Solarisマシンを踏み台にして,Internet Information Server/Services(IIS)サーバーのWebページを改ざんする「sadmind/IIS」ワームが急速に広がっている。警察庁は5月17日正午現在,相談および被害届を97件受理していると発表しているが,あくまでも氷山の一角。実際には数千件のオーダーで被害があると考えられる。事態は深刻である。Solaris および IIS のパッチや対策方法が公開されているので,管理者は早急に対策を施す必要がある。
警察庁も異例の要請
今回の被害は,地方公共団体,民間企業,大学等の教育機関と多岐にわたっているが,中でも従来と比較して教育機関の割合が多いのが特徴である。
事態を重く見た警察庁は5月17日,さらなる被害拡大を防止するために,Solarisの販売企業18社に対して異例の要請を出した。要請の内容は,それぞれの顧客に対して,以下の5項目の対策方法などの情報を提供することである。
- ワームを検知するプログラムを提供する
- 見覚えのないフォルダやプログラムがマシンにインストールされていないかどうか確認するように依頼する
- 最新のパッチ・プログラムを適用するように依頼する
- ファイアウオールなどを使用して適切なフィルタリングを実施するように依頼する
- 都道府県警察のハイテク犯罪相談窓口情報を提供する
これを受けて,Solarisを販売する企業のWebページに「sadmind/IIS」ワーム対策情報が続々と掲載され始めた。内容は様々ではあるが,管理者は参考にするべきである(各社のURLは記事末のリストを参照のこと)。
ファイアウオールは役に立たない
今回の「sadmind/IIS」ワームでWebページ改ざんの被害にあったIISの管理者からは,「ファイアウオール・システムを構築していたので,IIS固有のセキュリティ・ホール情報をチェックしていなくとも大丈夫だと思っていた」という声が挙がっているようだ。しかし,過去のコラムで何度も訴えているように,今回のアタックについてはファイアウオールは役に立たない。
なぜならば,ワームの攻撃はHTTP(TCP 80番)のポート経由で行われているからだ。ワームの攻撃と通常のWebアクセスを区別することは非常に困難である。そのため,IIS固有のセキュリティ・ホール情報をチェックして対策を施さないと防げない。
確かにファイアウオールは,セキュリティ・レベルを高める非常に有効な手段である。しかし,万能ではない。ファイアウオールを過信すると,今回のような被害を繰り返すことになる。管理者にはそのことを改めて認識してもらいたい。
さらに,新種のワームが出現する可能性についても,管理者は心に留めておく必要がある。今回悪用されたセキュリティ・ホールは「(MS00-086)『Web サーバーによるファイル要求の解析』のぜい弱性に対する対策」であるが,このセキュリティ・ホールだけをふさいでも意味はない。このセキュリティ・ホール同様,ファイアウオールが役に立たない「(MS01-026)不要なデコーディング操作により IIS でコマンドが実行される」や「(MS01-023)ISAPI エクステンションの未チェックのバッファにより IIS 5.0 Server のセキュリティが侵害される」といったセキュリティ・ホールが存在するからだ。
先週このコラムで紹介した最新のIIS用累積修正パッチ(「(MS01-026)不要なデコーディング操作により IIS でコマンドが実行される」)を適用すれば,上記のセキュリティ・ホールをすべてふさげる。このパッチを適用して初めて今回のワーム対策をとったことになるといえよう。
やっと出そろう最新の情報
ここにきて,やっとワーム対策の最新情報が出そろってきた。前回のコラムでも指摘したように,まず必要なのは最低限必要な対策を明確に示すことである。5月23日に更新された,マイクロソフトのレポート「Internet Information Server をご利用いただいているお客様へ Web コンテンツの改ざんに対する防御策についての説明」では「MS01-026」の情報が反映され,最低限行うべき対策が網羅された。また,「MS01-026」のパッチがリリースされていないNEC PC-9800の場合には「MS00-086」のパッチを適用するように記述されており,パッチについては当然のことながら一番詳細な内容となっている。
情報処理振興事業協会(IPA)セキュリティセンターのレポート「緊急警告 Web 改ざん多発,Webサーバソフトウェアにセキュリティパッチを」でも,5月25日付けの更新で,IIS 関連の記述が「sadmind/IIS」ワームを意識した内容に全面的に見直され,「MS01-026」の情報が反映されている。
