Welchia

「Blaster」と同様に、DCOM RPCインタフェースの脆弱性や、分散環境下でのバージョン管理仕様WebDAVの実装に伴う脆弱性を利用して侵入した後、「Blaster」の作成した「Msblast.exe」がシステム上に存在するかを調べ、DCOMモジュールが備えるRPC機能の脆弱性対策が済んでいないシステムに侵入し、感染システムから「Blaster」を削除する「Blaster」感染修復ワームとも呼ばれ、「善玉ワーム」とも呼ばれている2003年8月18日に発見されたワームの名称。ただし、これもシステムに侵入するれっきとしたワームであり、Microsoftから修正パッチをダウンロードするように動作することから、複数のコンピュータが一気にダウンロードを開始すればDos攻撃になりかねない危険性を含んでいる。また、何か別の不正プログラムを残す可能性もあり、何時ユーザーを裏切るか判らない。「Welchia」は自分にパッチをあてて手自己消滅するが、もしかすると、どこかのセキュリティ会社が実験的に作った可能性もある。まさにウイルスにウイルスで対処するというSF戦争映画のような世界がWindows環境では起こりはじめているといえる。詳細情報はURL(http://securityresponse.symantec.com/avcenter/venc/data/w32.welchia.worm.html)または、URL(http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.D)で知ることができる。IPA/ISECでは、インターネット上で「Welchia」によるものと推察されるICMPリクエストが日本で急激に増加していることを観測したことから、「新種「W32/Welchi」ワームに関する情報」を公開した。詳細情報はURL(http://www.ipa.go.jp/security/topics/newvirus/welchi.html)で知ることができる。経済産業省は2003年8月20日に、「W32/BlasterおよびW32/Welchiの潜在的感染者に対する注意喚起」と「新種Welchi(ウェルチ)ワームの潜在的感染者に関する注意喚起について」を公開した。詳細情報はURL(http://www.meti.go.jp/kohosys/press/0004408/)または、URL(http://www.meti.go.jp/kohosys/press/0004411/)で知ることができる。「Welchia」の感染により、2003年8月18日にNMCI(Navy Marine Corps Intranet/米国海兵隊イントラネット)のうちおよそ4分の3がネットワーク能力を失った。河北新報は2003年8月18日に、日本でも山口県庁情報企画課が2003年8月18日に全部署から「MSBLASTの対策は完了した」と報告を受けていたが、出先機関の対策で遅れて「Welchia」に感染したと報告した。大阪府も2003年8月19日、庁内のネットワークシステムで、「Welchia」に感染し、障害が発生したと発表した。また大阪府母子保健総合医療センターのネットワークサーバー1台と、パソコン3台にも「Welchia」の感染が確認された。郵政公社も本支社にある約6000台、大阪府庁は約8000台、山口県庁は約3700台の端末をそれぞれ回線から切り離し、郵政公社の被害は、本社と北海道、東北、南関東、東京、信越、北陸、東海、近畿、中国、四国の10支社の端末で発生した。NECグループ会社でも2003年8月18日朝に、2台の感染が判明した。警察庁は2003年8月21日に、61団体の2300台以上のパソコンに感染したと報告した。ただし、郵政公社も本支社にある約6000台、大阪府庁は約8000台、山口県庁は約3700台の端末に感染し、回線から切り離していることから、この数字は信用できない。詳細情報はURL(http://www.japanpost.jp/pressrelease/japanese/sonota/030819j901.html)または、URL(http://www.kahoku.co.jp/news/2003/08/2003081901000352.htm)または、URL(http://www.kahoku.co.jp/news/2003/08/2003081801000357.htm)または、URL(http://www.kahoku.co.jp/news/2003/08/2003081901000501.htm)または、URL(http://www.kahoku.co.jp/news/2003/08/2003081801000519.htm)で知ることができる。日本法人のマイクロソフトは2003年8月20日に、Windows XPなどの欠陥修正プログラムや、ウイルス駆除用ソフトを収めた緊急対策用無償CD約20万枚を、早ければ今週末から配布すると発表した。日本中で「Welchia(Nachi)」が多くのシステムを混乱させ、「Sobig」亜種のFが世界中で蔓延し、過去最悪の大量メール発信を招いて、ダブルパンチでトラフィックの洪水が続いている中、2003年8月22日にニューヨーク・タイムズ(New York Times)社ではWindowsを使っているパソコンの一部で、社内システムとの接続が困難になったり、電子メールの送受信ができなくなったりする障害が発生し、MacOSを除く全パソコン数100台をシステムから外して使用停止にしたが、2003年8月23日にはCIAのサーバーがアクセス不能になった。