既に多くの記事や MMPC Blog (1, 2) でも取り上げられているので、ご存知の方も多いと思いますが、リモート デスクトップ接続を介して感染するワーム Worm:Win32/Morto.A. が8月の終わりごろ確認されました 。
このワームは、Windows の脆弱性は悪用せず、リモート デスクトップ接続で、よくある簡易なパスワードを使って (備考参照) ローカルネットワーク上の他の PC にログインし感染を試みるのが特徴です。一旦感染すると、システムは攻撃者に乗っ取られる可能性があります。また、感染を拡大するためローカル サブネット上の PC に総当り的に接続を試みるため、ネットワーク上に大量の RDP プロトコル (TCP ポート: 3389) のパケットが発生します。
マイクロソフトは、8 月 28 日にウイルス対策ソフトの定義ファイルを作成済みで、これを境に日本においてはマルウェアの感染状況が収束していることを確認しています。しかし、今後もリモート デスクトップ接続のような正規の通信で、脆弱なパスワードで侵入するようなマルウェアが発生する可能性が考えられます。そのようなマルウェアが発生した場合、セキュリティ更新プログラムを完璧に適用していたとしてもマルウェアの感染を防ぐことは困難です。そのため、パスワードの設定を見直し、管理者アカウントやユーザー アカウントのパスワードをより強固なものにすることをお勧めします。
対策方法
-
企業で Active Directory を導入している場合、[パスワードは、複雑さの要件を満たす必要がある] や [パスワードの長さ] などのパスワードポリシーやアカウントロックアウトのポリシーを適切に設定することをお勧めします。
http://technet.microsoft.com/ja-jp/library/cc786468(WS.10).aspx -
企業内のワークグループや家庭の PC については、自分の設定したパスワードが強固なものか下記サイトで試してみてください。
https://www.microsoft.com/ja-jp/security/pc-security/password-checker.aspx
備考
Worm:Win32/Morto.A. で利用されるアカウントとパスワード
| アカウント | パスワード |
|---|---|
| 1actuseradmadminadmin2administratoraspnetbackupcomputerconsoledavidguestjohnownerrootserversqlsupportsupport_388945a0systest2test3useruser1user5 | *123401111233691111123451111111231231233211234561681685205206543216666668888881234567123456781234567891234567890%u%%u%121234qwer1q2w3e1qaz2wsxaaaabc123abcd1234adminadmin123letmeinpasspasswordservertestuser |