5月24日に掲載されたJPCERT/CCのレポートでも,きちんと最新のIIS用累積修正パッチである「MS01-026」が紹介されている。
以上を必要に応じてチェックするとともに,ほかのIIS管理者にもぜひ紹介してもらいたい。
繰り返しになるが,前回のコラムでも紹介した最低限の対策(1)「最新のService Packの適用」,(2)「MDAC の RDS 機能の抑止(対応:/msadc 仮想ディレクトリを Web サイトから削除)」,(3)「最新のIIS用累積修正パッチの適用(対応:『MS01-026』のパッチ適用)」は急務である。これらができないようなら,公開用WebサーバーとしてのIIS使用を即刻中止すべきである。
新規のセキュリティ・ホール情報は3件
上記以外のWindows関連のセキュリティ・トピックス(2001年5月25日時点分)を整理する。「マイクロソフト セキュリティ情報」では,新規のセキュリティ・ホール情報が2件公開された。
まず, Microsoft Windows Media Player 6.4 または 7 が影響を受ける(1)「Windows Media Player .ASX プロセッサが未チェックのバッファを含む」が公開された。これは既にこのコラムでもお知らせ済みの「(MS00-090)『.ASX バッファ オーバーラン』と『.WMS スクリプト 実行』のぜい弱性に対する対策」の変種である。
ストリーミング・メディア再生やプレイリストの使用に必要なActive Stream Redirector (.ASX) ファイルの処理機能に存在するバッファ・オーバーランを悪用されて,任意のコードを実行される可能性がある。
具体的には,攻撃者は.ASXファイルを他のユーザーに送付して,そのファイルをプレビューもしくは実行させるように誘導したり,攻撃者のWebサイトを訪問すると.ASXファイルが自動的に開始されるように設定して,上記のセキュリティ・ホールを悪用する。
対策として,Windows Media 6.4 ユーザーは今後公開予定の日本語版修正パッチを適用し,Windows Media Player 7 ユーザーは最新の Windows Media Player 7.1 へアップグレードする必要がある。
Windows Media Player 7.1 へアップグレードすれば,上記の対策になるばかりではなく,最新のコーデックであるWindows Media Audio 8とWindows Media Video 8を最大限に活用できるようになる。そのため,Windows Media Player 7.1 へアップグレードすることをお勧めしたい。
なお,今回公開されたレポートには,コンピュータ上のファイルを読み取られる恐れがある「Windows Media Player がインターネット ショートカットを処理する方法に影響をおよぼすぜい弱性」も含まれている。これも今後公開予定の日本語版パッチを適用するか,Windows Media Player 7.1へアップグレードすることで解消できる。
次に, Microsoft Word が影響を受ける(2)「テンプレートにリンクしている RTF 文書が警告なしでマクロを実行する」が公開された。Word はマクロを実行する際にユーザーの確認を必要とするセキュリティ・メカニズムを持っているが,このセキュリティ・ホールを突くとそのメカニズムを回避できてしまう。
RTF(リッチ テキスト形式)文書にマクロを含んだテンプレートをリンクさせておくと,RTF文書を開く際にはテンプレートが読み込まれ,マクロが実行されるのだが,この場合 Word のぜい弱性により自動的にマクロが実行される可能性がある。
影響を受けるのは,Microsoft Word 97/98/2000と,Word 98 Macintosh Edition/Word 2001 for Mac。これら以前のバージョンに関してはサポートしていないので,このセキュリティ・ホールによる影響は不明としている。
現時点で用意されている日本語版修正パッチは Microsoft Word 2000用のみ。同製品のユーザーはパッチを適用しておこう。
なお,今回のセキュリティ・ホールは Word だけに影響をおよぼし,他の Office 製品は影響を受けない。そして,マクロが埋め込まれたテンプレートにリンクしている RTF文書が開かれる場合のみ発生し,単にWord 文書が開かれる場合は発生しない。
セキュリティ情報の追加が2件
「マイクロソフト セキュリティ情報」では2件のレポートがアップデートされて情報が追加された。「不要なデコーディング操作により IIS でコマンドが実行される」と「圧縮フォルダのパスワードが復元されてしまう」である。
