先週は大きなセキュリティ・インシデントが相次ぎ,慌しい1週間であった。Microsoftのセキュリティ警告を装って,ウイルスをダウンロードさせようとする“偽情報”が出回り,IISのセキュリティ・ホールを突く新種のワーム「Code Red」が猛威を振るい始めた。悪用されるセキュリティ・ホールが公開されてから,まだ1カ月経っていないにもかかわらずである。前者については関連記事に譲るとして,今回のコラムでは「Code Red」の詳細について解説する。

危険度“最大級”のセキュリティ・ホールを悪用

 Webページの改ざんや他のサイトへのDoS攻撃を行う,自己拡散型の新種ワーム「Code Red」が,米国時間7月19日に米CERT/CCから報告された([関連記事])。ワームが悪用するのは,HTTP を使って(つまり,公開用Webサーバーに対してはファイアウオールを“すり抜けて”)サーバーを完全に乗っ取れるセキュリティ・ホール「(MS01-033)Index Server ISAPI エクステンションの未チェックのバッファにより Web サーバーが攻撃される」である。

 対象となるのは,Internet Information Server/Services(IIS)を稼働しているWindows NT 4.0/2000/XPベータのマシン。問題があるのは,Index Server/Indexing Service のISAPI エクステンションだが,そのサービスを稼働していなくても,IISが動いていれば影響を受けるという,危険度が“最大級”のセキュリティ・ホールである。

 既に日本では,6月19日に解説と日本語版パッチが公開されており,そのパッチさえ適用すれば確実に回避できる“単純な”セキュリティ・ホールである。対応を徹底しよう。

 なお,マイクロソフトが公開しているドキュメントの一部には,このセキュリティ・ホール(MS01-033)の情報が反映されていないので,注意が必要である。反映されていないのは,「TechNet セキュリティ センター」で“重要”と赤書きされている「Web コンテンツの改ざんに対する防御策についての説明」である。5月23日以降は更新がストップしている。最新の,しかも危険度が高い MS01-033 のパッチ情報が反映されていなければ,セキュリティ情報としては意味はない。マイクロソフトには,ぜひドキュメントの最新化をするようお願いしたい。

ホワイトハウスへ DoS 攻撃

 CERT/CCのレポートによると,既に25万以上のサイトがCode Redの影響を受けている可能性があるとされている。当初米国時間7月19日に公開されたレポートは 7月20日に更新され,詳しい情報が追加された。米eEye Digital Securityのレポート「.ida "Code Red" Worm」などを参考にしていると思われる。

 CERT/CC や eEye Digital Security などが公開している情報をまとめると,Code Redのメカニズムは次のようである。

 まずCode Redは,ランダムに選んだホストに対して,TCPのポート番号 80(つまり,HTTP)で接続可能かを調べ,可能ならば,セキュリティ・ホールを突くHTTP GET リクエストを送出する。

 対象ホストが,パッチを適用していないIISサーバーの場合にはCode Redに感染し,パッチ未適用の「Cisco 600シリーズ DSLルータ」の場合には,パケットのフォワードが停止する。上記以外のマシンは,“HTTP 400 Bad Request”というメッセージを攻撃元へ返す。

 IISサーバーへの侵入に成功したCode Redは,IISのdefault languageが英語だった場合,Webページを「HELLO! Welcome to http://www.worm.com! Hacked By Chinese!」という内容に改ざんする。

 その後の挙動は マシンの日付(GMT:グリニッジ標準時)により異なる。まず,1~19日の場合は,ほかのマシンへどんどん感染し続けてワームが拡散する。次に20~27日の場合は,他のマシンへの感染はしないものの,特定のIPアドレスに大量のパケットを送りつけるDoS攻撃を仕掛けるようになっている。そして,28日~月末までは活動を一時的に停止しスリープ状態に入る。

 なお,ここでの“特定のIPアドレス”とは,eEye Digital Securityのレポートによれば,ホワイトハウスのWebサーバー(www.whitehouse.gov)のIPアドレスであったようだ。

