2001年8月に大きな被害をもたらした「CodeRed II」ワームの亜種「CodeRed.F」が感染を広げているようだ。マイクロソフトのサイトを調べると,このワームに関する情報は「TechNet セキュリティ センター」にはなく,「マイクロソフト セキュリティ」にだけ掲載されていた。管理者およびユーザーは,前者だけではなく後者についてもきちんとチェックする必要がある。とはいえ,CodeRed.Fの情報自体はきちんと公開されている。同社の情報提供は充実してきている。ただし,同社の情報には“漏れ”もあるので,同社の情報だけに頼ることは禁物である。
Code Red IIの亜種が拡散中
シマンテックは3月11日,CodeRed IIの新たな亜種である「CodeRed.F」が出回っていることを警告した(関連記事)。亜種とオリジナルの相違点は,コードが2バイト異なるだけである。オリジナルは2002年以降に動作することはないが,亜種ではコード内の日付部分を変更し,システム時間が 2002 年以降であっても動作するようにしている。それ以外は,オリジナルのCodeRed IIと全く同じである。
それにもかかわらず,感染サイトは確実に増加しているという。いまだに対策を施していないサイトがそんなに存在するのだろうか。筆者の推測ではあるが,「テストの間だけだから大丈夫だろう」と,パッチ適用が不十分なテスト・マシンを,インターネットに接続してしまう管理者が少なくないためではないだろうか。
また,Windows NTマシンの場合には,一度パッチを適用しても,システム環境を変更する際などに「Option Pack」を再適用,もしくはオプションの追加を行うと,パッチが無効になってしまうことがある。Option Packを適用した後,パッチを再適用していないために感染したNT マシンも少なくないだろう。
現時点では,オリジナルほどは感染を拡大していないCodeRed.Fではあるが,IIS(Internet Information Server/Services)サーバー管理者は十分注意しなくてはならない。感染を広げていることは事実なのである。さて,マイクロソフトでは,このワームをきちんとアナウンスしているのだろうか。
「TechNet セキュリティ センター」では告知せず
マイクロソフトのサイトでは,セキュリティに関するWebページを複数用意している。中上級者およびシステム管理者向けの「TechNet セキュリティ センター」,一般ユーザー(特に初心者)向けの「セキュリティ スクエア」,セキュリティ全般の情報をまとめた「マイクロソフト セキュリティ」――。以上が,代表的なセキュリティ・ページである。
筆者自身は,中上級者およびシステム管理者ならば「TechNet セキュリティ センター」だけをチェックすれば,重要な情報をカバーできると考えていた。ところが,原稿執筆時点(3月16日),CodeRed.Fの情報は掲載されていない。
一方,「マイクロソフト セキュリティ」には,「Code Red ワームの亜種に関する情報」という見出しが3月12日付けで作成されていた。見出しの下には,「Code Red.F と呼ばれる Code Red の亜種が再度,感染を広めています。管理者の皆さまは,対策が行われているか再度ご確認ください。この亜種は,Code Red II と同様の脆弱性を悪用します」とアナウンスされている。
「Code Red ワームの亜種に関する情報」のリンクをクリックすると,過去に同社がアナウンスしたウイルスをまとめた「ウイルス対策情報」のページが表示される。そのページのトップには,「Code Red 関連」として,今回のワーム対策として適用すべきパッチの種類と,過去に公開したCode Red関連情報へのリンクが記載されている。
適用すべきパッチとしては,IIS の最新のセキュリティ・パッチ「MS02-062」を適用するよう明記している。さすがに“本家”の情報といえよう。例えばシマンテックの情報では,「MS01-033」あるいは「MS01-044」を適用することが対応策としている。もちろんこれら(および「MS02-018」)を適用していれば,Code Redが悪用するセキュリティ・ホールはふさげる。しかし,IISには数々のセキュリティ・ホールが見つかっている。最新のパッチを推奨すべきだろう。
過去情報へのリンクも用意
過去のCode Red関連情報へのリンクが記載されているのも便利だ。筆者自身,今回のCode Red.Fが出現した際,過去のCode Red IIに関する情報を確認したいと考えた。遠い記憶をたどって探すしかないかと思ったが,このリンクが用意されていたのでその手間が省けた。実にうれしい配慮だ。ちなみに,同ページからたどれるドキュメントは以下の5種類である。
- 「Code Blue ワームに関する情報」
- 「Code Red による深刻な問題に対する防護策と対処方法についての説明」
- 「Windows 2000 Professional 用 Code Red ワーム対策ガイド」
