米国時間8月11日以降,Windowsのセキュリティ・ホールを悪用するワーム「Blaster(MSBLAST,Lovsan)」が,世界的に感染を拡大した。ワームが悪用するセキュリティ・ホールは,その公開当初から,このコラムで“超特大”と警告し,ワームの出現を予想したのをはじめ,各ベンダーや組織は注意を呼びかけていた(関連記事)。そのおかげもあって,Blasterの被害を回避できた組織や個人は多いようだ。
しかし,Blasterの被害を回避できたからといって喜んではいられない。“超特大”のセキュリティ・ホール「RPC インターフェイスのバッファ オーバーランによりコードが実行される (823980) (MS03-026)」をきちんとふさがなければ,根本的な解決とはならない。たとえ,今回Blasterの被害に遭わなくても,今後出現するであろう第2,第3のBlasterの餌食になる。
「今さら言われなくても,きちんと対策した」と言われる方も多いだろうが,本当にそうだろうか。“超特大”のセキュリティ・ホールに関する情報は随時更新されている。当初は明記されなかったものの,現在では影響を受けることが明らかにされたOSが存在する。当初は有効だとされていた対策の中には,現在では環境によっては効果がないことが明らかになったものが存在する。
そこで今回のコラムでは,“超特大”のセキュリティ・ホールに関する最新情報(2003年8月17日現在)と,最新情報をチェックする方法を紹介する。
情報は随時更新されている
まずは,“超特大”のセキュリティ・ホール(Blasterが悪用するセキュリティ・ホール,「MS03-026」)に関する質問を用意したので,それぞれが正しいかどうか考えていただきたい。特に,「既に対策済みだ」と胸を張る方に考えていただきたい。
(質問1)Windows NT 4.0 Workstationが影響を受けるかどうかは不明である
(質問2)回避方法の一つは,UDP ポート 135/137/138 および TCP ポート 135/139/445をブロックすることである
(質問3)回避方法の一つは,「Dcomcnfg.exe」コマンドでDCOM を無効にすることである
いずれの質問に対しても「正しい」と答えた方は,マイクロソフトの情報をきちんと読んでおられるだろう。しかし,あなたが読んだのは古い情報である。確かに,8月12日に公開された「Blaster に関する情報」に基づけば,いずれも「正しい」。しかし,原稿執筆時点(8月17日)では情報が更新されている。いずれも正しいとはいえない。
NT Workstation 4.0 は影響を受けるか?
まず,Windows NT Workstation 4.0 が影響を受けるかどうかについて説明する。結論から言うと,Windows NT Workstation 4.0 も影響を受けることが明らかになっている。
これに関して,マイクロソフトはユーザーをミス・リードしたといえるだろう。というのも,当初公開されたセキュリティ情報には,「影響を受ける恐れのある製品」の「Microsoft Windows NT」の項に,「Windows NT Server 4.0」と「Windows NT Server 4.0, Terminal Server Edition(TSE)」しか記載しなかったからだ。
「『延長サポート』が終了した製品については,サポート対象外なので『テストされておらず,影響を受けるかどうか分からない』とする」というマイクロソフトの立場は理解できる。Windows NT Workstation 4.0 は延長サポートが終了しているので,「影響を受ける恐れのある製品」に含めなかったということも分かる。
しかし,すべてのユーザーがそのことを理解しているとは考えにくい。特に,2003年6月30日に延長サポートが終了したばかりの NT Workstation 4.0 のユーザーに対しては,マイクロソフトの真意は伝わっていないと考えるほうが自然だ。
「影響を受ける恐れのある製品」として,Windows NT Server 4.0(および NT Server 4.0,TSE)が明示的に書かれているのを見れば,「NT Workstation 4.0 は影響を受ける恐れがないということなんだな」と考えるのは,極めて自然な反応だといえよう。
マイクロソフトが公開した情報は,“一次情報”として,他の組織が参考にする。このため,この情報に基づいてさまざまな組織からアナウンスされた情報の多くには,影響を受ける恐れがある製品として「Windows NT Workstation 4.0」が明記されることはなかった。
筆者の知人の中にも,パソコンにある程度詳しいにもかかわらず,Windows NT Workstation 4.0は影響を受けないと思い込んでいた人が数多くいて驚いた。マイクロソフトの情報は,確実にユーザーをミス・リードしていたのだ。
パッチを用意できなくても,回避方法は存在する。しかも,Blasterは世界的に感染を拡大していた。ユーザーとしては,せめて「Blaster に関する情報」を公開した8月12日に,「Windows NT Workstation 4.0 も 影響を受ける」と明示してほしかった。
一方,米Microsoftはというと,同じセキュリティ・ホールに関する英語情報(Security Bulletin)である「MS03-026 Buffer Overrun In RPC Interface Could Allow Code Execution (823980)」では,「Affected Software」(影響を受けるソフトウエア)として,公開当初から「Windows NT 4.0」としていた。“Server”とは明記していなかった(関連記事)。なお,英語情報(Security Bulletin)がオリジナルで,マイクロソフトが公開する「セキュリティ情報」は,“基本的”には「Security Bulletin」の和訳である。
