セキュリティ関連のメーリング・リストに米国時間3月5日,Windows XPやServer 2003には,細工が施されたパケットを送信されると一時的に反応しなくなる脆弱性があることが投稿された。XPについては,米SANS Instituteでも確認しているという。Windows Firewallを無効にしている場合には,Windows XP SP2も影響を受ける。対策は,Windows Firewallなどを利用すること。
【3月8日追記】SANS Insituteが米国時間3月7日に公開した情報によると,Windows XPについては,SP2をインストールしている場合のみ影響を受けるという。また,Windows Server 2003が影響を受けることも確認したという。【以上,3月8日追記】
今回の脆弱性は,「LAND攻撃」と呼ばれる攻撃を許してしまうというもの。LAND攻撃とは,発信元と送信先のIPアドレス/ポート番号を同じにしたSYNパケットを送り付けるという攻撃。未対策のマシン(OS)がそのパケットを受信すると“混乱”して,サービス(動作)を停止してしまう。古典的なDoS(サービス妨害)攻撃の一種である。
LAND攻撃は数年前に話題になり,各OSベンダーは対応に追われた。Windowsについては,Windows 95用修正プログラムが公開された。また,Windows NTも影響を受けることが明らかになり,Windows NT 4.0のサービスパック(SP)4以降で対応した。
以後,LAND攻撃が話題になることは少なかったが,今回,Windows XPとWindows Server 2003もLAND攻撃の影響を受けることが明らかにされた。今回の脆弱性を報告したDejan Levaja氏の投稿によると,LAND攻撃のパケットを送信されると,15~30秒マシンが反応しなくなる(DoS状態になる)という。なお,Windows Firewallを無効にしている場合には,Windows XP SP2も影響を受ける。
Windows XPについては,SANS Instituteでも検証している。それによると, Windows XP Professionalについては同様の現象を確認したという。ただし,Windows XP Home Editionでは再現されなかったとする。
米Microsoftからは,今回の件に関する情報やパッチは公開されていない。Dejan Levaja氏によると,7日前に同社に報告したものの,何の返事もなかったので公表したという。
対策は(パーソナル)ファイアウオールを使うことなど。例えば,Windows Firewallを有効にしていれば影響を受けない。それ以外の製品でも,LAND攻撃に対応している製品は多い。
また,ISPがIngressあるいはEgressフィルタ(パケットの送信元の詐称を防止するためのフィルタリング)を実施している場合には,LAND攻撃のパケットは事前にはじいてもらえる。同様の機能を持つネットワーク(セキュリティ)製品もある。
◎参考資料
◆Windows Server 2003 and XP SP2 LAND attack vulnerability
◆New LAND Attack on Windows XP and 2003 Server; Instant Messenger Malware
◆W95:TCP/IP ドライバのアップデート
◆[NT]"Land Attack" により、Windows NT の速度が遅くなる
◆NT 4.0 と TSE の SP4 で修正されたバグ一覧 (Part 1)
(勝村 幸博=IT Pro)
