セキュリティフライデーの関英信氏は2004年1月30日,米国シアトルで開催されたセキュリティ技術カンファレンス「Black Hat Windows Security 2004 Briefings」において,セキュリティ上の脅威となるWindowsの仕様を報告した。
この脅威とは,動的に割り当てられる1025番以降のリスンポートのこと。ここに匿名で接続し,Windowsネットワークのサーバー情報やユーザー情報などを取得できるという。匿名でユーザー名やサーバー情報が取得できるということは,侵入者が簡単にサーバー攻略のための情報を取得できること意味する。従来から,SMB(139,445ポート)経由で同様の情報が取得できることは知られていた。しかし,その他のポートでこれらの情報が取得できる仕様の報告は初めて。しかも,パスワードを推測し,匿名ではなく,正規ユーザーを装って接続することができれば,任意のコマンドを実行することも可能だという。
セキュリティフライデーは2002年7月にDCOMを使って任意のプログラムを起動できる危険性を指摘している。「今回発見した脅威もDCOMと同様に危険。2003年夏のBlasterのがDCOMを狙ったように,別のウイルスがこのポートを狙ってくる可能性もある」(セキュリティフライデーの佐内大司社長)と指摘する。
対策は「1025番以降のWindowsが動的に利用するポートへのアクセスをフィルタリングするとともに,推測不可能なパスワードにすること」(佐内氏)としている。なお,この発表の詳細はBlack HatのWebページで公開される予定だという。
(中道 理=日経バイト)
