感染事例で見えた「Nimda」ワーム対策のポイント

多様な攻撃,特にファイル共有による感染に注意せよ

今週のSecurity Check [Windows編] (第44回,2001年10月3日)

 9月18日に出現し,猛威を振るった「Nimda」ワーム。やや沈静化しているとはいえ,依然深刻な影響をもたらしている。筆者自身も多くの現場で様々な状況を見てきた。その経験を基に,注意すべきポイントを整理してみた。具体的には,「Code Red 対策だけでは Nimda は防げない」ことと,「ファイル共有による感染に特に注意する」ことである。加えて,ベンダーの公開情報が次々更新されているので,こちらについても改めてチェックしたい。

「Code Red」ワーム対策だけでは防げない

 まず,現場で結構多く聞かれた疑問として,「『CodeRed 関連ワーム』対策をきちんと施していたはずなのに,どうして『Nimda ワーム』に感染してしまったのか?」というものがあった。その理由は,Nimda の攻撃方法が“多彩”なためだ。

 CodeRed 関連ワームが「(MS01-033)Index Server ISAPI エクステンションの未チェックのバッファにより Web サーバーが攻撃される」のセキュリティ・ホールを悪用したのに対し,Nimda ワームは Code Red II ワームが仕掛けた“バックドア”や,2000年10月に公開された「(MS00-078)『Web サーバー フォルダへの侵入』の脆弱性」についても侵入のために悪用する。また,「(MS01-026)不要なデコーディング操作により IIS でコマンドが実行される」のセキュリティ・ホールを,悪用する可能性もある。確かなことは現時点では定かではないが,少なくともぜい弱性の有無を調べていることは事実だ。「MS01-026」については,各ベンダーが公開しているドキュメントにはほとんど記載されていない。

 こうしたことから,Windows NT 4.0 の場合には,(1)最新のサービスパックである SP6a だけを適用しているケースや,(2)SP6aに CodeRed 対応の「MS01-033」パッチだけを適用しているケースでは,Nimda ワーム の感染対象となってしまう。

 Windows 2000 の場合なら,(1)1つ前のサービスパックである SP1 だけを適用しているケースや,(2)SP1に「MS01-033」のパッチだけを適用しているケースが感染の対象となっている。

 これは,前回のコラムで紹介した「Code Blue」と同じアプローチである。まさしく,CodeRed 関連ワーム対応しか施していない,セキュリティ対策が不十分なWebサイトを狙い撃ちにする巧妙なワームなのである。

 それでは,Nimda や Code Blue などの影響を受けないようにするためには具体的にどうしたらよいのだろうか。繰り返しになるが,Code Red 対策だけを施してもだめなのである。公開用サーバーの場合には,現状では以下の対策が最低限必要であると考えられる。いずれもすぐに実施可能なので,管理者は即対応しよう。

■日本語版Windows 2000

  • SP2適用
  • MS01-044(IIS累積パッチ)適用
  • MDAC対応(/msadc 仮想ディレクトリ削除)
  • エッジ・ルーターでのパケット・フィルタリング(TCP及びUDP双方)
    ポート番号 23,135,137,138,139,445

■日本語版Windows NT 4.0 + Option Pack

  • SP6a適用
  • セキュリティ ロールアップ パッケージ(SRP)適用
  • MS01-044(IIS累積パッチ)適用
  • MDAC対応(/msadc 仮想ディレクトリ削除)
  • エッジ・ルーターでのパケット・フィルタリング(TCP及びUDP双方)
    ポート番号 23,135,137,138,139

ファイル共有による感染に注意,アンチウイルス・ソフトでも不十分

 インターネット公開用のサーバーについては,上記が最低限の対策である。しかし,イントラネット・サーバーの場合には,必要なパッチをすべて適用していたにもかかわらず感染してしまったケースが見受けられた。そのほとんどが「ファイル共有」による感染であった。ファイル共有には,特に注意しなければならない。

 感染マシンからアクセス可能な共有フォルダや共有ファイルに感染を広げる「ファイル共有による感染」は,セキュリティ・ホールを悪用しているわけではない。つまり,パッチを適用していても防げないのである。

