マイクロソフトは8月8日,現在猛威を振るっている「Code Red」ワームに関するサポート電話窓口を開設した。ワームの感染を防ぐ修正プログラム(パッチ) に関する質問を無償で受け付ける。併せて,同社はWebサイトで公開している Code Red の情報を更新し,新種「Code Red II」ワームの情報を追加した。
サポート窓口の名称は「マイクロソフトIISセキュリティ情報センター」で,対象はIIS(Internet Information Server/Services)ユーザー。電話番号は「0120-69-0196」で,24時間受け付ける。ただし,マイクロソフトの広報によると,たとえ Code Red に関する質問であっても,パッチに関する質問以外については,同窓口では対応できない場合があるという。
なお,今回の窓口開設については,報道関係者やパートナー企業向けのメーリング・リストでは告知したものの,ユーザー向けのメーリング・リストやWebサイトには,現在のところ告知していない。
併せて,Webで公開している Code Red の情報を更新した。現在はオリジナルのCode Red よりも,Code Red II のほうが猛威を振るっているようだ。例えば,コンピュータ緊急対応センター(JPCERT/CC)が8月8日に公開した「JPCERT/CC REPORT」によると,8月5日に同センターのドメイン(www.jpcert.or.jp)への Code Red によるアクセス(感染の試み)が9件だったのに対して,Code Red II のアクセスは100件だった。
このような状況を受けて,今まで Code Red の情報のみを公開していたページに,Code Red II の情報を追加した。Code Red II の特徴を簡単に説明するとともに,同ワームが仕掛けるトロイの木馬の削除方法やレジストリの修復方法などを詳述している。
このように,Code Red 対策に“本格的に”乗り出したマイクロソフトではあるが,同社の対応が後手に回っている感は否めない。ワームの活動再開や新種の出現は十分予想された事態なので,パッチ適用の周知は7月中に徹底しておくべきだった。また,今回の窓口設置に関しては,報道関係やパートナーへの告知にとどまっている。なぜ,ユーザー向けに告知しないのだろうか。Webなどで広く告知することが,不可欠ではないだろうか。
Code Red の情報ページでは,トロイの木馬(explorer.exe,root.exe)の削除方法やレジストリの修復方法を説明しているが,侵入された場合の対処はそれで十分なのか不安が残る。JPCERT/CCでは,必要なファイルのバックアップを取った上で,ハード・ディスクをフォーマットし,OS を再インストールすることを勧めている。可能ならば,ディスクをフォーマットして,万全を期したほうがよいと思われる。
さらに,トロイの木馬の危険性について記述していない点も,情報としては不十分ではないだろうか。たとえワームを消去したとしても,これらを残したままでは,リモートから任意のコマンドを実行される恐れがある。HTTP を使用するのでファイアウオールなどでは防げない上に,攻撃は非常に容易である。その危険性を十分強調すべきであろう。
◎参考資料
◆緊急報告 - Microsoft IIS の脆弱性を使って伝播するワーム "Code Red II"(JPCERT/CC)
◆JPCERT/CC REPORT 2001-08-08(JPCERT/CC)
◆"Code Red II:" Another Worm Exploiting Buffer Overflow In IIS Indexing Service DLL(米CERT/CC)
◆Code Red II Worm(PDF形式,米SecurityFocus)
◆CodeRed.v3(シマンテック)
◆CODERED.C(トレンドマイクロ)