つまり英語情報では,明示していなかったものの,このセキュリティ・ホールについては例外的に,NT Workstation 4.0も影響を受けることを暗に示したと考えられる。その証拠に,NT Workstation 4.0の延長サポート終了後に公開された他のセキュリティ・ホールについては,「Affected Software」として「Windows NT 4.0」と書かれたことはなかった。NT Workstation 4.0は「影響を受けるかどうか分からない」という扱いになっており,NT Server 4.0だけが明記された。
例えば,ほとんどすべてのWindowsが影響を受ける「HTML コンバータのバッファ オーバーランにより,コードが実行される (823559) (MS03-023)」の英語情報では,NT Workstation 4.0は 影響を受けるかどうか分からないとして,「Affected Software」には「Windows NT 4.0 Server」と記載している。あくまでも筆者の推測ではあるが,「MS03-026」については,NT Workstation 4.0も影響を受けることを伝えるために,あえて「Windows NT 4.0」としたと考えられる。
マイクロソフトの“英断”
ところがその後,マイクロソフトは方針を変えた。8月14日,「影響を受ける恐れのある製品」に Windows NT Workstation 4.0 を加えたのだ。さらに,NT Workstation 4.0用修正パッチも公開した。延長サポートが終了した製品に対するパッチの一般公開は今までなく,極めて異例の処置といえる(個別対応は過去にもあった)。今回の処置があくまで特例だとしても,筆者としては,“英断”であるといいたい。
正直言って,今回の NT Workstation 4.0 のパッチ公開は筆者の予想を超えていた。よくて,「NT Workstation 4.0も影響を受ける」といった,情報の更新(追加)にとどまると考えていたからだ。“英断”と評した理由はここにある。ちなみに,NT Workstation 4.0用パッチは,NT Server 4.0用パッチと共通のようである。
今回のNT Workstation 4.0用パッチに関する情報は,マイクロソフト独自のものである。米Microsoftの英語情報には,マイクロソフトからのアナウンス時点では記載されていなかった。米国時間8月15日に,日本語情報の“後追い”で,NT Workstation 4.0用パッチをアナウンスした。当初はミス・リードしたものの,8月14日の対応は十分評価できるだろう。
回避策も更新,TCP 593もブロックすべき
更新されているのは,NT Workstation 4.0 に関する情報だけではない。「質問2」と「質問3」にある,回避方法(回避策)に関する情報も更新されている。このため,質問2と質問3は,現在では,いずれも「正しい」とはいえないのである。
なお,ここで「回避策」とは,「パッチを適用できない環境において,あるいはパッチを適用するまでの間,セキュリティ・ホールの影響を最小限に抑える方法」のことである。「回避策を実施すれば,パッチを適用しなくてもよい」ということではない。根本的な解決には,パッチの適用が不可欠である。また,パッチの適用と回避策の両方を実施することで,よりセキュアになることは言うまでもない。可能な限り,両方を実施すべきである。
さて,回避策について更新(追加)されたのは,以下の3点である。
(a)FAQ(「よく寄せられる質問」や「よくある質問と回答」)の「回避策」の「ポートをブロックする」に関して,遮断すべきポートに「TCP 593 (HTTP RPC Endpoint Mapper) 」を追加 [8月13日]
(b)FAQの「回避策」の「DCOM を無効にする」に関して,Windows 2000 では,Service Pack 2 またはそれ以前のバージョンを使用している場合,従来アナウンスされてきた「DCOM を無効にする」という回避方法は効果がないという注意を追加 [8月13日](関連記事)
(c)FAQの「回避策」に「COM Internet Services (CIS) または RPC over HTTP を無効にする」必要があることを追加(ただし,これらはデフォルトでは無効になっている。有効にしているユーザーだけが対応すればよい)[8月13日]
(a)と(b)で,「質問2」と「質問3」が現在では正しくないことが分かっていただけただろう。
更新されたのはこれらだけではない。
(d)Windows 2000に関して,Windows 2000 Service Pack 2 にも「MS03-026」パッチが適用可能であることを追加 [8月13日]
(e)「KB 823980 Scanning Tool」というMicrosoftのツールを使えば,「MS03-026」パッチが適用されていないシステムをスキャン可能であることを追加 [8月15日](関連記事)
パッチを適用できないために回避策のみで対応している組織(ユーザー)は,(a)~(c)に特に注意する必要がある。(a)についていえば,Blasterと同じTCP 135ではなく,TCP 593を狙うワームが出現する可能性があるからだ。Blasterの感染を防げても,情報の更新に気付かず TCP 593を開けたままにしていると,新ワームの感染を許すことになる。システム管理者は,最新の情報に必ず目を通してほしい。
最新情報はどこでチェック?
