警察庁は5月10日,「sadmind/IIS」ワームによるとみられるWebページの改ざんを警告した。5月10日午前10時現在,国内で15件の改ざん被害を確認しているという。ただしこれらは氷山の一角で,実際の被害件数はもっと多いと考えられる。情報処理振興事業協会(IPA)セキュリティセンターも5月9日に,同様の注意を呼びかけている。同ワームについては米CERT/CCが米国時間5月8日に警告していた([関連記事])。
ワームは,インターネットに接続しているSolaris(SunOS)マシンをターゲットにし,「sadmind」プログラムのセキュリティ・ホールを突いて侵入する。sadmindはデフォルトでインストールされているので,管理者が意識していなくても動作している可能性が高い。Solarisマシンの管理者は早急に確認し,sadmindを停止するかパッチを適用して対策をとる必要がある。
既に侵入を許している場合には,「/dev/cub」と「/dev/cuc」のディレクトリが作られ,内部には改ざんや侵入のためのプログラム(スクリプト)などが置かれている。これらを発見した場合には,速やかにマシンをネットワークから切り離すなどして,さらなる被害の拡大を食い止める必要がある。
このワームが深刻な点は,“被害者”が“加害者”になってしまうことだ。ワームは侵入するとまず,別のSolarisマシンに感染を広げる。そしてそれとは別に,Windowsプラットフォームで動作している他のマシンを攻撃し,IIS(Microsoft Internet Information Server/Services)サーバーのWebページを次々に改ざんしていくのである。被害が自サイトのみにとどまらないうえ,異なるプラットフォームにまで広がることを十分に認識しなくてはならない。
このように,Windows マシンでIISサーバーを運用している場合にも,Webページを改ざんされる危険性があるため,パッチを適用してIISのセキュリティ・ホールをふさいでおく必要がある。
[ホームページ書き換え事案に関する対策について](警察庁)
[Web 改ざん多発、Webサーバソフトウェアにセキュリティパッチを](IPAセキュリティセンター]
[CERT Advisory CA-2001-11 sadmind/IIS Worm](米CERT/CC)
[Sun Microsystems Security Bulletin #00191](米Sun Microsystems)
◎関連記事
■Solarisマシンに感染してIISのページを改ざんするワームを米CERT/CCが警告
■IIS 5.0の深刻なセキュリティ・ホールを解説する
■「日本サイトへの集中的なアタック」に,マイクロソフトも対応へ
■【解説】IISの日本語版対応パッチがようやく公開
