特定のグループからと思われる,日本サイトへの攻撃が相次いでいる。特にターゲットにされているのが,IIS(Internet Information Server/Services)のサーバーである。事態を重く見たマイクロソフトなどは,IISの防御法を公開しているが,説明不足の感は否めない。そこで,この IIS 4.0 を保護するために示されている必要不可欠な設定のなかで,もっとも優先度が高いと思われる「MDACのRDS機能を無効にすること」について,以下説明する。

「H.U.C」による,日本サイトへの大規模な攻撃

 情報処理振興事業協会(IPA)セキュリティセンターは,「Web 改ざん多発,Webサーバソフトウェアにセキュリティパッチを」を緊急警告として,同センターのサイトで公開した。2001年2月6日に公開を開始し,その後,2001年3月2日までに5回更新されていることからも,その重要性がうかがえる。この文書で警告しているように,日本サイトのWeb改ざん事件は多発している。

 では,実際にどのくらいの数の Web サーバが被害にあっているのだろうか?残念ながら,IPAの文書では言及していない。具体的に,「どのサイトが被害に遭ったのか」という情報を知るには,「Attrition.org」サイトが便利である。同サイトでは,改ざんが報告されたサイトがリストアップされている。

 日本に限定したWeb 改ざんの有益な情報源としては,「EVERYDAY PEOPLE」がある。同サイトの情報によれば,この2001年2月に改ざんされた日本サイトの総数は,未確認ながら154件にのぼるという。改ざん件数がこれだけ多いのは,前述のIPAの文書でも暗に指摘しているように,中国語圏からのものとみられる,2月半ばからの集中攻撃が原因と考えられる。この集中攻撃については,警察庁が2月23日に公開した,「ホームページ書き換え事案に関する対策について」をまず参照されたい。

 このほか,「24時間常時接続メーリングリスト」を運営している,はまもと氏による注意喚起文や,前述の EVERYDAY PEOPLE にある,「Honker Union of China などによる日本のサイトへの攻撃情報」なども,有益な情報である。

 これらの伝えるところによれば,「Honker Union of China(H.U.C)」を名乗る,中国語圏の人間とみられる一団が,日本のサイトを狙った攻撃を進行させているという。実際に,公開サーバーのトップページを「This site Powered by H.U.C」などと,H.U.C が改ざんしたことを示すメッセージに書き換えられた日本のサイトが続出している。H.U.C に関連すると思われる一連の事件の,状況の経緯については,慶應義塾大学の武田圭史氏による,「HUC関連状況と対応私案」にまとめられている。

 この大規模な攻撃は,現在も進行中であると思われる。2月27日にはJPCERT/CC から「DDoS 攻撃に対する注意喚起文」が電子メールで配布され,その後 Web で公開されている。このことからも,依然として,予断を許さない状況が続いていると考えたほうがよい。

 以上のような改ざん事件の多発を受けて,マイクロソフトは2月27日に「Web コンテンツの改ざんに対する防御策についての説明」を公開した。このページでは,IIS を攻撃から防御するための方法が示されている。筆者がこれらに目を通した限り,確かにIIS を保護するために必要不可欠な設定方法が記載されていた。しかし,「なぜこれらの設定が必要なのか」,「対策をしないと,どのような事態になるのか」など,詳細な説明はまったくといっていいほどなかった。そこで,もっとも優先度が高いと思われる「MDACのRDS機能を無効にすること」について,以下説明する。

なぜ「RDS問題」は深刻か?

 「RDSの問題」は 1999年7月に IIS4.0 に関わる重大な問題として発見されている。しかし,依然としてこの問題を突かれ,侵入されてしまうケースは後を絶たない。主な原因としては,以下のことが考えられる。

(1) サービスパック適用すれば,この問題が修正されると考えている

(2) データベースを使用しているために,対策を後回しにしている

(3) 「RDS問題」の深刻さを知らず,たいした問題ではないと判断し,対処しない

 まず,(1)についてである。「サービスパックの最新バージョンを適用したのだから,RDS の問題はクリアされた」という話を耳にすることがある。筆者は声を大にして言いたい。「それは大きな間違いである」と。現在のところ,マイクロソフトが提供している最新のサービスパック(SP6a)を適用しても,この問題は解決しない。IIS 4.0 がデフォルトでインストールされている場合,この問題を解決するには,手動による該当ファイルの削除と,該当レジストリ・キーの削除以外に方法はない。

