米国時間11月30日,インターネットのセキュリティ組織であるCERT Coordinate Center(CERT/CC)は,複数のオペレーティング・システム(OS)が影響を受けるセキュリティ・ホールについて警告した。ある特定のパケットを送られ続ける「サービス妨害(DoS:Denial of Sevice)」攻撃を受けると,OSがメモリーを過度に消費して,通常のサービス(動作)を続けられなくなる。

 セキュリティ・ホールは,OSのTCP/IPスタックに存在する。ある特定のTCPサービス(TCPポート)に,あるTCPパケットを複数送信されると,OSはメモリーを過度に消費してしまい,ネットワーク・サービスを続けられなくなる。また,OSがハングアップする恐れもある。

 攻撃に使用されるTCPポートやパケットの種類は,OSによって異なる。また,ひとつのOSに対しても,複数の攻撃手法が存在する場合がある。例えば,Windows NT 4.0 SP6aでは,ポート番号139と135が攻撃に使われるという。セキュリティ・ホールを発見した,米国のセキュリティ団体「BindView's RAZOR Security Team」は,今回のセキュリティ・ホールの総称として,「Naptha」と名付けている。

 DoS攻撃自体は以前から存在している。ターゲットとしたマシン(システム)に多量のパケットを送信したり,多数のコネクションを張れば,ネットワークの帯域を圧迫したり,相手のリソースを過度に消費させて,サービス不能の状態にできる。しかしながら,ターゲットのリソースを消費させるのとと同程度のリソースを,攻撃側も消費するため,“1対1”のDoS攻撃はあまり現実的ではなかった(そこで登場したのが,多数のマシンにエージェントを置いて,一斉に攻撃する「DDoS(Distributed DoS:分散サービス妨害)」である)。

 しかし,今回のNapthaセキュリティ・ホールを突くDoS攻撃は“非対称”であり,非常に危険であるという。攻撃者は比較的わずかなリソースを使うだけで,相手に多量のリソースを消費させることが可能である。すなわち,“1対1”のDoS攻撃が可能になってしまう。

 さらに,(1)ほかのセキュリティ・ホールと組み合わせることで,攻撃元を知られることなく攻撃できる,(2)現在問題になっているDDoS攻撃のツールに組み込むことができる,としている。

 一部のOSベンダーは,パッチや対策方法を公開している。例えば,米Microsoftは,Windows NT 4.0 SP6aのパッチを公開した(ただし英語版のみ)。Windows 9x/Meについては,攻撃されるポートを閉じる,すなわち,プリンタ/ファイル共有サービスを停止すれば攻撃を受けないとしている。ただし,LAN内ならば,通常ファイアウオールなどで,外部からは問題のポートにアクセスできないようにしているので,共有サービスを停止しなくても危険は少ないという。なお,Windows 2000は影響を受けない。

 BindView's RAZOR Security Teamは,対策として(1)マシン上で動作するサービスを制限して,不要なポートを閉じる,(2)ファイアウオールなどで,外部からアクセスできるTCPポートを制限する,(3)ファイアウオールやルーターなどを正しく設定する,などを挙げている。

 さらに,BindView's RAZOR Security Teamは,影響を受けるOSを実際に検証してリストにまとめて,公開している。それによれば,現段階では(1)Tru64 UNIX V4.0F,(2)FreeBSD 4.0-REL,(3)HP-UX 11.00,(4)Windows 95/98/98SE(Microsoftによれば,Windows Meも影響を受けるという),(5)Windows NT 4.0 SP6a,(6)Netware 5 SP1,(7)IRIX 6.5.7m,(8)Solaris 7および8。現在も検証中で,これら以外にもメジャーなOSに,同様のセキュリティ・ホールが見つかる可能性があるとしている。

 なお,CERT/CCが公開している情報によれば,このセキュリティ・ホールを突いた攻撃の報告は受けていないという。

(勝村 幸博=IT Pro編集)

CERT Coordination Center

 ■CERT Advisory(CA-2000-21):Denial-of-Service Vulnerabilities in TCP/IP Stacks

BindView's RAZOR Security Team

 ■The NAPTHA DoS vulnerabilities

 ■The NAPTHA DoS vulnerabilities "Tested Products"

米Microsoft

 ■Microsoft Security Bulletin(MS00-091):Patch Available for "Incomplete TCP/IP Packet" Vulnerability

 ■Microsoft Security Bulletin(MS00-091): Frequently Asked Questions