 そこで頼りになるのが,アンチウイルス・ソフトであるが,これも万全とはいえない。アンチウィルス・ソフトのパターン・ファイルを最新化し,リアルタイムで検出できるように設定しておいても感染した例があったからだ。アンチウイルス・ソフトのウィルス検出エンジンとパターン・ファイルの組合せや,製品の仕様によっては,検出できないケースが十分考えられるのだ。アンチウイルス・ソフトの過信は禁物である。

 そのため,社内で完全に Nimda ワームの駆除が済むまでは,ファイル共有はリード・オンリーに限定するのが鉄則だと考える。パスワードを設定するだけでは不十分である。

更新が続くベンダーの情報,改めて確認を

 感染が始まった9月18日から,アンチウイルス・ベンダー各社やマイクロソフトは Nimda の情報を公開しているが,重要な情報の追加が相次いでいる。改めてチェックしたい。

 9月28日には,各アンチウィルス・ベンダーのWebサイトにて,Nimda の活動再開についての警告が出された。最初に感染した日から10日おきに,大量メール送信ルーチンが活性化するという情報だ。ウイルスを駆除していないマシンからは,再びウイルス・メールが送信される恐れがある。多大な影響は出ないと思われるが,念のために注意しておこう。

 マイクロソフトが公開しているドキュメント「Nimda ワームに対する防御策の説明」も更新を重ねている。9月27日には,新規に「Nimda ワームに対する防御策の説明 よくある質問と回答」も公開されている。

 例えば「Nimda ワームに対する防御策の説明」の注意欄には,次のような情報が追加されている。Windows2000 環境下では,IE 5.01 SP2 がインストールされているシステムを IE 5.5 にアップデートした場合,Internet Explorer の [ヘルプ] - [バージョン情報] から確認できる [更新バージョン] に “SP2” と表示されるが,実際には“IE 5.5 SP2”ではなく,“素の”IE 5.5 の状態であるという。すなわち,“SP2”と表示されていても,セキュリティ・ホールが存在して危険であるということだ。このような貴重な情報は,当初はなかったはずだ。

 上記のように,パッチ適用の状況を“SP2”の文字の有無で確認するのは当てにならない。Internet Explorer の [ヘルプ] - [バージョン情報] をクリックして表示されるタイトルの下の「バージョン:」の横に表示される数字(例:5.50. 4807.2300 )で確認する必要がある。その確認方法もきちんと明記されているので,もう一度チェックしておこう。

各種サーバー・アプリは新規のセキュリティ・ホール情報が1件

 次に,Windows関連のセキュリティ・トピックス(2001年9月28日時点分)を,各プロダクトごとに整理して解説する。

 サーバー・アプリ関連では,「マイクロソフト セキュリティ情報一覧」にて,新規のセキュリティ・ホール情報が1件公開された。

(1)深くネスト化した OWA リクエストによりサーバーの CPU が消費される

 Exchange 2000 Outlook Web Access は,認証されているユーザーのフォルダ構成が有効かどうかを最初に確認せず,そのユーザーのメール・ボックス中のアイテムへのリクエストを受け付けて処理してしまうという問題がある。そのため,実際には使用されていない,深くネスト化したフォルダに対するリクエストを繰り返し送信されると,DoS(Denial of Service)状態に陥る可能性がある。

 マイクロソフトは,日本語情報と同時に日本語版パッチも公開した。ただし,このセキュリティ・ホールを悪用した攻撃を受けても,Outlook Web Accessサーバー自体に必ず影響がおよぶというわけではない。また,不当なリクエストの処理が終了すれば,通常のサービスを再開可能である。加えて,サーバーに認証されているユーザーだけがこのセキュリティ・ホールを悪用することが可能であり,誰でもが攻撃できるわけではない。そのため,必要に応じて修正パッチを適用すればよいと考えられる。

各種クライアント・アプリは追加情報が1件

 クライアント・アプリについては,「マイクロソフト セキュリティ情報一覧」にて,追加情報が1件公開された。

(1)Web サーバー証明書検証の問題により Web サイトの偽装が可能になる

 内容については既に紹介済みである。Internet Explorer(IE) 5.01/5.5 を使用している場合,Web サーバーからのディジタル証明書の検証をバイパスさせられたり,IE のアドレス・バーに別の Web サイトの URL を表示させられたりすることにより,攻撃者のサイトを信頼されたサイトに偽装される可能性がある。