「Sobig」亜種のFについては、URL(http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SOBIG.F)または、URL(http://www.symantec.com/region/jp/sarcj/data/w/w32.sobig.f@mm.html)または、URL(http://www.nai.com/japan/security/virS.asp?v=W32/Sobig.f@MM)または、URL(http://www.f-secure.co.jp/v-descs/v-descs3/sobigf.htm)または、URL(http://www.sophos.co.jp/virusinfo/analyses/w32sobigf.html)または、URL(http://www.caj.co.jp/virusinfo/2003/win32_sobig_f.htm)または、URL(http://www.sourcenext.info/mcafee/virus/sobig_f.html)または、URL(http://www.aladdin.co.jp/esafe/virus/v_all/Win32_Sobig_f.html)または、URL(http://www.cyberpolice.go.jp/)で知ることができる。さらに追い打ちをかけるように2003年8月21日には、Microsoft社のブラウザInternetExplorerのセキュリティ・ホールの発表、2003年8月23日には、Windowsシステム上で使用されているMDAC(Microsoft Data Access Components)機能の脆弱性について(MS03-033)、MDAC機能の未チェックのバッファにより、システムが侵害される(326573) (MS02-040)が発表され、Windowsユーザーにとっては、修正プログラムのダウンロードで毎日が始まる晩夏になった。詳細情報はURL(http://www.microsoft.com/japan/technet/security/bulletin/MS03-032.asp)または、URL(http://www.microsoft.com/japan/security/security_bulletins/ms03-032e.asp)または、URL(http://www.microsoft.com/japan/technet/security/bulletin/MS03-033.asp)または、URL(http://www.microsoft.com/japan/security/security_bulletins/ms03-033e.asp)または、URL(http://www.microsoft.com/japan/technet/security/bulletin/ms02-040.asp)で知ることができる。そこで注目されるのは、「Welchia(Nachi)」の元である「Blaster」にウイルス制作者が残した、1800年代のニュー・メキシコを中心に西部開拓時代の無法地帯で暴れ回り、指名手配になって保安官のパット・ギャレット(Pat Garret)によって1881年に射殺されたアウトローのギャング「ビリー・ザ・ヒッド(Billy the Kid/William H Bonney Alias)」の名前を代用した
「I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!! (ビル・ゲイツ何でこんな可能性を作ったの？金儲け止めて、あなたのソフトをきちんと直せ！！)
windowsupdate.com BILLY」というメッセージで、「PL無法地帯」を攻撃した表現になっていることである。日本法人のマイクロソフトは2003年8月21日に、Windows XPなどの欠陥修正プログラムや、ウイルス駆除用ソフトを収めた緊急対策用無償CD(シマンテック1万5000枚、トレンドマイクロ1万枚、日本ネットワークアソシエイツ1万枚、ラック2万枚)を、早ければ2003年8月27日から配布すると発表した。詳細情報はURL(http://www.microsoft.com/japan/security/howtoget.asp)で知ることができる。ただし、このCDの枚数の数字がどこから来たのか？Microsoft社は、今回の騒動の元凶であり、Windowsのユーザー登録者全員に無償で配送すべきであり、ユーザー登録している意味がどこにあるのか問われることにもなりそうである。さらに配布元がアンチウイルス会社であり、あらぬ疑いをかけられる可能性も拭えない。現に米国のデル・コンピュータ(Dell Computer/1998年1月26日にCompaq Computer社が買収)社は、Microsoft社のWindows Mobile 2003 Software for Pocket PCを搭載して、2003年7月16日以前に工場から出荷されたPDA製品Axim X5の不具合を解決するにあたって、自社サイトでダウンロード・サービスを提供するのではなく、修正パッチが入ったCD-ROMをユーザーに郵送する予定を発表している。