8月1日以降,インターネットの一部は機能停止に陥る可能性がある---。既に大きな被害をもたらしている「Code Red」ワームが,8月1日から活動を再開する恐れがあるからだ([関連記事])。既に公開されているパッチさえ適用すれば,感染被害はまぬがれる。IIS(Internet Information Server/Services)サーバーの管理者は必ずパッチを適用し,なおかつパッチが確実に適用されていることを確認した上で,1日以降に備えよう。

 セキュリティ組織である米CERT/CCは,7月19日に引き続き,7月26日にも警告を発している。このようなことはあまり例がない。7月26日に出されたアドバイザリでは,28万台を超えるサーバーが感染したという。これはあくまでも同組織が把握している数字なので,実数はもっと多いと予想される。最初に同ワームが確認されたのが7月13日ころと言われているので,わずか2週間でこれだけ感染を広げたのである。

 このように,感染力の強い「Code Red」ワームが再び活動を開始する恐れがある。何度も報じられているように,通常のHTTPを使って感染を広げるため,ファイアウオールでは防ぎ切れない。そして,感染したマシンの日付によって動作を変える。

・毎月1日~19日:他のマシンへ侵入を試みる

・毎月20日~27日:特定の IP アドレス(198.137.240.91)へ DoS 攻撃を行う

・毎月28日~月末:活動を休止する

 現在は,メモリーに常駐しているだけで活動していないワームが,8月1日以降,再び感染活動を行う可能性がある。IISサーバーへの侵入に成功したCode Redは,IISのdefault languageが英語だった場合,Webページを「HELLO! Welcome to http://www.worm.com! Hacked By Chinese!」という内容に改ざんする。8月1日になる前に,管理者はパッチを適用するとともに,パッチが適用されていることを再確認してほしい。

必ずパッチの適用を

 繰り返し報じられているように,対策はマイクロソフトが公開しているパッチを適用することである。「Code Red」ワームはメモリーにのみ常駐すると考えられるので,パッチを適用してリブートさえすれば,たとえ現在感染しているとしても,これ以上の感染を食い止められるのである。

 今回のワームは今まで以上の感染力を持っているようである。セキュリティ・ベンダーである米eEye Digital Securityのレポートによれば,1日に50万台のマシン(IPアドレス)に対して,侵入を試みるという。このことからも,その感染力の強さが推測できる。管理者は事の重大さを認識し,必ず対策をとってほしい。

 なお,パッチ適用後には,レジストリキーを参照して,きちんとインストールされたことを確認する必要がある。マイクロソフトのレポートにも記載されているが,Windows NT 4.0の場合には「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\Q300972」が,Windows 2000では,「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP3\Q300972」が作成されたことを確認する。

 「.ida」および「.idq」ファイルをスクリプト・マッピングから削除することでも,影響を回避できる。しかし,システム構成などを変更した場合,マッピングが元の状態に戻る可能性がある。そのため,スクリプト・マッピングから削除していても,パッチを適用することをマイクロソフトは勧めている。

 もちろん,「.ida」や「.idq」に限らず,使用しないサービスについては,スクリプト・マッピングから削除することがセキュリティ上の“セオリー”である。

シスコのルーターなどにも影響あり

 ワームの影響を受けるのはIISサーバーだけではない。IISサーバーを内部的に使用しているネットワーク機器も影響を受ける。例えば,米Cisocoの「CallManager」,「Unity Server」,「uOne」,「ICS7750」,「Building Broadband Service Manager」が影響を受けるとされている。これらについても,パッチを適用するなどして対策をとる必要がある。

 IISを使用していなくても,影響を受ける製品がある。現在公表されているのは,「Cisco 600シリーズ DSLルータ」である。ワームが侵入を試みる際に送られるリクエストにより,パケットのフォワードが停止してしまう。既にこの問題は同社により公開されており,パッチを適用すれば回避できる。

 米CERT/CCなどは公表していないものの,セキュリティ関連のメーリング・リストなどでは,上記以外にも影響を受けるネットワーク製品があるという。いつもとは異なる動作をする場合には,ベンダーなどに問い合わせて確認すべきである。

◇     ◇     ◇     ◇     ◇     ◇

 「Code Red」ワームの変種も,既に複数発見されている。現在発見されている変種は,“オリジナル”とそれほど動作が変わらない。しかし,より悪質な変種が登場する可能性は十分にある。感染対象になれば,ほかのマシンへの“踏み台”となるばかりではなく,トラフィックにも大きな影響を与える。被害は自サイトだけでは済まない。

 今回のワームの感染力は強力だ。「パッチを適用できないIISサーバーは,インターネットから切り離す」---。このくらいの気持ちで,8月1日以降に備えてもらいたい。

【7月30日追記】米CERT/CC ならびに コンピュータ緊急対応センター(JPCERT/CC)から,「Code Red」ワームについての警告が改めて発せられた。それぞれ,「Public Alert about the Code Red worm」および「Continued Threat of the "Code Red" Worm」というタイトルで,メーリング・リストの登録者に対して警告文書が送信された(CERT/CC の警告は,現時点では Webサイトには掲載されていない)。いずれも,8月1日(日本時間では8月1日午前9時)からの活動再開を警告している。CERT/CC の警告文書では「A Very Real and Present Threat to the Internet」とし,対処できる期限(Deadline for Action)は「7月31日」としている。

【7月30日追記2】米Microsoftも米CERT/CCと同じ警告文を公開している。CERT/CC と Microsoft だけではなく,NIPC(The National Infrastructure Protection Center),FedCIRC(Federal Computer Incident Response Center),ITAA(Information Technology Association of America),SANS Institute,米ISS(Internet Security Systems),Internet Security Alliance もこの警告文の作成に加わっている。このことからも,米国では「Code Red」の活動再開に対して,いかに警戒しているのかがよく分かる。

◎参考資料
■(MS01-033)「Index Server ISAPI エクステンションの未チェックのバッファによりWeb サーバーが攻撃される」(マイクロソフト)
「"Code Red" IIS ワームに関する情報」(マイクロソフト)
「緊急報告 - Microsoft IIS の脆弱性を使って伝播するワーム」(JPCERT/CC)
「CERT Advisory CA-2001-23 Continued Threat of the "Code Red" Worm」(米CERT/CC)
「CERT Advisory CA-2001-19 "Code Red" Worm Exploiting Buffer Overflow In IIS Indexing Service DLL」(米CERT/CC)
「CERT Advisory(邦訳版)」(ラック)
「.ida "Code Red" Worm」(米eEye Digital Security)
「"Code Red" Worm Customer Impact」(米Cisco Systems)

(勝村 幸博=IT Pro編集)