4月14日,マイクロソフトはスケジュール通りに,4月分のセキュリティ情報を公開した(写真)。
公開されたセキュリティ情報は「MS04-011」「MS04-012」「MS04-013」「MS04-014」の4件だったが,公開されたセキュリティ・ホールの総数は20個にのぼった。セキュリティ・ホールの中には,ネットワークに接続するだけで攻撃を受けるもの,SSL(Secure Sockets Layer)を使用しているサーバーが攻撃対象となるもの,パッチを適用する以外に回避方法が存在しないもの――などが含まれ,攻撃プログラムやウイルス(ワーム)の出現が当初から懸念されていた。その不安は現実のものとなり,数々の攻撃プログラムや,ネットワークに接続するだけで感染を広げる「Sasser」ワームとその変種が出現している。
IT Proでは,4月に公開されたセキュリティ・ホールに関する記事をいくつか公開している。そこで本稿では,それらの記事をまとめた。まだ対策していないユーザーは,各記事を参考にして,早急に対策を施していただきたい。
“超特大”を含むセキュリティ・ホールが20個
セキュリティ・ホールが公開された4月14日,IT Proでは第一報として,4件のセキュリティ情報を2本の記事にまとめて公開した。
◆Windowsに複数の危険なセキュリティ・ホール,“超特大”も含まれる
◆Outlook Expressに「緊急」のセキュリティ・ホール,すぐにパッチの適用を
IT Proでは「特別なソフトウエアや機能を組み込んでいなくても,ほとんどすべてのWindowsが影響を受ける」かつ「セキュリティ・ホールを悪用するのに,攻撃対象マシンのユーザーのアクションを必要としない(ユーザーがWebページやHTMLメールなどを閲覧せず,インターネットに接続するだけでも被害に遭う)」ようなセキュリティ・ホールを“超特大”と形容して,強く注意を呼びかけている。4月に公開されたセキュリティ情報には,その“超特大”セキュリティ・ホールが複数含まれている。
ちなみに,2003年8月に出現して大きな被害をもたらした「Blaster」ワームは,2003年に公開された“超特大”のセキュリティ・ホール「MS03-026」を突いて感染を広げる。“超特大”のセキュリティ・ホールが公開されるたびに,Blaster級のワームが出現する可能性があるのだ。実際,「MS04-011」に含まれる“超特大”セキュリティ・ホール「LSASS の脆弱性」を突くワーム「Sasser」が出現した。
攻撃プログラムが次々公開
ただ,「MS04-011」には「LSASSの脆弱性」以外にも,複数の危険なセキュリティ・ホールが含まれている。セキュリティ組織やベンダーがまず警告したのは,同じく「MS04-011」に含まれる「PCT の脆弱性」である。このセキュリティ・ホールは,SSLを有効にしているWebサーバーなどが影響を受ける。一般ユーザーが攻撃対象になる可能性は少ないものの,SSLを使っているサーバーでは重要な情報がやり取りされている可能性が高い。このため,もし攻撃を受けると深刻な被害が発生する恐れがある。
◆「WindowsのSSLサーバーが狙われる,管理者はすぐに対策を」――英Netcraft
セキュリティ組織である米SANS Instituteは米国時間4月17日,別のセキュリティ・ホール「SSL の脆弱性」(これも「MS04-011」に含まれる)を突く攻撃プログラムを警告している。
◆「Windowsのセキュリティ・ホールを突くプログラムが既に出現」――セキュリティ組織が警告
この攻撃プログラムはDoS(サービス妨害)攻撃を仕掛けるだけで,マシンを乗っ取る“機能”はない。しかしSANS Instituteでは,「DoS攻撃を仕掛けるだけではなく,リモートから任意のプログラムを実行させるようなコードが出現する可能性が高い」と警告した。
実際,4月23日には,マイクロソフト自身が,「PCT の脆弱性」を突く攻撃プログラムが実際に出回っているとして警告した。
◆「WindowsのSSLサーバーを乗っ取るコードが出現」――マイクロソフトが警告
Outlook Expressのセキュリティ・ホール「MS04-013」を突くWebページやHTMLメールも出回っている。4月19日には,このセキュリティ・ホールを使った“フィッシング・メール”が確認されている。
◆セキュリティ・ホールを突くフィッシングが出現,キー・ロガーを仕掛ける
通常,攻撃プログラムが公開されると,それを利用したワーム(ウイルス)が出現する。今回もそうだった。IT Proでは報じなかったものの,「PCT の脆弱性」や「SSL の脆弱性」だけではなく,「LSASS の脆弱性」を突く攻撃プログラムもインターネット上で公開されていた。それを基にしたと思われるワーム「Sasser」がついに出現した。
◆Windowsのセキュリティ・ホールを突くワームが流行中,連休明けは要注意
◆「社内ネットワークが麻痺する恐れあり,ワームを持ち込ませるな」――経産省
変種が次々と作られ,現時点(5月5日)で「Sasser.D」まで出現している。十分注意してほしい。
対策が急務,ただしWindows Updateの実施には要注意
セキュリティ・ホールを突かれないためには,パッチを適用することが第一。しかし,4月に公開されたセキュリティ・ホールの数が多く,情報が二転三転する場合もあり,ユーザーや管理者の混乱を招いた。
◆「危険なセキュリティ・ホールが複数,深刻度が『なし』から『緊急』に」――4月のセキュリティ情報を解説する
また,セキュリティ情報が公開された当初は,Windows Updateに接続できず,なかなかパッチを適用できなかったユーザーは少ないだろう。「Windows Updateを実施したのでパッチを適用した気になっているが,実は適用できていなかった」というユーザーもいるだろう。改めて確認したい。
さらに,パッチの適用で問題が発生する場合があることが報告されている。このために,パッチ適用を控えているユーザー/管理者もいるだろう。
◆MSのパッチに不具合,適用するとWindows 2000 マシンが反応しなくなる場合あり
◆「Windowsのパッチ適用で発生する問題は3種類」――マイクロソフト
可能な限りパッチを適用すべきだが,どうしても適用できない環境,適用することが不安な環境では,最低限,回避策を実施しよう。
◆マイクロソフト,「Sasser」ワームが突くセキュリティ・ホールの回避策を更新
なお,現在パッチを適用しておらず,これからパッチを適用しようとしているユーザーは要注意である。インターネット上にはSasserが飛び交っている。Windows Updateを実施しようと思ってインターネットに接続すると,パッチを適用する前にSasserに感染する可能性がある。「回避策(例えば「パーソナル・ファイアウオール(機能)を使用する」)を実施した上でインターネットに接続する」,「既にセキュリティ・ホールをふさいでいる別のマシンでパッチをダウンロードする」――といった注意が必要である。
◆“無防備”なマシンでWindows Updateは禁物,ネット接続前に“守り”を固めろ
(勝村 幸博=IT Pro)
