US-CERTが2014年12月19日付で、最近報道されたエンターテイメント産業の著名大手企業に対して行われたネットワーク攻撃で、SMB （Server Message Block)ワームツールが使用されたとの情報が信頼できる情報筋からUS-CERTによせられたこと、加えてSMBワームツールの概要を発表しました。

• 軽量なリスニングの埋め込み機能、バックドア、プロキシツール、破壊型ディスク操作ツール、破壊型ターゲットクリーニングツールなどの各種ツールを備えている。
• Windowsのシェアに対するブルートフォース攻撃で認証を試みる
• 認証に成功すると、SMBプロトコルのPort445を経由して5分毎に「ホーム」に接続し、ログを送信する

感染した場合の影響

SMBワームツールは破壊的な性格の強い機能を多数もっているため、感染したサイトはデータの消失、サービス停止などの深刻な障害に見舞われる危険があります。

対策

US-CERTは、警告の中で以下のような対応策を提唱しています。

• ユーザやシステム管理者は、以下のような予防措置を講じて備えるべき 必ずウィルス対策ソフトウェアをを使用すること。更新によって最新の状態に保つようにつとめることが重要。
• OSやアプリケーションソフトを最新の状態に保つこと。既知の脆弱性を悪用されないように、対策パッチ等をほどこすこと。多くのOSで、ソフトウェアの自動更新機能が提供されている。可能な環境であれば自動更新を推奨する。

US-CERTの発表へのリンク：TA14-353A: Targeted Destructive Malware