 Code Redについてのより詳細な情報については,上述のeEye Digital Securityのレポートを参照してほしい。

既に拡散は停止し28日以降は眠りつくワーム,しかし油断は禁物

 Code Redの存在が確認され始めたのは,7月13日頃である。そのため,GMTの7月20日午前0時(米国時間では19日夜)が,最初のDoS攻撃開始のタイミングであった。ところが,事前にこの情報を入手していたホワイトハウスは,攻撃を回避するためにWebサーバーのIPアドレスを変更していた。そのため,“特定のIPアドレス”では,影響はさほどなかったようである。そしてワームは,7月21日の時点で自己拡散を停止している。

 しかし,油断はできない。スリープ状態が解ける8月1日以降,再び自己拡散を繰り返し,被害が拡大する恐れが十分にある。

 また,変種(亜種)の登場も危惧される。今回のCode Redは,(1)Webページを改ざんするのは英語版IISのみ,(2)DoSアタックの対象は特定のIPアドレスのみ,(3)自己拡散するのは一定期間のみ---というようにワームの活動がかなり制限されていた。これらの制限のない,もっと悪質なワームが登場する可能性は十分にある。

 今回のようなワームを見るにつけ,攻撃者がある意図を持って,特定のWebサイトを狙う形態のアタックは,いよいよ過去のものになりつつあるように思える。ワームが自己拡散する際,対象サイトの規模や知名度はまったく関係がない。ロジックに従って淡々と拡散を繰り返すだけだ。まさしく無差別攻撃である。「アタックは有名なサイトが受けるものであり,うちには関係ない」といった根拠のない従来の常識は,いよいよ改めなければならない時期に来ている。

『Windows NT 4.0』は日本語版パッチが1件追加

 以下では,Windows関連のセキュリティ・トピックス(2001年7月20日時点分)を,各プロダクトごとに整理して解説する。

 先週は,「マイクロソフト セキュリティ情報一覧」にて,『Windows NT 4.0』関連の日本語版パッチが1件公開された。

(1)「電話帳サービス バッファ オーバーフロー」の脆弱性に対する対策

 セキュリティ・ホールについては既に紹介済みである。Windows NT 4.0用のOption PackとWindows 2000に含まれて出荷されている,オプショナル・コンポーネント「電話帳サービス」が影響を受ける。特定形式のURLをリクエストされると,電話帳サービスが稼働しているIIS 4.0/5.0サーバーで任意のコードを実行される可能性がある。

 2000年12月28日に公開されていたWindows 2000版に半年以上遅れて,今回,Windows NT 4.0 版 の日本語版修正パッチがようやく公開された。必要に応じてパッチを適用しておこう。

 ただ,電話帳サービスはIIS 4.0/5.0にデフォルトではインストールされていないので,影響を受けるケースは少ないと思われる。とはいえ,あまりにも遅い対応だ。

 なお,このパッチは「Windows NT 4.0 セキュリティ ロールアップ パッケージ (Post SP6a) 」に含まれる予定であるという。しかし,「Post SP6a」はいつ公開されるのだろうか。日本語版 SP6a 以降に公開されたセキュリティ・ホールは50個を超え,しかもそのうち6個は日本語版パッチがリリースされていない。TechNet セキュリティ センターでのドキュメント「パッチより Service Pack が優れている理由」でのMicrosoftのポリシーを証明するためにも,「Post SP6a」を早く公開してほしいものだ。



CERT Advisory CA-2001-19 "Code Red" Worm Exploiting Buffer Overflow In IIS Indexing Service DLL
 (CERT/CC:2001年 7月19日)

.ida "Code Red" Worm
 (eEye Digital Security:2001年 7月19日)

マイクロソフト セキュリティ情報一覧

『Windows NT 4.0』

◆(MS00-094)「電話帳サービス バッファ オーバーフロー」の脆弱性に対する対策
 (2001年 7月 18日: Windows NT 4.0 の日本語版修正パッチが公開)


山下 眞一郎(Shinichiro Yamashita)
株式会社 富士通南九州システムエンジニアリング
第二ソリューション事業部システムサービス部 プロジェクト課長
yama@bears.ad.jp


 「今週のSecurity Check [Windows編]」は,IT Proセキュリティ・サイトが提供する週刊コラムです。Windows関連のセキュリティに精通し,「Winセキュリティ虎の穴」を運営する山下眞一郎氏に,Windowsセキュリティのニュースや動向を分かりやすく解説していただきます。(IT Pro編集部)