Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「Conficker」感染原因、9割超が「脆弱なパスワード」 - オートラン感染は沈静化

2008年後半に登場し、2009年に大流行したマルウェア「Conficker」の勢いが今なお衰えを見せていない。パスワード管理の不備が原因で、組織内部のパソコンに感染が広がるケースもある。

「Conficker」は、「Downad」や「Kido」といった別名でも知られるマルウェア。「MS08-067」で修正された脆弱性「CVE-2008-4250」を悪用する攻撃として2008年11月に登場。ネットワーク経由やプログラムを自動実行する「オートラン」機能を悪用し、リムーバブルメディア経由で拡散した。

120515ms_01.jpg
2009年から2011年までの感染台数推移(グラフ:MS)

感染すると、別のマルウェアをダウンロードし、多重感染を引き起こす。ボットネットに組み込まれたり、スパム送信やアカウント情報の窃取、セキュリティ機能の停止など感染時の被害は小さくない。

MicrosoftがワールドワイドのPC約6億台から収集した情報をまとめた2011年下半期のレポートによれば、組織において検出されたマルウェアでは、依然として「Conficker」が最多。2009年以降の検出回数は約2億2000万回、四半期ごとに感染PCが平均2倍以上増加しており、2011年第4四半期は約170万台から検出された。

120515ms_02.jpg
「Conficker」の感染原因(表:MS)

日本マイクロソフトセキュリティレスポンスチームでセキュリティプログラムマネージャーを務める田村紀恵氏によれば、企業における「Conficker」の感染原因は、92%が脆弱なパスワードを利用していたり、管理者のコンピューターが侵入され、パスワードが奪われたものだという。

感染原因の残り8%はセキュリティ更新プログラム「MS08-067」を適用しておらず、侵入されたことに起因。「オートラン」の悪用については、同社が2011年2月より停止プログラムを自動配布するなど対応を進めたことから、沈静化に成功している。

「Conficker」は、パスワードを破るための辞書を保有しているのが特徴だ。単純な文字列やシンプルな単語であれば、突破する能力を持つ。チーフセキュリティアドバイザーである高橋正和氏は、「セットアップのために作成し、利用していなかったアドミニストレータのアカウントが被害に遭うことも考えられる」と分析する。

特に組織では、ネットワーク内の端末で感染トラブルが発生し、それを解決するためにリモートでアクセスした管理者のパスワードが盗まれるといったシナリオも想定される。管理者の端末に感染が拡大し、各端末の情報が盗まれれば、さらにネットワーク内すべての端末に感染を広げ、大規模感染に発展する。

情報処理推進機構(IPA)では、マルウェアの検出数を毎月取りまとめているが、2012年1月にも、同マルウェアの検出数が、前月比16倍と一時的に急増した。感染原因などは明らかにされていないが、前月の674件から1万812件へと大幅に拡大しており、同月検出されたマルウェアの38%を占めるにまで至っている。

田村氏は、こうした被害を防ぐためにアルファベットの大文字小文字や数字、記号を混在させた11文字以上のパスワードを利用することを推奨。またソフトウェアを最新の状態に保つことや、信頼できるセキュリティ対策ソフトの利用など基本的な対策の徹底を呼びかけている。

(Security NEXT - 2012/05/15 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

ネットワーク経由のマルウェア検出が急上昇 - 「WannaCrypt」が影響
発見から8年経過した「Conficker」検知数が急増 - 前四半期比67倍に
445番ポートへのパケット増 - 「Conficker」亜種が原因か
「Conficker」が脅威トップ - 発見から6年経過も依然活発
2014年上半期のスパム、前年同期から60%増加 - マルウェア感染目的が背景に
IPA、「WS 2003」からの移行検討を呼びかけ - 情報漏洩や業務停止リスクも
2013年下半期だけでウェブベースの攻撃が2倍に - エフセキュアまとめ
オートラン機能で感染広げるワームが引き続き活発 - マカフィーまとめ
脆弱性攻撃や「W32/Conficker」の検出数が増加 - ドライブバイダウンロード攻撃は後退
「Blackhole」関連の脅威が依然活発、JREのアップデートを - マカフィー調査