Webサイトなどへのクラッキングに対して,日米のセキュリティ機関が相次いで警告した。米国時間3月8日,FBI(米連邦捜査局)のNIPC(National Infrastructure Protection Center,社会基盤防衛センター)は,Windowsサーバーのぜい弱性を改めて警告した *1。また3月9日には,日本でもコンピュータ緊急対応センター(JPCERT/CC)が,BINDのセキュリティ・ホールについて注意を呼びかけた *2。いずれも,既に警告されている内容ではあるが,対策をとらないサイトが多いために被害が後を絶たない。サイト管理者は,改めて確認する必要がある。
NIPCが警告しているのは,以下のぜい弱性である。(1)MDAC(Microsoft Data Access Componets)のRDS(Remote Data Service)機能のぜい弱性 *3,(2)Microsoft SQL Server 7.0とMSDE(Microsoft Data Engine)1.0のぜい弱性 *4,(3)Windows NT 4.0における,レジストリ値のアクセス権のぜい弱性 *5,(4)IIS 4.0/5.0のぜい弱性 *6---。いずれもWindowsプラットフォームが対象である。
加えて,クラッキングされた場合にサーバー・マシンに仕込まれる可能性がある,クラッキング・ツールのファイル名を記載している *7。これらのファイルがサーバーに存在する場合には,クラッキングを受けている可能性が高いので,管理者はチェックする必要があるとしている。
(1)から(3)については,2000年12月にNIPCが既に警告しているものの,被害が相次いでいるために,今回改めて再警告した。また,NIPCの警告を受けて,米Microsoftも,同様の警告文を同社サイトで公開した *8。
一方,国内のJPCERT/CCは,DNSサーバー・ソフト「BIND」について注意を呼びかけている *9。古いバージョンのBINDを使用している場合には,最新のBIND 8.2.3あるいは BIND 9.1.0 にバージョンアップするよう強く勧めている。
また,JPCERT/CCは2月23日には「Web ページ改ざんに関する注意喚起」を,2月27日には「DDoS の踏台およびBINDなどのセキュリティ上の弱点に関する注意喚起」を公開し警告している *10。日本サイトをターゲットとした攻撃は続いているようなので,サイト管理者は,今回の警告だけではなく過去の警告にも目を通すべきである。また,今後出される警告もチェックして警戒を続ける必要がある。
*1
「Update to NIPC Advisory 00-060 "E-Commerce Vulnerabilities"」(National Infrastructure Protection Center)
*2
「BIND のセキュリティ上の弱点に関する注意喚起(続報)」(コンピュータ緊急対応センター)
*3
「[IIS]Microsoft Security Bulletin MS99-025 の FAQ」(マイクロソフト)
関連記事 「IISの深刻なセキュリティ・ホール『RDS問題』」
*4
「SQL クエリー」のぜい弱性に対する対策(マイクロソフト)
*5
「レジストリ値のアクセス権」のぜい弱性に対する対策(マイクロソフト)
*6
「Web サーバーによるファイル要求の解析」のぜい弱性に対する対策」(マイクロソフト)
関連記事 「【解説】IISの日本語版対応パッチがようやく公開」
関連記事 「トラブル続きのIISに,管理者は要注意」
関連記事 「IIS 5.0に深刻なセキュリティ・ホールが再び発覚」
*7
NIPCがリストアップしているのは,以下のファイル名。ntalert.exe,sysloged.exe,tapi.exe,20.exe,21.exe,25.exe,80.exe ,139.exe ,1433.exe,1520.exe,26405.exe,i.exe,lomscan.exe,mslom.exe,lsaprivs.exe ,pwdump.exe ,serv.exe ,smmsniff.exe
*8
「Dont't be a Victim! Make Sure You're Protected Against Commonly-Exploited Vulnerabilities!」(米Microsoft)
*9
関連記事 「DNSサーバー・ソフト『BIND』の危険なセキュリティ・ホール」
関連記事 「『BIND』のセキュリティ・ホールに,Windows版DNSサーバーも要注意」
*10
「Web ページ改ざんに関する注意喚起」(コンピュータ緊急対応センター)
「DDoS の踏台およびBINDなどのセキュリティ上の弱点に関する注意喚起」(コンピュータ緊急対応センター)
