を使うための技術である RPC (リモート プロシージャ コール) の脆弱性 (弱点) を悪用するワームです。このワームは ネットワークを通じて MS03-026 の脆弱性の対策が終わっていないコンピュータを探し、脆弱性を悪用して msblast.exe などのワームの実行ファイルをコンピュータに送り込まれ、実行されます。このワームに感染した場合、「Windows の異常終了または再起動」、「ネットワークに接続されている他のコンピュータへの攻撃」が発生します。 |
Q. Blaster ワームが利用しているのはどのような弱点ですか?
| **A.** | Blaster ワームには、既知のセキュリティ上の弱点 [MS03-026「RPC インターフェイスのバッファ オーバーランによりコードが実行される (823980)」](https://www.microsoft.com/japan/technet/security/bulletin/ms03-026.mspx)が使用されています。 |
Q. 私のコンピュータに感染するのでしょうか?
| **A.** | Blaster ワームは、Windows 製品をインストールしているコンピュータに感染する恐れがあります。 製品の詳細については、[こちら](https://technet.microsoft.com/4c748477-4337-4f1a-89c5-000801bad760)をご覧ください。 |
Q. RPC とは何ですか?
| **A.** | PRC (リモート プロシージャ コール) は、プログラムがネットワークの別のコンピュータ上のプログラムからのサービスを要求するために使用することができるプロトコルです。RPC を使用するプログラムは、通信をサポートするネットワーク プロトコルを認識する必要がないため、RPC により、相互運用性が得られます。RPCでは、要求を行うプログラムは、クライアントで、サービスを提供しているプログラムがサーバーとなります。 |
Q. このワームにより、メールや IRC などで個人情報が外部に送られたりしますか?
| **A.** | いいえ。このワームにより個人情報が外部に流出されることはありません。 |
Q. 感染したことを確認するには、どのようにすればよいのですか?
| **A.** | 感染の確認方法は本[ワームへの対策](https://technet.microsoft.com/4c748477-4337-4f1a-89c5-000801bad760)の「[Step 3: Blaster ワームの感染の確認](https://technet.microsoft.com/4c748477-4337-4f1a-89c5-000801bad760)」をご覧ください。 |
Q. メールでこのワームが送られてくることはありますか?
| **A.** | いいえ。メールでこのワームが送られてくることはありません。 |
Q. この "MS03-026 の脆弱性" とは何ですか?
| **A.** | ある特定の状況下において、Windows RPC サービスで、メッセージの入力チェックが適切に行われないために発生する脆弱性です。この特定のエラーにより、RPC が有効なポートをリッスンする、基本となる Distributed Component Object Model (DCOM) インターフェイスに影響が及びます。攻撃者が不正な RPC メッセージを送信した場合、コンピュータ上の RPC サービスが異常終了し、攻撃者の任意のコードが実行される可能性があります。 攻撃者はこの脆弱性を悪用し、リモート コンピュータを完全に制御する可能性があります。これにより、攻撃者はたとえば Web ページの変更、ハード ディスクの再フォーマット、新規のユーザーをローカル管理者グループに追加するなど、そのサーバー上で任意の操作を実行する可能性があります。 |
Q. マイクロソフトはセキュリティ問題について何か告知活動をしていたのですか?
| **A.** |
はい。マイクロソフトは 7 月に入り、いくつかの緊急対応をご検討いただきたいセキュリティ修正プログラムを公開させていただきました。お客様に緊急レベルの修正プログラムの意味と、適用を行っていただくお願いのために以下の情報を 7 月に公開し、マイクロソフト製品の登録ユーザーおよび各種ニュースレター購読ユーザーに、このことをお知らせするメールを配信いたしました。
|
Q. ウイルスと脆弱性の違いは何ですか?マイクロソフトがウイルスを作っているのですか?
| **A.** | ウイルスは、マイクロソフトで作成したものではありません。 本ウイルス (ワーム) は、MS03-026 の Windows の脆弱性を悪用して、悪意を持つユーザーがインターネットに配布したものです。 コンピュータ ウイルス、脆弱性の詳細については[こちらのページ](https://www.microsoft.com/japan/security/bulletins/security_rating.mspx)をご覧ください。 |
Q. Windows NT Workstation 4.0 は感染しますか?
| **A.** | はい。感染の可能性があります。 |
Q. Windows が突然終了してしまいますがなぜでしょうか?
| **A.** | 本ウイルスは、RPC と呼ばれる機能に対して不正な情報を送信することで、コンピューターに侵入します。侵入に失敗した場合に RPC が異常終了することがあります。Windows XP は、RPC が異常終了した場合、復旧のために 30 秒後に再起動することをユーザーに通知し、自動的に再起動します。 |
対策編
Q. 修正プログラムを適用せずにこのワームから身を守るにはどうしますか?
| **A.** | [こちら](https://technet.microsoft.com/4c748477-4337-4f1a-89c5-000801bad760)の回避策を実行してください。 |
Q. 回避策は Windows XP と Windows 2000 では異なるのでしょうか?
| **A.** | はい。Windows 2000 では「インターネット接続ファイアウォール」の機能はありません。このため、回避策の 1 つである「インターネット接続ファイアウォールを使用する」は適用できません。 |
Q. 実際に感染した場合、どのような手順で復旧するのでしょうか?
| **A.** | [本ワームへの対策](https://technet.microsoft.com/4c748477-4337-4f1a-89c5-000801bad760)の「[Step 4: Blaster ワームの駆除](https://technet.microsoft.com/4c748477-4337-4f1a-89c5-000801bad760)」をご覧ください。 |
Q. Windows NT Workstation 4.0 はどのように対策すればよいか?
| **A.** | Windows NT Server 4.0 用の [MS03-026](https://www.microsoft.com/japan/technet/security/bulletin/ms03-026.mspx) の修正プログラムを適用することができます。しかしながら、Windows NT Workstation 4.0 は、すでにサポートを終了しております。できるかぎり早期にサポート対象のオペレーティング システムへのアップグレードをお願いします。 |
Q. 修正プログラムを社内のコンピュータに配布する方法を教えてください。
| **A.** |
|
Q. 社内の影響を受けるコンピュータを検出するツールはありますか?
| **A.** | 現在のところ提供されていません。 |
Q. ISA Server でこのウイルスから保護することはできますか?
| **A.** |
はい。ISA Server によって、Blaster ワームの外部からの攻撃を防ぐことができます。
設定方法など詳細については、次のサイトをご参照ください。
|
Q. MS03-026 では Blaster 対策は不十分ですか?
| **A.** | いいえ。Blaster ワームの対策としては MS03-026 を適用することで問題ありません。 しかしながら、Blaster ワームの亜種が発生した場合に MS03-039 の脆弱性を悪用される危険があります。そのため、MS03-026 を含む MS03-039 の適用を強く推奨いたします。 |
.gif){kind=icon}