[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[port139ml:03921] Re: Blaster ワーム の対策ツール

ども、根暗井です ^^)  続きを...

At Sun, 17 Aug 2003 13:47:39 +0900,
nekurai@xxxxx wrote:

> ...まだおりかえしの電話がないので結末がどうなるかわりません。

電話が来ました。

  サポート: 結論から申し上げますと HD40 は Blaster に感染しません。
      それは HD40 は RPC を使っていないからです。

ほほぉ、そうきたか...

  私: ではなぜ RPC を使わないのに 135/TCP が開いているんでしょうか?
  サポート: ・・・
  私: システムとして使ってないけど、バイナリ自体は存在し、なおかつ
      ポートも開いている事はありませんか?
  サポート: 実際に HD40 を使って感染するかチェックしましたが
      感染していなかったので大丈夫だと思います。
  私: 感染していないというのはどういう事でしょうか?
      感染しているマシンと同一ネットワークにおいてもシャットダウンが
      かからなかったという事でしょうか? それとも SYSTEM32 フォルダ
      内に msblast.exe 等が出来なかったという事でしょうか?
  サポート: 少々お待ちください。確認してみます。(3 分程待つ)
      お待たせしました。実際に出来てるかどうか、今確認できません
      でした。

感染実験をしてるのなら確認なんてそんなに手間がかからないと
思うんだけど... なんでそういう回答になるのやら...
しょうがないので話を進めて...

  私: Blaster に感染する・しないというのは本質的な問題では
      ありません。問題は今回問題になった脆弱性の有無です。
      MS のサイトを見ると今回の脆弱性を使うとファイルの閲覧や
      削除などが可能となるかもしれないとなっています。
      今後そのような動きをするものが出回った時の事が心配です。
  サポート: そこまで調査となると多少お時間がかかりますが
      よろしいでしょうか?

時間がかかるのはしょうがない (もちろん程度問題だけど...) から
それはそれで確認をお願いしました。ついでにもう1つちょっと
意地悪な質問を...

  私: ところで仮に脆弱性が見つかったり、または MS のサイトに行くと
      Windows NT Embedded 用、というか NT Server 用のパッチが
      いろいろありますが、今後このようなものをファームのアップデート
      等の手段として提供する事はあるでしょうか?
  サポート: 既に HD40 は生産終了した機種なので脆弱性があったとしても
      アップデートはないものとお考え下さい。

結局今後修正するつもりはないのね...


ちなみに HD40 をバラすと中に CF カードが 1 枚入ってます。
その中に OS が入っているので、何らかの手段で一度それを
backup を取り、その後実験用のネットワークで感染するか
確認すればそんなに手間をかけずに実験可能です。
一般人はそこまでやらないので回答待ちになりますが...

                                        By  根暗井
------- 根暗井 == 櫻井 -------- (E-mail : nekurai@xxxxx) -------
そんなわけで結局 HD40 が安全なのかどうかわからずじまいだなぁ ^^;
----------------------------------------------------------------