また亜種が出てきたか!!という思いです。(T T)

 Confickerのアウトブレイクは、よく2003年のBlasterワームの再来と例えられています。しかし、大きく異なるのが感染後の駆除が厄介な点ではないでしょうか。苦戦されている企業が多いことから、筆者らも先日緊急アラートを出しました

 長期化する組織内に潜入したConficker(Downadup)の駆除・対処について
 http://www.lac.co.jp/info/alert/alert20090409.html


(1)駆除ツールが効かない?

 Blasterワームと比較し、Confickerはかなり巧妙な作りになっています。その為か、駆除ツールが必ずしも有効ではありません。筆者の検証結果では、5つの駆除ツールをテストした結果、適切に動作したツールは2/5でした。適切に動作しなかったものは2つのタイプに分類できます。

・駆除したと表示 -> 実際は駆除していない
・駆除できないと表示

 特に前者のタイプはユーザを裏切る最悪のケースと言えます。


(2)組織的駆除の難しさ

 感染経路が多いため、一発で組織的に解決することが難しい点が挙げられます。

・ネットワーク共有
・外部記憶媒体(特にAutoplayの問題)
・モバイルブロードバンド
・ウェブ

 多く見かけるのが、駆除した直後に再感染している例です。

(3)パスワードの問題

 大組織程多いと思われるのが、ActiveDirectory環境でのAdministratorのパスワード変更です。(簡単にはできない、と言われるケースが多い・・・)Confickerはネットワーク共有を悪用するためにBruteforceを行います。この際に、ネットワーク上の全ホストのAdministratorのパスワードが同一だったとしたらどうでしょうか。感染速度がさらに加速化されることが容易に想像できるかと思います。

 完全駆除が中々難しいとは思われますが、一時的に業務システムを停止してでも駆除しなければ解決は長引くだけです。