2001年2月16日ごろから,特定のグループによるものと考えられる,日本のWebサイトへの集中的なアタックが発生している。その結果,多数のサイトが実際にクラッキングの被害に遭っている。そのグループが出した声明文では,2月23日までの1週間を“攻撃期間”と予告していたという。しかし,実際には引き続きアタックを行っているとの情報もあり,警戒が必要だ。そこで今回は,Windowsプラットフォームでのクラッキング対策をまとめた。ぜひ参考にして,アタックに備えてほしい。

過去のコラムをチェックして,アタックに備える

 警察庁が公開しているWebページで,「2月23日午前0時現在で,全国で70件の書き換えを把握している」と記載されているように,過去に例を見ない,日本のみをターゲットとした大規模なアタックが発生している。

 そのページでは,(1)今回クラッキングされたWebサイトは,IIS(Internet Information Server)が圧倒的に多かったものの,IISだけには限らないこと,(2)様々なプラットフォームの,既知のセキュリティ・ホールが突かれていること,(3)DDoS攻撃ツールが仕掛けられること,などについて警告している。

 Windowsプラットフォームでのクラッキング対策については,このコラムで何回もお知らせしてきた。その中でも,今月話題になった3種類のセキュリティ・ホールについては,以下のコラムで詳細に解説している。改めてチェックして,十分注意してほしい。

●第20回 「BIND」のセキュリティ・ホールに,Windows版DNSサーバーも要注意
 【回避方法】ISC BIND 8.2.3以降,もしくはそれ相当のソフトへの切替え

●第19回 狙われるIIS,相次ぐjpドメインへのアタック
 【回避方法】「『Web サーバーによるファイル要求の解析』のぜい弱性に対する対策」のセキュリティ・パッチ適用に加え,「MDACのぜい弱性」対策の実施

●第18回 「HTR」に起因する,IISのセキュリティ・ホールが再び発覚
 【回避方法】HTR 機能に代表される,必要ないスクリプトの無効化

 これらに加えて,今回のアタックでは,Windows固有のネットワーク機能を悪用された事例も報告されている。Windowsのネットワーク機能が,外部と通信可能になっていないかどうかを,改めて確認する必要がある。万が一,通信可能になっているなら,一刻も早く遮断しなくてはならない。

悪用される,Windowsのネットワーク機能

 「ファイル共有」などの,Windowsに固有なネットワーク機能は,便利で不可欠な機能だが,悪用される可能性があるので,十分注意する必要がある。例えば,ネットワーク経由でコンピュータ資源をコントロールする「NET」コマンドを使ったアタックが挙げられる。

 NETコマンドは,例えば,以下のように使用する。

  NET USE 「仮想ドライブ名」: \\「コンピュータ名」\「共有名」 /USER:「ユーザー名」

 これだけ見ると,「コンピュータ名」をはじめする,様々な情報を知っていなければアタックは不可能のようだ。しかしながら,実際はそれほど困難ではない。

 まず,NT4.0からは,「コンピュータ名」の代りに,「IPアドレス」を使えるようになった。攻撃者からすれば,「コンピュータ名」よりも,「IPアドレス」のほうが推測しやすいだろう。便利になった半面,攻撃されやすくなってしまったのである。

 また,レジストリを変更しない限り,「共有名」には,管理共有である「C$」や 「Admin$」が存在する。さらに,ユーザー名も「administrator」を始め,推測可能なものは多い。結局,接続後に要求される「パスワード」さえ,推測あるいは総当たりで破れば,ターゲットのコンピュータ資源にアクセスできてしまう。

 例えば,

  NET USE Z: \\「ターゲットのIPアドレス」\C$ /USER:administrator

と入力し,パスワードが要求されたら,適当なパスワードを試行すればいいのである。上記が成功すれば,ターゲットとするサーバーのハード・ディスクを共有して,Webページを書き換えることなどが可能になる。

 以上のようなアタックを防ぐには,Windowsのネットワーク機能を外部から使用できないようにすればよい。具体的には,Windowsのネットワーク機能が使用しているポートを,ルーターに標準搭載されているパケット・フィルタリング機能などで遮断する。

