MSBlast(エムエスブラスト)とは | 意味や読み方など丁寧でわかりやすい用語解説

MSBlastとは、2003年8月に世界中で大流行したWindowsのワームである。正式名称は「W32.Blaster.Worm」や「Lovsan」など、複数の呼び名があるが、一般的にはマイクロソフトが提供した関連パッチの名称「MS03-026」にちなんで「MSBlast」と呼ばれることが多い。このワームは、当時広く利用されていたWindows 2000、Windows XP、Windows Server 2003に存在する「DCOM RPCインタフェースの脆弱性」（MS03-026/CVE-2003-0352）を悪用し、インターネット経由で感染を拡大した。主な症状としては、感染したPCの動作が不安定になり、突然システムが再起動を繰り返す、あるいは特定のウェブサイトに対して大量のアクセスを送りつける分散型サービス拒否（DDoS）攻撃を実行するといったものがあった。このワームの出現は、当時のIT業界に甚大な混乱をもたらし、情報セキュリティ対策の重要性を改めて知らしめることとなった。

MSBlastの詳細な動作原理と影響について解説する。このワームがターゲットとした「DCOM RPCインタフェース」とは、Windowsの基盤をなす重要なサービスの一つで、「分散コンポーネントオブジェクトモデル リモートプロシージャコール」の略である。これは、ネットワーク上の異なるコンピュータ間でプログラムが通信し、互いにサービスを呼び出し合うための仕組みを提供する。MSBlastはこのDCOM RPCサービスの内部に存在する「バッファオーバーフロー」と呼ばれる脆弱性を悪用した。バッファオーバーフローとは、プログラムがデータ処理のために確保した一時的なメモリ領域（バッファ）に、許容量を超えるデータが流れ込むことで、隣接する領域に不正なデータを上書きしたり、最終的には攻撃者が仕込んだ悪意のあるプログラムコードを強制的に実行させたりする現象である。

MSBlastワームは、まずインターネット上でランダムなIPアドレスを生成し、ターゲットとなるPCのTCPポート135（RPCサービスが通常使用するポート）に対してスキャンを実行した。このポートが開いているPCが見つかると、ワームは発見した脆弱性を利用して、遠隔からターゲットPCのメモリ上に自身のコードの一部を送り込み、実行させる。これにより、ターゲットPCはワームの指示に従って、自身のPCにワーム本体をダウンロードするためのバックドアを開く。具体的には、感染したPC上にTFTP（Trivial File Transfer Protocol）サーバーを起動させ、ポート69を開放し、別の感染源からワームの実行ファイル（通常は「msblast.exe」や「penis32.exe」などの名前で）をダウンロードさせる。

ワームの実行ファイルがダウンロードされ、実行されると、MSBlastは自身のコピーをシステムのディレクトリに配置し、Windowsのレジストリ（通常は「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run」キー）に登録することで、PCが起動するたびに自動的にワームが実行されるように設定する。 MSBlastの主要な症状の一つである「システム再起動」は、ワームがWindowsの重要なプロセスである「lsass.exe」（Local Security Authority Subsystem Service）を不正に操作し、クラッシュさせることによって引き起こされた。lsass.exeはユーザーのログオン処理やセキュリティポリシーの適用など、Windowsのセキュリティ機能の中核を担うプロセスであるため、これがクラッシュするとシステムは安全のため自動的に再起動する仕組みになっていた。このため、感染したPCでは数分おきに再起動が繰り返され、まともに作業ができない状況に陥った。

さらにMSBlastは、特定の期日（通常は毎月16日以降）に、特定のウェブサイトに対するDDoS攻撃を実行する機能を内包していた。この攻撃の標的は「windowsupdate.com」であり、マイクロソフトのWindows Updateサービスを妨害することを目論んでいたとされている。これは、ワームが自身の蔓延を助長するために、パッチ適用による対策を遅らせようとした可能性が指摘されている。

MSBlastにはいくつかの亜種も存在したが、特に注目すべきは、MSBlastとは異なるワームである「W32.Welchia.Worm」（通称Nachi、Zotob）の登場である。Welchiaワームは、MSBlastが使用したポート135の脆弱性だけでなく、別の新たな脆弱性（MS03-039、TCPポート80）を利用して感染を拡大した。しかし、Welchiaの興味深い点は、感染したPC上でMSBlastワームを検出し、そのファイルを削除しようと試み、さらにマイクロソフトのウェブサイトから脆弱性に対するパッチをダウンロードして適用しようとする「自浄作用」を持っていたことである。しかしながら、Welchia自体もシステムに負荷をかけ、ネットワーク帯域を消費し、場合によってはPCを再起動させるなど、別の混乱を引き起こしたため、決して「善意のワーム」とは言えなかった。

MSBlastの大流行は、企業や組織のITシステムに甚大な影響を与え、業務停止や生産性低下といった実害をもたらした。この事件は、OSやアプリケーションに脆弱性が発見された場合、速やかにセキュリティパッチを適用することの重要性を改めて浮き彫りにした。また、ファイアウォールの設定による不必要なポートの閉鎖、適切なアンチウイルスソフトウェアの導入と定義ファイルの更新、そしてネットワークの監視といった基本的な情報セキュリティ対策の徹底が、いかに重要であるかを世界中のシステム管理者やユーザーに強く認識させる契機となった。MSBlastの教訓は、現代のシステムエンジニアを目指す者にとっても、セキュリティを考慮したシステム設計や運用が不可欠であることを示す歴史的な事例として、今もなお学ぶべき点が多い。