- 「よくある質問と回答」
- 「Code Red ワームを阻止するための ISA Server の設定方法」
以上のように,情報自体はきちんと用意されているものの,場所が「TechNet セキュリティ センター」ではなく,「マイクロソフト セキュリティ」だったために,見つかられなかったユーザーもいるのではないだろうか。今後は,「TechNet セキュリティ センター」だけでなく,「マイクロソフト セキュリティ」のWebページも漏れなくチェックしたほうがよさそうだ。
マイクロソフトの新たな取り組み
「TechNet セキュリティ センター」に情報がなかったことは不満だが,CodeRed.Fに関する情報提供は上記のように十分評価できる。
さらに同社では,情報提供に関する新たな取り組みも始めている。まず,マイクロソフト製品のセキュリティに関する問い合わせを電話で受け付ける「マイクロソフト セキュリティ情報センター」を案内する「マイクロソフト セキュリティ情報センターのご案内」ページを3月7日付けで公開した。
同ページでは,同センターが受け付ける質問内容やFAQ集を用意しているので,セキュリティ情報センターに電話する前には必ず目を通したい。
加えて3月12日からは「Microsoft トラブル速報」を開始した(関連記事)。「Windows Update」などで発生した障害や,急速に感染を広げるウイルスなどをユーザーに知らせる目的で開設された。
3月16日時点では,セキュリティに関連するものとして,
- 「Internet Explorer 6 のダウンロードについて(更新日2003年3月12日)」
- 「Internet Explorer 5.5 Service Pack 2 のダウンロードについて(更新日2003年3月12日)」
- 「Windows Update で同じ修正プログラムが再度表示される(更新日2003年3月13日)」
以上3件がアナウンスされている。1 および 2 は,それぞれIE6およびIE5.5 SP2が現在ダウンロードできない状態になっていることを伝えるものである。
3 は,Windows XP で Windows Update の自動更新の通知を利用している場合に発生する問題である。自動更新の通知の [詳細] ボタンをクリックすると,既に適用しているにもかかわらず,「セキュリティ問題の修正プログラム - 2002 年 2 月 13 日 (MSXML 2.6)」と「セキュリティ問題の修正プログラム - 2002 年 2 月 13 日 (MSXML 3.0)」が表示されることがあるというものである。
3 については,3月13日にアナウンスが開始され,その後同社の対応状況に合わせて内容が更新されている。3月16日時点では,この現象を修正したことがアナウンスされている。今回のように重要な情報がアナウンスされ,最新の情報に逐一更新されるようなので,この「Microsoft トラブル速報」ページも今後はチェックするようにしたい。
万全ではないので注意
以上のように,マイクロソフトが提供する「TechNet セキュリティ センター」,「マイクロソフト セキュリティ」,「Microsoft トラブル速報」をチェックしていれば,同社製品が関係するセキュリティ情報の多くを把握できる。とはいえ,すべてを網羅できるわけではないので注意したい。
例えば,米CERT/CCは米国時間3月11日に,Windows 2000/XPマシンを対象に感染を広げる「Deloder」ワームを警告している(関連記事)。同ワームによる被害は確実に広がっているようだ。
しかし,マイクロソフトが提供する「ウイルス対策情報」ページには,3月16日現在,Deloderに関する情報は掲載されていない。
マイクロソフトが提供する情報が充実してきたことは事実である。しかし,同社の情報だけに頼ってはいけない。過信も禁物である。同社の情報提供がいくら充実しようとも,自分自身で情報を探す必要は依然あるのだ。
各種OS関連では追加情報が2件
それでは次に,上記以外のセキュリティ・トピックスをまとめる。まず,Windowws OS関連では,「マイクロソフト セキュリティ情報一覧」にて,追加情報が2件公開された。
(1)Windows WM_TIMER メッセージ処理の問題により,権限が昇格する (328310) (MS02-071)
セキュリティ・ホールについては,過去の記事で紹介済みである。Windows NT 4.0/NT 4.0, Terminal Server Edition(TSE)/2000/XPのメッセージ処理機能に見つかったセキュリティ・ホールであり,悪用されると,一般ユーザーの権限昇格を許す恐れがある。
今回,Windows XPに修正パッチを適用すると問題が発生する場合があることが,注意書きとして追記された。Windows XP がインストールされている環境に修正パッチを適用すると,プログラムの互換性を修正する機能が働かなくなる場合がある。