以上のように,「情報の更新が続いていること」「更新情報にはとても重要なものが含まれていること」――が分かっていただけたかと思う。Blasterが防げたとしても,絶えず最新の情報を入手しなくてはいけないのだ。
“超特大”のセキュリティ・ホール「MS03-026」に関する更新情報は,「Blaster に関する情報」に掲載される。半日程度遅れる場合があるものの,セキュリティ情報で更新された情報は確実に反映されているので,このページにアクセスすれば最新情報を入手できる。
加えて,「Blaster に関する情報」にしか記載されていない情報もあるので,このページにアクセスすることをお勧めする。
例えば,「Blaster に関する情報」には,「影響を受ける恐れのある製品」に「Windows NT Server, Enterprise Edition 4.0」が含まれているが,「MS03-026」のセキュリティ情報には記載されていない(2003年8月17日現在)。また,「Blaster に関する情報」には,「影響を受けない製品」に,延長サポートが終了した「Windows 98/98 Second Edition (SE)」が含まれるが,「MS03-026」のセキュリティ情報には明記されていない。
「Blaster に関する情報」が更新されているかどうかは,「更新履歴」のページにまとめられている。また,「MS03-026」のセキュリティ情報については,ページ末尾に「更新履歴」が記載されているので,参考になる。
「Blaster に関する情報」や「MS03-026」のセキュリティ情報だけではなく,対策方法をOSごとに図解した「Blaster ワームへの対策 - Windows XP 編」や「Blaster ワームへの対策 - Windows 2000/Windows NT 4.0 編」,8月17日に公開された「Blaster ワームの亜種にご注意ください」なども,参考になるとともに,今後更新される可能性があるので,継続的にチェックしたい。
もちろん,重要な更新情報があれば,このコラムでも随時取り上げるので,参考にしていただきたい。
最後に,最近筆者の都合で「今週のSecurity Check [Windows編]」を休載していたために,本コラムで紹介していないセキュリティ・トピックスが“積み残し”となっている。しかし,スペースの都合でそれぞれについての解説は割愛させていただく。お許しいただきたい。記事末に,プロダクトごとに分けた,セキュリティ・トピックス(2003年8月17日時点分)のリンクをまとめたので,そちらを参考にしていただきたい。また,IT Proなどではそれぞれの関連記事を掲載している。そちらも参考にしていただきたい。
マイクロソフト セキュリティ情報一覧
『Windows NT/2000/XP/2003』
◆RPC インターフェイスのバッファ オーバーランによりコードが実行される (823980) (MS03-026)
(2003年 8月15日:スキャン ツールに関する情報を追加)
(2003年 8月14日:修正パッチの対象プラットフォームに Windows NT Workstation 4.0 を追加)
(2003年 8月13日:修正パッチの Windows 2000 SP2 でのサポートに関する情報および「回避策」の情報を追加)
(2003年 8月13日:DCOM を無効にする方法に関する情報を「回避策」欄に追加)
(2003年 7月19日:「問題を緩和する要素」と「回避策」にポートの情報を追加)
(2003年 7月17日:日本語情報および日本語版パッチ公開,最大深刻度 : 緊急)
『すべてのWindows』
◆DirectX の未チェックのバッファにより,コンピュータが侵害される (819696) (MS03-030)
(2003年 7月24日:日本語情報および日本語版パッチ公開,最大深刻度 : 緊急)
『Windows NT Server 4.0』
◆Windows の機能の問題により,サービス拒否が起こる (823803) (MS03-029)
(2003年 8月14日:Windows NT Workstation 4.0 環境で,Windows Update によって Windows NT Server 4.0 用パッチが適用される問題が解決したことを「警告」欄に追加)
(2003年 8月14日:RRAS を実行している環境で発生する問題を修正する Windows NT Server 4.0 用パッチを公開)
(2003年 8月 7日:Windows NT Workstation 4.0 環境で,Windows Update によって Windows NT Server 4.0 用パッチが適用される問題を「警告」欄に追加)
(2003年 7月30日:RRAS を実行している環境にパッチを適用すると問題が発生することを追加)
(2003年 7月24日:日本語情報および日本語版パッチ公開)
『SQL Serve 7.0,SQL Server 2000,MSDE 1.0,MSDE 2000,SQL Server 2000 Desktop Engine 』
◆Microsoft SQL Server 用の累積的な修正プログラム (815495) (MS03-031)
(2003年 7月24日:日本語情報および日本語版パッチ公開,最大深刻度 : 重要)
TechNet Online セキュリティ
◆2003 年 7 月 セキュリティ 警告サービス 月刊サマリー
山下 眞一郎(Shinichiro Yamashita)
株式会社 富士通南九州システムエンジニアリング
第一ソリューション事業部ネットソリューション部 プロジェクト課長
「今週のSecurity Check [Windows編]」は,IT Proセキュリティ・サイトが提供する週刊コラムです。Windows関連のセキュリティに精通し,「Winセキュリティ虎の穴」を運営する山下眞一郎氏に,Windowsセキュリティのニュースや動向を分かりやすく解説していただきます。(IT Pro編集部)