まず, IIS 4.0/5.0 が影響を受ける(1)「不要なデコーディング操作により IIS でコマンドが実行される」において,(i)WebDAV を無効にすると修正パッチが httpext.dll をアップデートできなくなること,および(ii)修正パッチが FTP の UPN スタイルのログオンを無効にすること---が追加された。
特に(i)には注意する必要がある。IIS 5.0 サーバーで WebDAV を無効にしていると,修正パッチを適用しても httpext.dll のアップデートができない。そのため,パッチを適用する前に WebDAV をいったん有効に戻し,適用後再び無効する必要がある。
次に,Microsoft Plus! 98/Me が影響を受ける(2)「圧縮フォルダのパスワードが復元されてしまう」では,「問題を緩和する要素」 の欄が更新された。更新情報では,問題になっているパスワード・メカニズムは,ユーザーのネットワーク認証メカニズムにはまったく関係なく,パスワード保護の圧縮フォルダのみに使用されるものであることを明確にしている。一応確認しておこう。
【「sadmind/IIS」ワーム警告関連レポート】
■ホームページ書き換え事案に関する対策について(警察庁:2001年5月17日最終更新)
■ワーム sadmind/IIS によるWeb 改ざんインシデントの対策について(IPA:2001年5月18日)
■緊急報告 - Solaris に侵入し Microsoft IIS を攻撃するワーム(JPCERT/CC:2001年5月24日)
■Internet Information Server をご利用いただいているお客様へ 既知の脆弱性を利用した攻撃に関する注意事項 (マイクロソフト:2001年5月18日最終更新)
【Solarisの販売企業からの「sadmind/IIS」ワーム対策依頼レポート】
■「Solaris」オペレーティング環境を対象とするコンピュータ・ウィルスの侵入による障害の防止策について (サン・マイクロシステムズ:2001年5月16日)
■「Solaris」OSに関するセキュリティ対策について(東芝:2001年5月18日)
■USファミリ(サン社OEM製品)におけるホームページ改竄プログラムによる被害防止について (日本ユニシス:2001年5月18日)
■コンピュータ・ウィルスによる被害の防止対策について(お願い) (富士通:2001年5月21日)
■0001-01 sadmind/IIS Worm によるホームページ改ざん問題について(伊藤忠テクノサイエンス:2001年5月21日)
【Webページ改ざん対策レポート】
■Internet Information Server をご利用いただいているお客様へ Web コンテンツの改ざんに対する防御策についての説明(マイクロソフト:2001年5月23日最終更新)
■緊急警告 Web 改ざん多発,Webサーバソフトウェアにセキュリティパッチを(IPA:2001年5月25日最終更新)
マイクロソフト セキュリティ情報
■(MS01-029)Windows Media Player .ASX プロセッサが未チェックのバッファを含む (2001年5月24日:日本語版パッチ,及びレベルアップ版公開)
■(MS01-028)テンプレートにリンクしている RTF 文書が警告なしでマクロを実行する (2001年5月22日:一部日本語版パッチ公開)
■(MS01-026)不要なデコーディング操作により IIS でコマンドが実行される(2001年5月22日:WebDAV を無効にすると修正プログラムが httpext.dll をアップデートできなくなること,および修正プログラムが FTP の UPN スタイルのログオンを無効にすることを知らせるため,警告の欄が更新)
■(MS01-019)圧縮フォルダのパスワードが復元されてしまう (2001年5月23日:パスワード・メカニズムは認証メカニズムとは異なるメカニズムであることを明確にするため,「問題を緩和する要素」 の欄が更新)
山下 眞一郎(Shinichiro Yamashita)
株式会社 富士通南九州システムエンジニアリング
第二ソリューション事業部システムサービス部 プロジェクト課長
yama@bears.ad.jp
「今週のSecurity Check [Windows編]」は,IT Proセキュリティ・サイトが提供する週刊コラムです。Windows関連のセキュリティに精通し,「Winセキュリティ虎の穴」を運営する山下眞一郎氏に,Windowsセキュリティのニュースや動向を分かりやすく解説していただきます。(IT Pro編集部)