 今回セキュリティ情報が更新され,Windows 98/98SE/ME または NT 4.0 を実行しているシステムで IE 6 にアップグレードしてこのセキュリティ・ホールを排除する場合には,「フル インストール」もしくは「標準インストール」を選択する必要があるという情報が追加された。

 ちなみに,Internet Explorer 6 にアップグレードする際に「フル インストール」もしくは「標準インストール」を選択する必要があるという情報は,Nimdaワームの影響(警告なしでワーム・ファイルを実行してしまうこと)を受けないためにも重要なポイントだ。注意しておこう。

 なお,Windows 2000 または Windows XP では 「専用モード」 でインストールされるためインストール・モードを選択できないが,これらのセキュリティ・ホールの影響は受けない。

TechNet Online - Securityでのアップデート・ドキュメント1件

 TechNet Online - Securityでは,「Internet Information Server をご利用いただいているお客様へ Web コンテンツの改ざんに対する防御策についての説明」というタイトルのドキュメントが更新されている。

 このドキュメントは 2001年5月23日以来の更新が停止されていたが,筆者は傑作だと思い,繰り返し紹介していたドキュメントであるため,本コラムにて計3回にわたってアップデートの継続をお願いしていたものだ。

 内容を確認すると,IISのセキュア運用に必要なパッチ情報がきちんと更新され,Windows 2000 日本語版SP2 や「(MS01-044)2001年8月15日 IIS 用の累積的な修正プログラム」が記載されている。

 しかし,残念なのは Windows NT 4.0に対して「Windows NT 4.0 セキュリティ ロールアップ パッケージ (SRP) 」適用の必要性の記載が漏れていることだ。別のドキュメント「Nimda ワームに対する防御策の説明」では,明確に適用を促しているにもかかわらずである。SRP の適用は,既知のセキュリティ・ホールを悪用した新規のワームや攻撃から守るためには不可欠である。ぜひ追記してもらいたい。

 また,追記する際には,現在「Service Pack 5 もしくは Windows NT 4.0 Service Pack 6a を適用」となっている記述も,SRP は Service Pack 6a 適用を前提とするので,明確に「Windows NT 4.0 Service Pack 6a を適用」と変更してほしい。

 ドキュメント自体は非常に優れているので,ぜひ万全を期してほしい。



PE_NIMDA.A対策Web (2001年9月28日最終更新:トレンドマイクロ)

W32.Nimda.A@mm (2001年9月28日最終更新:シマンテック)

Nimda ワームに対する防御策の説明 (2001年9月27日最終更新:マイクロソフト)

「Nimda ワーム に関する情報」および「Nimda ワームに対する防御策の説明」更新履歴 (2001年9月27日最終更新:マイクロソフト)

Nimda ワームに対する防御策の説明 よくある質問と回答 (2001年9月27日最終更新:マイクロソフト)

マイクロソフト セキュリティ情報一覧

『Exchange 2000 Server』

◆(MS01-049)深くネスト化した OWA リクエストによりサーバーの CPU が消費される
 (2001年9月27日:日本語解説&日本語版パッチ公開)

『Internet Explorer』

◆(MS01-027)Web サーバー証明書検証の問題により Web サイトの偽装が可能になる
 (2001年9月28日:Internet Explorer 6 へアップグレードする場合,「フル インストール」もしくは「標準インストール」を選択する必要があることを追加説明)

TechNet セキュリティ センター

Internet Information Server をご利用いただいているお客様へ Web コンテンツの改ざんに対する防御策についての説明 (2001年9月12日最終更新)


山下 眞一郎(Shinichiro Yamashita)
株式会社 富士通南九州システムエンジニアリング
第二ソリューション事業部システムサービス部 プロジェクト課長
yama@bears.ad.jp


 「今週のSecurity Check [Windows編]」は,IT Proセキュリティ・サイトが提供する週刊コラムです。Windows関連のセキュリティに精通し,「Winセキュリティ虎の穴」を運営する山下眞一郎氏に,Windowsセキュリティのニュースや動向を分かりやすく解説していただきます。(IT Pro編集部)