インターネットのセキュリティ組織である米CERT/CCは米国時間7月31日,Windowsに見つかった危険なセキュリティ・ホールを悪用するワーム(自動化された攻撃ツール)が出現していることを警告した。ワームはTCPポート135番経由で対象マシンに侵入して,バックドアを仕掛ける。バックドアを仕掛けられると,マシンを攻撃者に乗っ取られてしまう。さらに,マイクロソフトが公開したパッチを適用してもふさげないセキュリティ・ホールを悪用するコードについても警告している。

バックドアを仕掛ける

 7月17日に公開された“超特大”のセキュリティ・ホール「RPC インタフェースのバッファ オーバーランによりコードが実行される (823980) (MS03-026) 」を突くコード(Exploit)は,7月27日ごろからメーリング・リストやWebサイトなどで複数公開されている(関連記事)。現在ではそれらが“改良”され,自動的にセキュリティ・ホールを突いて回るツール――いわゆるワーム――も作成されているという。

 CERT/CCが確認しているワームは,TCPポート135番から攻撃対象マシンに侵入して,バックドアを仕掛けるという。バックドアとは,外部からそのマシンに侵入するために作られる「裏口」のこと。侵入したワームを削除しても,バックドアが残っている限り,何度でも不正アクセスを許すことになる。

 バックドアのいくつかの“バージョン”は,TCPポート4444番で外部(攻撃者)からの接続を待つ。バックドアへ接続すれば,そのマシンをLocal System権限(OSと同じ権限)と呼ばれる高い権限で自由に操作することが可能になる。攻撃者がポート番号を指定できるバージョンもある。

 加えてCERT/CCは,「RPC インタフェースのバッファ オーバーランによりコードが実行される (MS03-026) 」のパッチでは修正できない,RPC関連のセキュリティ・ホールについても警告している

 ただし,「MS03-026」は Windows 98/Me以外のWindowsすべてが対象であるのに対して,「MS03-026」のパッチで修正できないセキュリティ・ホールは,Windows 2000だけが対象である。また,このセキュリティ・ホールを悪用されても,DoS(サービス妨害)攻撃を受けるだけで,マシンを乗っ取られることはない。とはいえ,このセキュリティ・ホールを悪用可能なコードも公開されているので,油断はできない。

 対策としては,「MS03-026」についてはパッチを適用すること。「MS03-026」のパッチでは修正できないセキュリティ・ホールについては,ファイアウオールなどで不要なポートをふさいで,外部からの攻撃を防ぐ。

 いずれのセキュリティ・ホールについても,悪用する可能なコード(ワーム)はポート135番を狙うので,このポートをふさぐ必要がある。さらに,139番と445番を悪用される場合があるので,これらについてもふさぐようCERT/CCは勧めている。つまり,「TCP/UDP 135番」「TCP/UDP 139番」「TCP/UDP 445番」――をふさぐことを勧めている(関連記事)。

◎参考文献
◆CERT Advisory CA-2003-19「Exploitation of Vulnerabilities in Microsoft RPC Interface」
◆Vulnerability Note VU#326746「Microsoft Windows RPC service vulnerable to denial of service」

(勝村 幸博=IT Pro)