 Windows固有の,NetBIOS名の名前解決や,NETコマンドなどには,「137/UDP」,「138/UDP」,「139/TCP」のポートが使用されている。また,Windows 2000同士の通信には,ポート番号445が使われる。アタックを未然に防ぐには,これらのポートを遮断する。念のため,該当するポート番号のTCPおよびUDP両方のポートを遮断したほうがよいだろう。

 また,過去のアタックでは,RPC(リモート・プロシージャー・コール)が使用している「ロケーション・サービス(TCPとUDPのポート番号135)」を狙ったものが発生している。Telnetが使用するポート(ポート番号23)も,Windowsにとっては,「百害あって一利なし」である。これらのポートもふさぐべきだ。

 以上をまとめると,Windowsにおいては,以下のポートを最低限遮断しなくてはいけない。外部ネットワークとの接続に使用しているルーターなどで,パケット・フィルタリングを実施し,確実にこれらのポートを遮断していただきたい。

●Windowsで遮断が必要なポート一覧
 「TCPおよびUDPのポート番号 23」 …… Telnet
 「TCPおよびUDPのポート番号 135」 …… Location Service
 「TCPおよびUDPのポート番号 137」 …… NetBIOS Name Service
 「TCPおよびUDPのポート番号 138」 …… NetBIOS Datagram Service
 「TCPおよびUDPのポート番号 139」 …… NetBIOS Session Service
 「TCPおよびUDPのポート番号 445」 …… Direct Hosted SMB Service(Windows 2000同士の場合)

新規のセキュリティ・ホール情報は2件

 次に,Windows関連のセキュリティ・トピックス(2001年2月23日時点分)を整理する。「マイクロソフト セキュリティ情報」では,新規のセキュリティ・ホール情報が2件公開された。

 まず,Outlook 97/2000,Outlook Express 5.01/5.5が影響を受ける (1)「Outlook と Outlook Express のVCardハンドラが問題のあるバッファを含む」が公開された。攻撃者から受信した,ある特別なデータを含む「vCard」 を開くと,メール・クライアント(Outlook/Outlook Express)が異常終了したり,攻撃者が選択したコードを,受信者のパソコン上で実行されてしまう可能性がある。

 vCardとは,電子メールに添付して送付可能な“バーチャル名刺”の一種である。今回のセキュリティ・ホールは,vCardを処理するOutlook Expressのコンポーネントが,問題のあるバッファを含んでいることに起因している。Outlook も,そのコンポーネントを使用するので,同様に影響を受ける。

 英語版パッチは公開されたが,残念ながら,日本語版パッチは公開されていない。ただし,vCardは自動的には開かない。そのため,メールに添付されたvCard を受信者が開かなければ回避可能である。知らない相手からのvCardや,不審なvCardは,安易に開かないように注意しよう。

 次に,Windows 2000 Server/Advanced Server/Datacenter Serverが影響を受ける(2)「ドメイン コントローラへの無効なリクエストがサービス拒否を発生させる」が公開された。ドメイン コントローラへ無効なリクエストが連続して送られると,そのサーバー・マシンは,ほとんど,もしくはすべてのCPU能力を使い果たしてしまい,DoS攻撃が成立する可能性がある。

 Windows 2000 Server および Advanced Server用の日本語版パッチは公開された。Windows 2000 Datacenter Server用の修正パッチは,使用しているハードウエアによって異なるため,そのハードウエアの製造元から入手する必要がある。

 日本語版パッチが早速公開されているのに加え,公開サーバーではドメイン構成を組まない(ドメイン コントローラを動かさない)ことがセキュリティ上のセオリーなので,影響は少ないであろう。

アナウンス前のパッチ情報1件

 Microsoft ダウンロード センターでは,「マイクロソフト セキュリティ情報」でアナウンスされていない,セキュリティ関連のパッチ情報が1件公開されている。(1)「『断片化された IP パケットの組み立てなおし』のぜい弱性に対する対策」に関する,Windows NT 4.0用の日本語版パッチである。