2003年8月に、Microsoft社が販売している「Windows Server 2003」「Windows NT Server 4.0」「Windows NT Terminal Services Edition」「Windows 2000」「Windows XP」にセキュリティ上の脆弱性を突いた、「Blaster」「Welchia」「Sobig」が蔓延し、世界中のインターネットを混乱させたことから、ウイルスを作った人や配布した人だけではなく、それを製造したメーカーやセキュリティ・ホールを放置した責任として、ソフトウェアに関する「PL法」「拡大生産者責任」などの必要性を訴える意見が世界中で噴出した。ただし、現状の日本の法律で「PL法」の対象とする「製造物」は、有体物である動産に限られ、電子情報であるソフトウェアのプログラムは無体物であり、対象から外されている。また、情報機器に組み込まれたOSにバグがあった場合は、「PL法」が適用されるのはその機器を製造した業者で、OSの不具合だったとしても、それを組み込んだハードウェア・メーカーの欠陥だと見なされるという矛盾が指摘されている。イギリスのComputer Business Reviewは2003年10月2日に、世界で初めて米国のMicrosoft社のセキュリティ警告は、複雑すぎて一般のユーザーに理解できないどころか、「動きの速い」ハッカーが脆弱性の悪用方法を知る役に立っていると、Microsoftのライバルが加盟する業界団体CCIA(Computer and Communications Industry Association)によって2003年9月24日に配布された報告書をもとに、ロサンゼルスの州地方裁判所に集団訴訟の提案が起こされたと報告した。詳細情報はURL(http://www.cbronline.com/latestnews/1bf54f56a412b61a80256db40018c1af)また、2003年9月24日にCCIAが配布した報告書は、URL(http://www.ccianet.org/press/03/0924.pdf)で知ることができる。イギリスのmi2gは2003年8月29日に、「Sobig」の被害は世界記録を樹立(Sobig Virus Damage Breaks World Record)を報告し、2003年9月1日に2003年8月のウイルスとハッキング攻撃による被害総額はUS$328億で、「Sobig」による被害だけでも全世界でUS$297億に上ったと推定した「August Digital Damage Unprecedented」を発表した。詳細情報はURL(http://www.mi2g.com/cgi/mi2g/press/290803.php)または、URL(http://www.mi2g.com/cgi/mi2g/press/010903.php)で知ることができる。トレンドマイクロは2003年9月3日、8月のウイルス被害届け出状況を発表し、「Blaster」の届け出件数が2413件で1位(「Blaster.A」が1608件、亜種「B」が8件、亜種「C」が8件、亜種「D」が789件)、「Sobig」が136件で5位なったことを報告した。詳細情報はURL(http://www.trendmicro.com/jp/security/report/report/archive/2003/mvr0308.htm)で知ることができる。Internet Security Systemsは2003年9月3日に、「注意：Nachiに関する追加情報」を公開し、 「Nachiのソースコードの一部とされているものが公開されており、この中で、Nachiが日本を主なターゲットとして作成された旨記載されていることを確認いたしました。」と報告した。詳細情報はURL(http://www.isskk.co.jp/support/techinfo/general/Nachi.html)で知ることができる。経済産業省商務情報政策局情報セキュリティ政策室は2003年9月18日に、Blaster及びWelchiaワームの国内企業被害に関するアンケート調査を国内企業約1000社に対して実施し、その結果を公開した。また、MS03-039の脆弱性を攻撃するプログラムが公開されており、今後Blasterワームと同様のコンピュータ・ワームが出現し、同様の広範な被害を生じさせる可能性が高いと考えられるため、警察庁、総務省及び経済産業省の連名にて注意喚起を行った。詳細情報はURL(http://www.meti.go.jp/kohosys/press/0004515/)または、URL(http://www.meti.go.jp/kohosys/press/0004514/)で知ることができる。Washington Times, DCは2003年9月24日に米国国防総省(DOD/Department Of Defence)のFBIからの11万人のテロリストデータを始めとするテロリスト情報や麻薬情報など約1500万の犯罪データを管理し、毎年700万のビザ情報も管理しているデータベースCLASS(Consular Lookout and Support System)がWelchiaの影響で2003年9月22日ダウンし、ビザ発給を管理するシステムの運営などに影響が出たと報道した。詳細情報はURL(http://washingtontimes.com/world/20030924-095341-6777r.htm)で知ることができる。