Microsoft IIS WebサーバーとWindowsベースのクライアントPCの両方に感染する新種のワーム「W32.Nimda.A@mm（Nimda、ニムダ）」の被害が拡大し、ウイルス対策ベンダーなどが注意を呼び掛けている。

　「Nimda」は、MicrosoftのIISに内在するセキュリティホール「Unicode Web Traversal」を利用してWebサーバーに感染し、そのサーバーを踏み台として同じセキュリティホールを抱えるWebサーバーを探し出し感染を広げる。感染されたIISは一部の機能を乗っ取られ、Webページのリクエストに対し「Nimda」に感染したページを送信する。

　また、「Nimda」は「readme.exe」という名前の添付ファイルとして電子メールを介しクライアントPCにも感染する。感染したPCに搭載されているInternet Explorerのセキュリティ設定が「中」となっている場合、Internet Explorerの機能を利用しているOutlookなどで「Nimda」が自動的に活動を開始。自分自身の複製をメールで別のマシンに送信するほか、マシンのA～Zまでのドライブに自身をコピーする。

　IPA/ISECによると「Nimda」は、複数のウイルス、不正アクセス手段を組み合わせたワーム。感染経路は、複数のコンピュータが関与するため複雑であり、公開Webサーバーに悪意のあるスクリプトが埋め込まれることによっても感染が広がるため、今後さらに影響が大きくなることが考えられるとしている。

　「Nimda」はその活動によりネットワーク資源を圧迫する。ユーザーは、早急にウイルス対策ベンダーの提供する最新のパターンファイルを使用することや、マイクロソフトがリリースしている修正プログラムをあてるなどといった対策を講じる必要がある。

□IISに関する修正プログラム（MS00-078）
http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS00-078
□Internet Explorerに関する修正プログラム（MS01-020）
http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS01-020
□CERT/CC Current Activity
http://www.cert.org/current/current_activity.html#port80
□「Nimda」解説ページ（Symantec Japan）
http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.nimda.a@mm.html
□新種ウイルス警告ページ（トレンドマイクロ株式会社）
http://www.trendmicro.co.jp/virusinfo/troj_nimda.htm
□McAfeeウイルス辞典（日本ネットワークアソシエイツ株式会社）
http://www.nai.com/japan/virusinfo/virN.asp?v=W32/Nimda@MM
□IPAセキュリティセンター（IPA/ISEC）
http://www.ipa.go.jp/security/

（水倉 正俊）
2001/09/19 17:31