 攻撃者から,ある特定の「分割されたIP datagrams」を連続して送られると,CPU能力を使い果たしてしまうというセキュリティ・ホールを,このパッチで修正できる。2000年5月に,このセキュリティ・ホールは公開され,Windows 2000用の日本語版パッチは翌月の2000年6月にリリースされた。しかし,Windows NT 4.0用の日本語版パッチはなかなかリリースされず,約8カ月後にようやく公開された。DoS攻撃は増えているようだ。ぜひ適用しておこう。

IMail Serverがアップデート

 ケイ・ジー・ティーから,2001年2月20日に「IMail Server Gold V6.06J アップデートファイル」が公開された。IMail Server Goldは,Webブラウザからもメールを送受信できる,Windows2000/NT用の多機能なメール・サーバー・ソフトである。

 このアップデート・ファイルには,2000年12月にラックから公開された,セキュリティ・ホールに対する修正も含まれている。このセキュリティ・ホールは,IMail Serverの「SMTP AUTH」機能(RFC 2554)の不具合が原因である。認証用パスワードとして,80バイト以上136バイト以下のデータを送られると,その通信の切断時に,サーバーの応答は停止し,新規のSMTP セッションも確立できなくなってしまう。

 このセキュリティ・ホールを修正する,英語版アップグレードパッチは2000年12月に公開されていたが,日本語版はまだだった。今回,ようやく日本語版アップグレードパッチが公開された。IMail Server Gold V6.0xJのユーザーは,パッチを適用して,すぐにV6.06Jへバージョン・アップしよう。

BIND for Win32がアップデート

 前回のコラムで書いた“深刻なセキュリティ・ホール”を解消するためにアップデートされた「BIND for Win32 8.2.3」が,2001年2月19日,さらにアップデートされて 8.2.3 Rev.2となった。「nsupdate.exe」や「dnskeygen.exe」というツールを使用する際に発生する不具合に対応するためである。不具合の原因である「libbind.dll」のみを差し替えてリリースした。

 アップデートするかどうかは,任意としているが,8.2.3を利用している場合には,libbind.dllのみを置き換えれば,Rev.2と同じ状態なるので,対応は容易だ(ただし,BINDを再起動する必要がある)。そのため,できるだけ対応したほうがよいだろう。



 ■ホームページ書き換え事案に関する対策について(警察庁:2001年2月23日公開)

 ■緊急警告 Web 改ざん多発,Webサーバソフトウェアにセキュリティパッチを(IPA:2001年2月22日更新)

 ■緊急警告 DDoS攻撃に関する情報(IPA:2001年2月23日公開)


マイクロソフト セキュリティ情報

 ■(MS01-012) Outlook と Outlook Express のVCard ハンドラが問題のあるバッファを含む(2001年2月23日:日本語解説公開)

 ■(MS01-011) ドメイン コントローラへの無効なリクエストがサービス拒否を発生させる(2001年2月21日:日本語解説,及び日本語版パッチ公開)


Microsoft ダウンロード センター

 ■(MS00-029) 「断片化された IP パケットの組み立てなおし」のぜい弱性に対する対策
 □Windows NT 4.0用の日本語版パッチ(2001年2月20日)


ケイ・ジー・ティー

 ■IMail Server Gold V6.06J アップデートファイル(2001年2月20日公開)

 ■修正モジュールダウンロード


 ■IMail 6.0.5 に対する DoS を発見(ラック:日本語版アップグレードパッチ公開に伴い2001年2月22日更新)


 ■Port 53 Web Site(吉川 洋太郎氏)

山下 眞一郎(Shinichiro Yamashita)
株式会社 富士通南九州システムエンジニアリング
第二ソリューション事業部システムサービス部 プロジェクト課長
yama@bears.ad.jp

 「今週のSecurity Check [Windows編]」は,IT Proセキュリティ・サイトが提供する週刊コラムです。Windows関連のセキュリティに精通し,「Winセキュリティ虎の穴」を運営する山下眞一郎氏に,Windowsセキュリティのニュースや動向を分かりやすく解説していただきます。(IT Pro編集部)