いまだに「ダウンアド」は企業ネットワークの脅威－2010年12月の脅威動向を振り返る

新年あけましておめでとうございます。 2010年最後のトピックとして、2010年の年間ランキングでもトップに入った「WORM_DOWNAD（ダウンアド）」（別名：Conficker）を改めて解説します。

2010年12月も脅威傾向の大幅な変化は認められませんでした。感染被害報告数は 813件と、2001年1月以来、過去最低を記録しています。

• インターネット脅威レポート 2010年12月

12月のランキングで 1位に入ったのが「WORM_DOWNAD（ダウンアド）」で、被害報告数の 2010年の年間ランキングでも 491件で 1位に入っています。

• インターネット脅威レポート 2010年度 年間レポート（最終版）

今月は、「Conficker」とも呼ばれるこの「WORM_DOWNAD」について、改めて解説します。

■2008年に発見

「WORM_DOWNAD」が発見されたのは2008年の11月、実に今から約2年前です。当初は Windows Serverサービスの脆弱性（MS08-067）を標的として感染を続けるワームとして発見され、法人ユーザを中心に被害報告が寄せられました。

2009年の年間被害報告数は 1538件でしたが、うち 99%が法人ユーザからの被害報告でした。2010年12月も 34件のうち 85%を法人ユーザから占めていることからも、企業において被害が止まりきっていない現状が明らかといえます。

2010年に入ってからは、常に上位にランク入りし、6月以降はほぼ 1位を独占しています。

図1：「WORM_DOWNAD」の不正プログラム感染被害報告数ランキングの順位

■”進化” を続け、感染経路は多様に

「WORM_DOWNAD」の特徴は、感染を拡大しながら多様な感染経路を取り込んできた点にあると言えます。当初は TCP445ポートを利用して総当たり攻撃を仕掛けて感染を広げました。このポートは、WindowsのOSバージョンによってはデフォルトで開放されていること、また主に企業においてファイル・プリンタ共有サービスなどに使用する目的で開放されていたことが多かったため、有力な感染経路となりました（「WORM_DOWNAD.A」）。

第2段階として、USBメモリなどのリムーバブルドライブを利用した拡散が行われたり、脆弱性が修正されている PC に対してもパスワードクラッキングを行って感染を広げるなど、ネットワーク内での感染力を強めました（「WORM_DOWNAD.AD」）。

以降の感染事例の大半は「WORM_DOWNAD.AD」によるものであり、新たな亜種によるものではないにもかかわらず、感染報告は引き続き継続されていました。

そして2010年9月に Webサイトからダウンロードされて侵入するという新たな感染経路が確認されたことで、攻撃者がいまだに「WORM_DOWNAD」を使った不正活動を続けていることが明らかになりました。

図2：「WORM_DOWNAD」の多様な感染経路

※発生当時の「WORM_DOWNAD」に関する詳細は以下のブログ記事を参照ください。

• そのとき何が、「WORM_DOWNAD」ファミリの振り返り
• 系譜から探る深刻度が増した「WORM_DOWNAD」
• 「WORM_DOWNAD」ファミリ発症日：2009年4月1日を控えたセキュリティ対策確認

■被害発生の原因と被害状況

「WORM_DOWNAD」の攻撃に利用された脆弱性（MS08-067）は他の不正プログラムにも悪用されたものですが、「WORM_DOWNAD」の感染被害が拡大するおよそ 1ヶ月前には修正パッチが提供されていました。つまり、パッチ提供後すみやかに適用していれば感染被害そのものを防ぐことができたのです。

2010年になってから被害を確認した企業ユーザにおいても、パッチを適用していないという理由の他に、

• 推測されやすいパスワードを利用している
• 共有フォルダのアクセス権限が適切でない
• USBメモリの使用に制限がない

といった「WORM_DOWNAD」に “狙われやすい” 状況を作り出してしまっているケースを数多く確認しています。

実際に感染してしまうと、全社的に感染が拡大してネットワークが使用不能になったり、感染端末を使用できなくなるという直接的な被害に至ります。

感染から復旧に費やす時間と手間を考慮すると、予防・対策というものがいかに重要であるかが明らかと言えます。2009年の事例ですが、2つの具体的な感染被害を以下のページで紹介していますので是非、参考にしてください。

• インターネット・セキュリティ・ナレッジ　「ダウンアド」による企業被害事例

■対策と今後の傾向予測

「WORM_DOWNAD」に限った対策ではありませんが、以下のような基本的な対策が自組織内で徹底されているか、を改めて確認ください。

• ソフトウェアの脆弱性の修正
• パスワードの適切な管理・運用
• 共有フォルダの適切なアクセス権限の設定
• USBメモリや持ち込みPCの管理

昨今の不正プログラムは脆弱性を悪用する攻撃が大半になっています。パッチが適用できない環境に関しては「仮想パッチ」という代替ソリューションも有効ですので、ソフトウェア等で補完できる部分がないかも、改めて確認ください。

そして、組織内の最大の脆弱性となりがちなユーザの意識の底上げに関しては、セキュリティに関する社員教育を定期的に実施頂くことも重要と言えるでしょう。

トレンドマイクロでは、教育ツールとして Webサイト「インターネット・セキュリティ・ナレッジ」を運営しているほか、研修やセミナーへの講師派遣のお手伝いも行っています。

2月は政府が定めた「情報セキュリティ月間」。この機会に組織内のセキュリティ対策状況を今一度、見直していただくことをおすすめします。

• インターネット・セキュリティ・ナレッジ
• セキュリティイベントの開催・セミナーへの講師派遣