米国のGAO(General Accounting Office/米国連邦会計監査院)は2003年9月25日に、 FBIの情報システムを現在のIT技術に対応できるように情報を統合化する必要性を訴えた報告書「Information Technology: FBI Needs an Enterprise Architecture to Guide Its Modernization Efforts. GAO-03-959」を公開した。詳細情報はURL(http://www.gao.gov/cgi-bin/getrpt?GAO-03-959)で知ることができる。2003年10月15日に、システムを納入した大阪市の医療機関向けソフトウエア開発会社が、電話回線を使った遠隔操作で保守点検した大阪府箕面市立病院など全国34病院の電子カルテシステムが、2003年9月29日から10月9日にかけて「Welchia」に感染していたことが分かったと発表した。大阪府箕面市立病院は、2003年10月6日付け日本経済新聞に掲載された「安全重視の病院」ランキングで、38位になっていた。2003年10月21日に日本郵政公社金沢中央中便局のパソコンが「Welchia」に感染し、さらに福井県や石川県の局のパソコンからも同様のアラートがあり、800郵便局につながるネットワークを公社のWANから切り離したことから、 北陸支社管内の郵便局で小包や書留の配送状況を追跡するサービスが提供できない影響が出た。2003年8月29日にも日本郵政公社は「Blaster」に感染するという事故を起こしている。日本郵政公社は総務省の管轄であり、その総務省の下部組織組織「自治情報センター」が住民基本台帳ネットワークを管理し、全国民の個人情報を統括していることから、総務省全体の体質を根本から全て洗い直す必要がある。詳細情報はURL(http://www.japanpost.jp/pressrelease/japanese/sonota/031022j901.html)で知ることができる。米国のGAO(General Accounting Office/米国連邦会計監査院)は2003年12月12日に、テロと経済に関するメカニズムのレポート「Terrorist Financing: U.S. Agencies Should More Systematically Assess the Use of Alternative Financing Mechanisms. GAO-04-163」を公開した。詳細情報はURL(http://www.gao.gov/cgi-bin/getrpt?GAO-04-163)で知ることができる。「ChinaByte」は2004年2月16日に、Welchiaワームの変種型で、中国人によって意図的に作られた可能性が極めて高いとされる、日本語版Windowsだけを攻撃し、英語や中国語など、その他の言語のWindowsには危害を与えない「愛国ウイルス」が登場したと報告した。このワームは、インターネット上でパスから判断して、ウイルスを含むHTMLファイルをそのパスの下に置き換え、ワームを含むファイルには、日中戦争を象徴する日付が表示されるようになり、ウイルスに感染したページをクリックするだけで感染するということである。詳細情報はURL(http://www.chinabyte.com/busnews/216482844392816640/20040216/1768507.shtml)または、URL(http://www.chinabyte.com/homepage/219001907136430080/20040213/1768102.shtml)で知ることができる。米国のGAOは2005年2月11日に、米国国防総省(DOD/Department Of Defence)の近代化と統合軍事の人的資本管理プログラムについてのレポート「DOD Systems Modernization: Management of Integrated Military Human Capital Program Needs Additional Improvements. GAO-05-189」を公開した。詳細情報はURL(http://www.gao.gov/cgi-bin/getrpt?GAO-05-189)で知ることができる。Microsoft社は2006年6月15日にビル・ゲイツ(William H.Gates通称Bill Gates)会長が最高ソフトウェア開発責任者の役職を退くと発表し、後継には最高技術責任者(CTO)のRay Ozzieが就任、2008年7月以降、日常の職務から離れる予定で、その後は慈善財団「Bill & Melinda Gates Foundation」で、地球環境や教育問題への取り組みにより多くの時間を費やすと報告した。ただし、2008年7月以降も、会長および開発プロジェクト顧問としてMicrosoft社にとどまる。詳細情報はURL(http://www.microsoft.com/presspass/press/2006/jun06/06-15CorpNewsPR.mspx)または、URL(http://www.microsoft.com/presspass/press/2006/jun06/06-15CorpNewsMA.mspx)または、URL(http://www.microsoft.com/presspass/presskits/leadership/default.mspx)または、URL(http://channel9.msdn.com/Showpost.aspx?postid=205005)で知ることができる。