7月13日以降,セキュリティ・ホールを突いて IIS(Internet Information Server 4.0/Services 5.0)サーバーに侵入し,Webページを改ざんする新種のワーム「Code Red」が報告されている。このワームが悪用するのは,6月18日に明らかになったセキュリティ・ホール。インデックス・サーバーのコンポーネントのひとつであるISAPIエクステンション「idq.dll」の弱点をつく([関連記事])。ワームは,このセキュリティ・ホールを放置しているIISサーバーに侵入し,Webページを改ざんするとともに,さらに別のサーバーへの侵入を試みる。対策は既に公開されているパッチを適用すること。
まず,ワームは「idq.dll」のバッファ・オーバーフローを悪用して,セキュリティ・ホールがあるIISサーバーに侵入する。侵入後,ランダムに選択したIPアドレスのマシンをスキャンし,セキュリティ・ホールがあるIISが稼働していないかどうかを調べ,見つけると感染を広げる。
そして,次のような文字列を表示するように,Webページを改ざんする。
Welcome to http://www.worm.com !
Hacked By Chinese!
「idq.dll」のセキュリティ・ホールを発見したセキュリティ・ベンダーの米eEye Digital Securityによると,3日間で5000を超えるIPアドレスからこのワームによるスキャンを受けたと,何人かのネットワーク管理者から報告があったという。ワームの詳細についても,同社はWebサイトで公開している。ただし,現在は解析中の段階で,近日中にさらに詳細な情報を公開する予定である。
「idq.dll」のセキュリティ・ホールが公開された直後から,アタックの有効性を検証するコード(いわゆるExploitコード)が公開され,今回のようなワームの出現は予想されていた([関連記事])。リモートから任意のコードを実行できるような深刻なセキュリティ・ホールが見つかると,必ず今回のようなワームやツールが出現する。ワームの場合には,被害は自サイトにとどまらない。今回に限ったことではないが,深刻なセキュリティ・ホールが公表されたら,できるだけ早急にパッチを適用しなければならない。今回の場合は,新しいセキュリティ・ホールをつくワームが1カ月かからずに出現したのである。
◎参考資料
■.ida "Code Red" Worm(米eEye Digital Security)
■Index Server ISAPI エクステンションの未チェックのバッファにより Web サーバーが攻撃される(マイクロソフト)
■Unchecked Buffer in Index Server ISAPI Extension Could Enable Web Server Compromise(米Microsoft)
