セキュリティ組織である米SANS Instituteや米CERT/CCは米国時間6月8日から10日にかけて,Windowsの古いセキュリティ・ホール「MS04-007」を突く攻撃やボット(ウイルス,悪質なプログラム)が出回っていることを警告した。パッチをきちんと適用しているシステムでは問題はないが,OSを再インストールしたシステムなどでは要注意である。
ターゲットにされているセキュリティ・ホールは,2004年2月に公開された「ASN .1 の脆弱性により,コードが実行される (828028) (MS04-007)」(関連記事)。ASN.1とは,多くのアプリケーションおよびデバイスで使用される,データの標準表記法のこと(詳細はマイクロソフトの情報などを参照のこと)。このASN.1のデータを処理するWindowsのライブラリ・プログラム「msasn1.dll」に見つかったバッファ・オーバーフローのセキュリティ・ホールが「MS04-007」のセキュリティ・ホールである。
1年以上前に公開された古いセキュリティ・ホールなので,きちんとパッチを適用しているシステムなら問題はない。しかし,一度は「MS04-007」のパッチを適用していても,その後OSを再インストールしたようなシステムでは注意が必要である。
今回狙われている「MS04-007」の特徴は,さまざまなソフトウエアが影響を受けることである。ASN .1のライブラリのセキュリティ・ホールであるため,複数のクライアントおよびサーバー・ソフトが影響を受ける。その中でも,今回の攻撃ではWebサーバー・ソフト「Internet Information Services(IIS)」が狙われているようだ。IISサーバーの管理者は注意したい。
「MS04-007」のもう一つの特徴は,パッチ適用以外の対策が存在しないこと。「特定のポートをふさぐ」といったことでは回避できない。例えば公開用IISサーバーのケースでは,アクセスを許可しているポートに対して,細工が施されたASN.1データを送信されると,そのサーバー上で任意のプログラム(例えばボット/ウイルス)を実行させられる恐れがある。
「MS04-007」を突くようなボット/ウイルスは,他のボット/ウイルス同様,ウイルス対策ソフトで検出できる場合もある。だが,新しく出現したボット/ウイルスについては検出できない場合もあるので過信は禁物(関連記事)。きちんとパッチを適用することで対処したい。パッチを適用できないシステムについては,不特定多数のユーザーがアクセスできるところには置かないようにする。
◎参考資料
◆Handler's Diary June 8th 2005 「ASN.1 vuln, Windows integrity checker」
◆Exploitation of ASN.1 Vulnerabilities
◆ASN .1 の脆弱性により、コードが実行される (828028) (MS04-007)
(勝村 幸博=IT Pro)
