Sasser

Sasserワームの解説

Sasser（サッサー）は、Windows XPおよび2000の脆弱性「MS04-011」を悪用したワームです。このマルウェアは2004年4月30日に発見され、インターネット接続により自動で感染するという特性を持っています。流行した背景には、先に発見されたBlasterワームの影響があり、Sasserはそれを上回る感染力を示しました。

Sasserの発見と経緯

Sasserは、Microsoftが脆弱性「MS04-011」に対するパッチをリリースした約半月後に出現しました。この脆弱性を狙った攻撃は非常に巧妙で、感染するとシステムファイル「LSASS.exe」に影響を与え、対象のコンピュータをシャットダウンする仕組みです。また、一部の亜種は「lsasss.exe」という似た名称を持つファイルで感染者を欺くこともありました。具体的な破壊活動は行われないものの、システムリソースを大量に消費し、コンピュータのパフォーマンスを著しく低下させる要因となりました。

日本でのSasser被害は、発見時期がゴールデンウィークと重なったことによって特に目立ちました。この連休中、多くのコンシューマーPCが感染し、その後5月6日を境に企業ネットワークへ拡散するケースが増加しました。これにより、企業や個人を問わず多くのシステムが影響を受ける結果となりました。

被害額と逮捕

Sasserによって引き起こされた被害は専門家によると数百万ドルにのぼると言われています。この犯罪行為の背後には、ドイツの17歳の若者スベン・ヤシャンがいました。彼はSasserを作成したことを認め、2005年には執行猶予付きで禁固刑を言い渡されました。彼の逮捕は、Microsoftによる情報提供者への報奨金の制度が有効に機能したことに起因しています。

Sasserの動作原理

Sasserの動作原理は非常に特異で、具体的にはWindows 2000、Windows Server 2003、Windows XPを対象としています。感染が実行されると、プログラムは自動的にシステム起動時に開始するプログラムに登録され、二重感染は行われません。また、初回感染時および起動時にはTCPポート5554（亜種によっては異なるポート）でFTPサーバーを立ち上げ、多数のスレッドを作成して感染を拡大させます。

感染先はIPv4アドレスを用いてランダムに選ばれ、特定の規則性の下で行われます。具体的には、52%は完全にランダムで、23%は最初のオクテットが一致、残る27%は最初の二つのオクテットが一致しています。感染が確定すると、Sasserは対象のシステムに対してTCPポート445を利用して攻撃を行い、成功するとリモートシェルを設置し、更に自らを感染させるためのプログラムをダウンロードします。

結論

Sasserはその感染力の高さと、その後の影響によりコンピュータセキュリティの脅威を再認識させるきっかけとなりました。これからのセキュリティ対策においては、全てのユーザーが脆弱性に対する意識を高め、適切な対策を講じることが重要です。

もう一度検索