セキュリティ情報「MS08-067」に関する遠隔コード実行攻撃が急増

　米マイクロソフトのセキュリティ情報「MS08-067」は，同社が2008年10月23日に緊急リリースしたセキュリティ更新プログラムで，実在の遠隔コード実行攻撃に悪用される重大なセキュリティ・ホールをふさぐものである（関連記事：米マイクロソフトの緊急セキュリティ情報「MS08-067」について/Windowsに「緊急」の脆弱性，「悪用するワームが出現する恐れ」）。WindowsのServerサービスの不適切なRPC（Remote Procedure Call）処理でコードを実行してしまうこのセキュリティ・ホールを突かれると，程度の差こそあれWindows 2000，同XP，同Server 2003，同Vista，同Server 2008が攻撃対象となる。攻撃がうまくいくと，最終的に攻撃者は遠隔地から狙ったパソコンに悪意あるアプリケーションをこっそりインストールできる。

　マイクロソフトは，今回のセキュリティ・ホールがWindowsの各バージョンに与えるリスクを具体的に示す一覧表を発表した。この表を見ると，ユーザー認証を受けずにWindows 2000/XP/Sever 2003でこのセキュリティ・ホールを悪用できることは一目瞭然だ。

　初期設定状態のWindows XPはファイアウォールでRPC接続をブロックするため，悪用できない。ただしファイアウォールが無効な場合，あるいはファイアウォールが有効でもファイル/プリンタ共有まで有効になっていると，Windows XPも悪用の対象となる。Windows VistaやWindows Server 2008では，攻撃者はユーザー認証を受けないと今回のセキュリティ・ホールを悪用できない。

　現在，このセキュリティ・ホールを悪用するエクスプロイトがいくつか出回っている（関連記事：Windowsの「緊急」脆弱性を突くウイルスが続出，PCを乗っ取られる恐れ）。通常，エクスプロイトでワームを蔓延（まんえん）させるには，確実性の高いエクスプロイトが必要である。今回のセキュリティ・ホールの特性上，Windowsの全バージョンに対して一気にセキュリティ・ホールを突くようなエクスプロイトの作成は困難だ。したがって，公開されたエクスプロイトは特定バージョンのWindowsをターゲットとしている。最初のエクスプロイトで明らかになったのは，繁体字中国版Windowsのセキュリティ・ホールを悪用してクラッシュを引き起こす，単なるコンセプト実証（PoC）でないということだ。エクスプロイトの作者は，この1カ月の間に今回のセキュリティ・ホールを突くより確実な攻撃手法を見つけ出し，さらに安定したエクスプロイトを公開した。この非常に成功率の高いエクスプロイトは，セキュリティ検証ツール「Metasploit Framework」に組み込まれている。同ツールにはさまざまな構成が用意されており，これらの構成を利用すると様々なバージョンのWindowsで今回のセキュリティ・ホールを突くことができる。

　今回のセキュリティ・ホールを狙う悪意のあるワーム的なアプリケーションを我々が初めて見つけた際には，その当時出回っていた原始的なエクスプロイトが用いられていた。繁体字中国版Windowsシステムをターゲットとするエクスプロイトだ。しかし，過去24時間で新たなワームが確認されている。この新しいワームはMS08-067を悪用するものだが，Metasploit Frameworkのルーチンを利用してWindowsのうち以下のバージョンを攻撃する。

・Windows 2000（ユニバーサル版）
・Windows 2003 SP1（英語版）
・Windows 2003 SP2（英語版）
・Windows XP SP2（英語版）
・Windows XP SP2（アラビア語版）
・Windows XP SP2（ポルトガル語版）
・Windows XP SP2（ロシア語版）
・Windows XP SP2（デンマーク語版）
・Windows XP SP2（オランダ語版）
・Windows XP SP2（フィンランド語版）
・Windows XP SP2（フランス語版）
・Windows XP SP2（ギリシャ語版）
・Windows XP SP2（ハンガリー語版）
・Windows XP SP2（ヘブライ語版）
・Windows XP SP2（イタリア語版）
・Windows XP SP2（ノルウェー語版）
・Windows XP SP2（ポーランド語版）
・Windows XP SP2（イタリア語版）
・Windows XP SP2（スペイン語版）
・Windows XP SP2（スウェーデン語版）