2003年8月20日
商務情報政策局
情報セキュリティ政策室

新種Welchi(ウェルチ)ワームの潜在的感染者に関する注意喚起について
〜 「感染している自覚症状なし」 〜
〜 IPAセキュリティセンターも早期警戒警報 〜



 特に日本国内において、Pingと呼ばれる信号(注1)の数が増加を続けていることが観測されていることから、今般深刻な被害を引き起こしたBlaster(ブラスター)ワームが悪用したものと同じ脆弱性(注2)を悪用する新たなワーム(Welchi(ウェルチ)ワーム)が、急速にネットワーク上に広がっていることが懸念されています。

(注1)ネットワークに接続されているアドレスに繋がった装置が、有効であるかを確認するためのパケット
(注2)「RPCインターフェースのバッファオーバーランによりコードが実行される(MS03-026)」のこと。なお、一部のサーバで利用されているOS(windows2000)において、別の脆弱性(「WebDAVのセキュリティ脆弱性」(MS03‐007))をも利用することが確認されています。

 このWelchi(ウェルチ)ワームは、パソコンの利用については一見異常がないように見えることもあるため、感染していても自分では被害に気付かない可能性が高いものです。しかしながら、感染していると、(1)他に感染を広げていくほか、上にも示したように(2)Pingと呼ばれる信号をネットワーク内にランダムに発信する性質を持っており、この感染が拡大すると、ネットワーク全体に深刻な障害が発生する可能性もあります。

 したがって、特に、Windows2000またはWindows XPを利用している全てのユーザの方は、コンピュータに異常な症状が見られない場合でも、新種ワームに感染していないかどうか、確認してください。市販のウイルス検知ソフトを利用するか、お持ちでない方は、以下の方法で、ご確認願います。



  1. <Windowsのシステムフォルダ>内の"wins"フォルダの中を確認します。

    <Windowsのシステムフォルダ>は、初期設定では
    • WindowsXPの場合:  C:\Windows\System32
    • Windows2000の場合: C:\Winnt\System32    です。

  2. その中に、「DLLHOST.EXE」という名前のファイルがある場合には、感染しています。
※「dllhost.exe」というファイルは<Windowsのシステムフォルダ>内に正規に存在します。間違えないようご注意ください。
※なお、このプロセスは、確認のみに利用してください。
※感染している場合の駆除方法は、下記を参照してください。



感染している場合は、すぐにネットワークから切り離し、ワームの駆除を早急に実施してください。方法が分からない方は、感染していない別のパソコンから、下記の情報処理振興事業協会セキュリティセンター(IPA/ISEC)のページを参照してしてください。



   ●情報処理振興事業協会セキュリティセンター(IPA/ISEC)

        ◇新種「W32/Welchi」ワームに関する情報
         http://www.ipa.go.jp/security/topics/newvirus/welchi.html


また、FAXが使えない等の理由により、駆除方法の手順書の郵送を相談者も見受けられたことから、別紙記載の新事業支援機関(注3)において、Welchiワームに感染した場合の復旧手順書及びBlasterワームに感染した場合の復旧手順書(Windows XP用)の配布を開始いたしました。お近くの新事業支援機関をご利用下さい。

(注3) 「新事業支援機関」とは、新事業創出促進法に基づき、都道府県等が策定した基本構想において高度な情報関連人材育成事業を行う機関。名称、所在地、連絡先等は 、別紙のとおり。

(注) Blasterワームに関する注意喚起について
>> 情報セキュリティ政策のトップへ


2003年8月19日
商務情報政策局
情報セキュリティ政策室

新種ワームの発生に関する注意喚起について

 今般深刻な被害を引き起こしたBlasterワーム(注)と同じ脆弱性を悪用する新たなワームが確認されました。
 本ワームによる感染したパソコンへの直接の被害については現在確認中ですが、ランダムなアドレスにPingが発信され、ネットワーク全体に深刻な被害を与えることとなるおそれがありますので、大至急、修正プログラム適用による対策を徹底してください。
 本ワームはBlasterワームを駆除するという情報もありますが、日本語環境では動作しないことが確認されておりますので、早急に対策を実施してください。

 なお、本ワームについては個人だけではなく企業内での感染も見受けられます。

 詳細については情報処理振興事業協会(IPA)のホームページをご覧ください。


情報処理振興事業協会セキュリティセンター(IPA/SEC)

新種「W32/Welchiワームに関する情報」
http://www.ipa.go.jp/security/topics/newvirus/welchi.html


