セキュリティ・ベンダーであるラックは8月6日,7月14日公開されたWindowsの危険なセキュリティ・ホールを悪用する攻撃を検知したことを明らかにした。同社が運用する監視センター「JSOC(Japan Security Operation Center)」において,同社の顧客に対して行われた攻撃を検知したという。管理者だけではなく,Windowsのユーザーすべてが,きちんと対策が施されていること改めて確認したい。
7月14日に公開された「RPC インタフェースのバッファ オーバーランによりコードが実行される (823980) (MS03-026) 」は,“超特大”のセキュリティ・ホールとしてIT Proでも何度か警告している(関連記事)。国内の組織やベンダーも警告している(記事末を参照)。セキュリティ・ホールが公開された時点で予想されていたように,これを悪用する攻撃が現実のものとなっている。
ラックが検知した攻撃は,インターネットからTCP 135番ポート経由でセキュリティ・ホールがあるマシンに侵入して,バックドアを仕掛けるというものだった。攻撃を受けた組織では,ファイアウオールでTCP 135 番ポートをふさいでいなかったために侵入を許した。
バックドアはTCP 444番ポートで攻撃者からの接続を待つ。さらに,攻撃者のマシンから複数のプログラムをダウンロードし,その一部を使って別のバックドアを仕掛ける。このバックドアはTCP 4899番で接続を待つ。攻撃者は,TCP 4899番で稼働するバックドアに接続して再び侵入を試みたという。しかしながら,現時点ではそれ以降の詳細は明らかになっていない。
ラックでは,今回の攻撃を踏まえ,このセキュリティ・ホールに関する対策の必要性を改めて呼びかけている。まず,すべてのWindowsマシンにパッチを適用する必要がある。ただし,パッチを適用するために,未対策のマシンをインターネットに接続すると,適用する間に攻撃を受ける恐れがある。このため,適用済みのマシンでダウンロードしたパッチを適用するなどの対応が必要である。
ファイアウオールなどで,攻撃に悪用されるポート(TCP 135/4444/4899 番ポート)をきちんとふさぐことも不可欠である。バックドアが使用するポート(TCP 4444/4899 番ポート)は変更される可能性があるので,これらに限らず,不要なポートはすべてふさいでおく。また,ファイアウオールを適切に設定していても,ダイヤルアップなどを許しているマシンは直接攻撃される可能性があるので注意が必要である。
個人ユーザーの場合には,知らないうちにTCP 135/4444/4899 番ポートが空いている可能性がある。パッチを適用していれば攻撃を防げるものの,ブロードバンド・ルーターやパーソナル・ファイアウオール,Windows XP および Windows Server 2003が備える「インターネット接続ファイアウォール」などで,不要なポートをふさいでおきたい。
国内の組織やベンダーは,今回のセキュリティ・ホールに関する警告や対策方法に関する情報を公開している。「既に対策済み」「自分の会社は大丈夫」という管理者およびユーザーも,改めて確認しておきたい。
◎国内組織およびベンダーが公開している情報
◆「Windows RPC インタフェースの脆弱性に関する情報」(情報処理振興事業協会,2003年7月17日,8月5日に再度警告)
◆「Microsoft Windows RPC の脆弱性を対象とする侵害活動」(JPCERT/CC Vendor Status Notes,2003年8月2日)
◆「Windows RPCインタフェースの脆弱性への注意喚起」(経済産業省,2003年8月5日)
◆「TCP135番ポートに対するアクセスの急増について」(警察庁,2003年8月5日)
◆「緊急レベルのセキュリティ修正プログラムについて」(マイクロソフト,2003年7月25日)
◆「注意:7/23更新『Microsoft Windows での RPC 実装の不具合』に対する攻撃コード」(インターネット セキュリティ システムズ,2003年7月28日)
◆「JSOC 緊急レポート(MS-RPC)[速報]」(ラック,2003年8月6日)
(勝村 幸博=IT Pro)
