Re: Re: W32/Blaster Worm (ウイルスやワームに関するグループ)

From(投稿者):	yas@is.tsukuba.ac.jp (Yasushi Shinjo)
Newsgroups(投稿グループ):	fj.comp.security
Subject(見出し):	Re: Re: W32/Blaster Worm (ウイルスやワームに関するグループ)
Date(投稿日時):	18 Aug 2003 10:14:03 GMT
Organization(所属):	Institute of Information Sciences and Electronics, University of Tsukuba
References(祖先記事, 一番最後が直親):	(G) <bhlblr$2kk5$1@news2.wakwak.com>
(G) <YAS.03Aug17031326@kirk.is.tsukuba.ac.jp>
(G) <bhoc9q$dbi$1@news2.wakwak.com>
(G) <HOSHI.03Aug18182733@ext54.sra.co.jp>
Message-ID(記事識別符号):	(G) <YAS.03Aug18191403@kirk.is.tsukuba.ac.jp>
Followuped-by(子記事):	(G) <bhqecd$nvo$1@news521.nifty.com>
(G) <HOSHI.03Aug18203631@ext54.sra.co.jp>
(G) <3F40D489.48A4A12E@ht.sakura.ne.jp>
(G) <bhqsdr$12p1$1@news2.wakwak.com>
(G) <YAS.03Aug19190626@kirk.is.tsukuba.ac.jp>

From(投稿者):

yas@is.tsukuba.ac.jp (Yasushi Shinjo)

Newsgroups(投稿グループ):

fj.comp.security

Subject(見出し):

Re: Re: W32/Blaster Worm (ウイルスやワームに関するグループ)

Date(投稿日時):

18 Aug 2003 10:14:03 GMT

Organization(所属):

Institute of Information Sciences and Electronics, University of Tsukuba

References(祖先記事, 一番最後が直親):

(G) <bhlblr$2kk5$1@news2.wakwak.com>

(G) <YAS.03Aug17031326@kirk.is.tsukuba.ac.jp>

(G) <bhoc9q$dbi$1@news2.wakwak.com>

(G) <HOSHI.03Aug18182733@ext54.sra.co.jp>

Message-ID(記事識別符号):

(G) <YAS.03Aug18191403@kirk.is.tsukuba.ac.jp>

Followuped-by(子記事):

(G) <bhqecd$nvo$1@news521.nifty.com>

(G) <HOSHI.03Aug18203631@ext54.sra.co.jp>

(G) <3F40D489.48A4A12E@ht.sakura.ne.jp>

(G) <bhqsdr$12p1$1@news2.wakwak.com>

(G) <YAS.03Aug19190626@kirk.is.tsukuba.ac.jp>

記事全体へのコマンド

新城＠筑波大学情報です。こんにちは。

In article <bhoc9q$dbi$1@news2.wakwak.com>
        "Tomoya Miyoshi" <tmys@ag.wakwak.com> writes:
> 報道では、ネタ的に経済産業省の報道資料
...
> 「感染しているようだったらネットワークから切り離して、感染していない友人から
> 駆除ツールをもらいなさい」とNHKが言ってましたけど、たいていの人にとっては無
> 茶です（＾＾； マイクロソフトのサイトにはもう少し現実的な対策方法が書かれて
> いますけど、簡単な方法ではないですよね。

テレビや新聞だと、「こういう話があります」くらいしか伝わらな
いでしょうね。あとは、CERT とか IPA なんかを見ないと。でも、
それを見るには、WWW ブラウザが必要で、それには、ネットワーク
につながないといけないわけで、、、と boot strap はどうするん
でしょうね。

> ウイルスとワームの区別をつけていないのも気になります。朝日新聞
> URL:http://www.asahi.com/special/pcvirus/ はMSブラストをまだ「ウイルス」と呼んでいます。ワームであればアンチウイルスソフトが利かないの
> で、ワームかウイルスかといった情報は重要だと思うのですが。

ウイルスは、個々までくると一般用語でしょうね。ウイルス(一般
用語)を細かく見ると、ウイルス（専門用語）とワームとトロイの
木馬がいると。

> [snip]
> > DDoS 攻撃をするという話はどうなったんでしょうか。
> マイクロソフトはワームに含まれていた攻撃対象のIPアドレスをWindows Updateの
> サーバへリダイレクトしないよう対処したそうです。

IP アドレスの redirect って何でしょうか。
HTTP の redirect ならわかるのですが。

DNS の alias を切ったのかと思っていました。ワームがたまたま
古いアドレスを使っていたので。

> 「(総務)省市町村課は『ファイアーウオールによって、今回のウイルスが攻撃する経
> 路は元々閉じていたので、住基ネットのサーバーそのものが感染することは世田谷区
> も含めてありえない』と話している。」
> URL:http://www.asahi.com/special/pcvirus/TKY200308140260.html だそうです。

私が知りたいのは、ちゃんとパッチが当っていたかどうかなんです
が、誰か知りませんか？　今回の話は、７月に出たパッチが当って
いたら、ＯＫ、当っていなければアウトです。パッチを当る体制が
うまくできていたかどうかということが問題なんです。

総務省の言っているのは、ファイアウォールを閉じてある（つもり）、
というのが正確な所なんでしょうね。実施するのは人間だから。
あと、外で感染したＰＣを、ファイアウォールの内側に持ち込むと
終りです。ファイアウォールでは、今回のものは防げなくて、単に
時間かせぎができるだけです。

In article <HOSHI.03Aug18182733@ext54.sra.co.jp>
        hoshi@sra.co.jp (Hoshi Takanori) writes:
> > ワームであればアンチウイルスソフトが利かないの
> > で、ワームかウイルスかといった情報は重要だと思うのですが。
> ほとんどのアンチウィルス製品は、今回のものを含めて、
> ワームにも対応していますよ。

具体的に、どういう技術で「対応」できていたのでしょうか。

私の理解する所では、今回の攻撃は、サーバかカーネルの深い所の
話なので、ウイルス対策ソフトウェアが働く場面は存在しないよう
に思えます。

＼＼　新城　靖　（しんじょう　やすし）　＼＼
＼＼　筑波大学　電子・情報　　　　　　　＼＼

Fnews-brouse 1.9(20180406) -- by Mizuno, MWE <mwe@ccsf.jp>
GnuPG Key ID = ECC8A735
GnuPG Key fingerprint = 9BE6 B9E9 55A5 A499 CD51 946E 9BDC 7870 ECC8 A735