(注) W32/MSBlasterに関する注意喚起について
8月16日発表分
8月13日発表分

>> このページのトップへ
>> 情報セキュリティ政策のトップへ


マイクロソフトWindowsの脆弱性を狙ったワームの発生に関する注意喚起について(その2)

〜18日月曜日の朝に要注意〜

平成15年8月16日
商務情報政策局
情報セキュリティ政策室

Microsoft Windowsの脆弱性を利用したワーム(通称:Blasterワーム)の被害拡大防止のため、経済産業省は、「企業ユーザにおけるBlasterワーム対策 四箇条」について、情報サービス産業協会(JISA) に対して、協会の会員を通して、ユーザ企業に対して注意喚起の徹底を要請するとともに、広く一般に注意喚起を行います。

マイクロソフトWindowsの脆弱性を狙ったワームの発生に関する注意喚起について(その2)(PDF形式)

>> このページのトップへ
>> 情報セキュリティ政策のトップへ


平成15年8月13日
商務情報政策局
情報セキュリティ政策室

マイクロソフトWindowsの脆弱性を狙ったワームの発生に関する注意喚起

 Microsoft Windows (注1) の脆弱性(MS03-026)を利用したワーム(注2) が、昨日(8月12日)より、急速にネットワーク上に広がっており、全世界的に感染被害の発生 (注3) が報告されています。

 このワームは、通称「Blasterワーム」(又はLovsanワーム)と呼ばれるもので、2003年8月16日になると、windowsupdate.com(ネットワークを通じてWindowsを最新版にアップデートするためのサイト)に対して、大量のパケットを送信する攻撃を仕掛けるという性質を持つことが明らかになっています。

 このワームによる感染が拡大し続ければ、8月16日に、感染したコンピュータから一斉にパケットの送信が行われることとなり、ネット全体に対する深刻な障害が発生するおそれもあります。

 また、

  1. Microsoft Windows 2000やMicrosoft Windows XPといった、個人ユーザ向けのオペレーティングシステム(OS)の脆弱性をも利用したものであるため、企業ユーザだけでなく、個人ユーザに対する直接の感染の可能性が、従来のワーム等に比べて高いものです。
  2. メール添付型やホームページ経由の感染型のものではないため、インターネットに接続しているだけで感染する可能性があります。

 したがって、

  1. 修正プログラムの適用やアンチウイルスソフトの利用により、感染を予防するとともに、
  2. 感染してしまった場合には、至急、駆除のための処置を行ってください。

対応の詳細は、情報処理振興事業協会セキュリティセンター(IPA/ISEC)の、以下のページを参照してください。

  ◇「W32/MSBlaster」ワームに関する情報
   (情報処理振興事業協会セキュリティセンター:IPA/ISEC)
      http://www.ipa.go.jp/security/topics/newvirus/msblaster.html

>> このページのトップへ
>> 情報セキュリティ政策のトップへ

お問い合わせ先
 経済産業省 商務情報政策局 情報セキュリティ政策室
 電話     03-3501-0397(直通)
 ファクシミリ 03-3501-6639
 電子メール  it-security@meti.go.jp
 担当:山崎、若畑、赤松


参考


(注1)
 対象となるのは、以下のMicrosoft Windows オペレーティングシステム(OS)を搭載しているコンピュータ。

  • Microsoft Windows NT Server4.0
  • Microsoft Windows NT Server4.0, Terminal Server Edition
  • Microsoft Windows NT Workstation4.0
  • Microsoft Windows 2000
  • Microsoft Windows XP
  • Microsoft Windows Server 2003

(注2)
 「ワーム」とは、コンピュータウイルスの一種で、自己増殖を繰り返す性質を持つもの。したがって、「ワーム」が、あるコンピュータに感染すると、自動的に他のコンピュータへの感染を試みるため、感染を食い止めないと、ねずみ算式に被害が拡大してしまう。  なお、このMicrosoft Windowsの脆弱性(MS03-026)は、既に発見され、修正プログラムが配布されているもの。「Windows RPC インタフェースの脆弱性への注意喚起」(http://www.meti.go.jp/policy/netsecurity/win_rpc.html)参照。

(注3)
 情報処理振興事業協会セキュリティセンター(IPA/ISEC)に対して、8月18日17:30現在で、約2,120件の相談・届出があったところ。この規模の相談・届出があったのは、2001年9月のNimda(ニムダ)以来のこと。