 次に(2)についてである。たとえ現在データベースを使用していても,早急に対策をとる必要がある。例えば,IIS 4.0 を使用している eコマース・サイトなどで,データベースを必要としている場合,どうしても RDS の機能が必要不可欠でない限り,RDS機能を無効にしなくてはならない。もし, RDS が必要不可欠であるならば,[IIS]Microsoft Security Bulletin MS99-025 の FAQをまず確認し,適切な処置を行うべきである。

 そして,もっとも強調したいのが(3)についてである。なぜ,これまで述べてきたように,筆者がこの問題についての対策を強く推奨するのか。それは,第一に「この問題を利用すれば,リモートから,IIS 4.0を稼働しているホスト上で,任意のコマンドを管理者権限で実行できる」からである。

 そのため,(a)Webの改ざん,(b)さらなる攻撃の踏み台,(c)パスワードや機密情報の盗難,あるいは(d)トロイの木馬の埋め込み,(e)スパム・メールの発信源としての利用など,攻撃者が望む,ありとあらゆることが可能となってしまう。IIS 4.0 を使用している Web サーバの管理者は,この問題を非常に深刻なものと認識し,対策をとらなければならない。

 さらには,「この問題を悪用して侵入するための,攻撃用プログラム(エクスプロイト)が公開されている」という事実も,問題を深刻にしている。自分の力だけで,RDSのセキュリティ・ホールを悪用するには,非常に高いスキルを必要とする。しかし,公開されているプログラムを使用するならば,ちょっとした知識さえあれば,IIS 4.0サーバーへたやすく侵入できてしまう。

 ユーザーが深刻な問題として認識していないのは,ベンダーが詳細に説明しなかったためである。ぜい弱性が発見された場合,ベンダーはそのことを誠実に受け止め,それがどのような影響をおよぼすのかについて,ユーザーに説明しなければならない。今回の件を教訓に,今後は,ソフトウエア・ベンダーが,積極的に詳細情報を公開し,ユーザーの保護に努めることを,筆者は強く望む。

 例えば,「アップデートを推奨します」だけの説明では,アップデートが必要な理由はまったく分からない。そのため,ユーザーはその深刻さに気付かず,アップデートをおろそかにしてしまう。

 たとえ,自社製品の不具合や自社の技術不足をさらけだすことになっても,アップデートが必要な理由や,アップデートをしない場合の危険性などについての詳細な情報を公開すれば,ユーザーの信頼をどれだけ集めるだろうか。そして,どれだけクラッキングの被害を防げるだろうか。その効果についてはいうまでもないだろう。ぜひ実現していただきたいものである。

新井悠 (ARAI Yuu)
株式会社ラック コンピュータセキュリティ研究所
y.arai@lac.co.jp

◇ ◇ ◇ ◇ ◇ ◇

【訂正のお知らせ】

 2001年2月26日付けのコラム,「メーリング・リストをワームから保護する」において執筆者のミスがあったので,お詫びして訂正する。

 システム管理者がリスト内にワームの流入を防止するための対策として,筆者は(1)「From:」ヘッダー,「To:」ヘッダーが欠落しているメールを,リスト内に流さない,(2)ファイルが添付されたメールは,リスト内に流さない,(3)本文に,特定の文字列を含むメールはリスト内に流さない,の3つを示した。

 このうち,(1)については“「From:」ヘッダーが欠落しているメールを,リスト内に流さない”,と訂正したい。なぜならば,「To:ヘッダー」が欠落しているメールを,リストを経由して配送するかどうかという問題は,「RFC822にどの程度準拠したメールをリストに流すか」というリスト運営のポリシーに関するものであり,コラムの主題である「メーリング・リストをワームから保護する」とは,別のコンテキストで述べられねばならないと考えられるからである。

 読者におかれては,誤解を招いたことを,ここにお詫びすると共に,本訂正をもって内容を差し替え頂きたい。

坂井順行 (SAKAI Yoriyuki)
株式会社ラック コンピュータセキュリティ研究所
sakai@lac.co.jp

 IT Proセキュリティ・サイトが提供する「今週のSecurity Check [一般編]」は,その週に起きたUNIX関連およびセキュリティ全般のニュースや動向をまとめた週刊コラムです。セキュリティ・ベンダーである「株式会社ラック」のスタッフの方を執筆陣に迎え,専門家の立場から解説していただきます。