この問題が発生した場合には,「814995 328310 修正プログラムをインストール後,プログラム互換性の修正の一部が機能しなくなる」をチェックしよう。
(2)SMB 署名の問題により,グループ ポリシーが変更される (329170) (MS02-070)
こちらについても,セキュリティ・ホールのついては過去の記事で紹介済みなので,詳細はそちらを参照してほしい。
今回追記されたのは,Windows 2000 Professional おいて,この修正パッチの適用で発生する問題についての注意書きである。Windows 2000 Professional がインストールされている環境に修正パッチを適用すると,ドメインからのログオフに,通常よりも時間がかかる場合がある。問題の解消方法は「814770 ドメインからのログオフ完了に時間がかかる」に記載されている。
ホールを修正したOpera 7.03が登場
前回の記事で,セキュリティ・ホールを修正したOpera 7.02が公開されたことをお伝えしたが,3月13日には別のセキュリティ・ホールを修正した「Opera 7.03 for Windows」が公開された(関連記事)。同社サイトおよび国内代理店であるトランスウエアのWebサイトから日本語版をダウンロードできる。
Opera 6.0x,7.0xが影響を受けるので,すべてのOperaユーザーが,7.03へバージョン・アップする必要がある。なお詳細については,関連記事を参考にしていただきたい。
「TechNet Online セキュリティ」ではトピックが2件
「TechNet Online セキュリティ」では,「5 ミニッツ セキュリティ アドバイザ」と,月例のドキュメント「2003 年 2 月 セキュリティ 警告サービス 月刊サマリー」の2件が公開された。
「5 ミニッツ セキュリティ アドバイザ」シリーズは,重要なセキュリティ・トピックや問題を迅速に伝える“助け”とするために,同社が公開しているドキュメントである。
トピックを4種類のレベルに分けて,「5ミニッツ」の名の通りコンパクトに紹介している。現在では20ほどのトピックしか掲載されていないが,今後毎月追加していくという。更新状況を定期的にチェックしておこう。
「2003 年 2 月 セキュリティ 警告サービス 月刊サマリー」は,毎月のセキュリティ情報を登録ユーザーにメールで伝える月刊サマリーをWebページ化したものだ。Webページ化の際に,メールにはない独自情報が追加される場合があるが,今月は特にない。時間がある時にでも,目を通して確認しておけばよいだろう。
マイクロソフト セキュリティ情報一覧
『Windows NT 4.0/NT 4.0, Terminal Server Edition/2000/XP』
◆Windows WM_TIMER メッセージ処理の問題により,権限が昇格する (328310)(MS02-071)
(2003年 3月12日:Windows XP における,この修正パッチを適用すると発生する問題 (814995) に関する注意書きが追記)
(2003年 2月 8日:Windows NT 4.0 および Windows NT 4.0 Terminal Server Edition の特定の環境における,修正パッチの適用で発生する問題を修正した,新しいセキュリティ修正パッチが公開)
(2003年 2月 4日:Windows NT 4.0 および Windows NT 4.0 Terminal Server Edition の特定の環境における,修正パッチの適用で発生する問題が判明。同修正パッチの公開を停止)
(2002年12月12日:日本語情報および日本語版修正パッチを公開,最大深刻度 : 重要)
『Windows 2000/XP』
◆SMB 署名の問題により,グループ ポリシーが変更される (329170) (MS02-070)
(2003年 3月12日:Windows 2000 Professional で,この修正パッチを適用後発生する問題 (814770) について注意書きが追記)
(2003年 1月23日:修正パッチが Windows XP SP1 に含まれていなかったことを公開し,Windows XP SP1 システムに適用する修正パッチが更新)
(2002年12月12日:日本語情報および日本語版修正パッチ公開,最大深刻度 : 警告)
TechNet Online セキュリティ
◆2003 年 2 月 セキュリティ 警告サービス 月刊サマリー
山下 眞一郎(Shinichiro Yamashita)
株式会社 富士通南九州システムエンジニアリング
第一ソリューション事業部ネットソリューション部 プロジェクト課長
「今週のSecurity Check [Windows編]」は,IT Proセキュリティ・サイトが提供する週刊コラムです。Windows関連のセキュリティに精通し,「Winセキュリティ虎の穴」を運営する山下眞一郎氏に,Windowsセキュリティのニュースや動向を分かりやすく解説していただきます。(IT Pro編集部)