マイクロソフトは9月11日,Windowsのセキュリティ・ホールを公開した。これは,「Blaster」ワームなどが悪用したセキュリティ・ホールと同様に“超特大”である。今後も,RPCサービスの実装に関係する“超特大”セキュリティ・ホールが見つかる可能性は高い。パッチが公開される前の“超特大”セキュリティ・ホールを悪用する攻撃――すなわち,「ゼロ・デイ・アタック」――が発生する恐れもある。パッチの適用はもちろん重要だが,可能な限り回避策を施して,未知の“超特大”に備える必要がある。

またもや“超特大”のセキュリティ・ホール

 マイクロソフトが9月11日に公開したのは,以下のセキュリティ・ホールである。

RPCSS サービスのバッファ オーバーランによりコードが実行される (824146) (MS03-039)

 Blasterワームなどが悪用したセキュリティ・ホール「MS03-026」の再来ともいえる,とても危険なセキュリティ・ホールである(関連記事)。

 今回公開されたのは,Windows NT 4.0/2000/XP/Server 2003にデフォルトで実装されている「RPCSS」サービスに見つかった 3種類のセキュリティ・ホールである。RPCSS サービスは,DCOM(Distributed Component Object Model)をアクティブにするための RPC(Remote Procedure Call)メッセージの送受信を処理するサービスである。DCOM とは,ソフトウエア・コンポーネントがネットワーク上で直接通信することを可能にするプロトコル。RPC は,プログラム(プロセス)間通信のためのプロトコルである(用語については,「よく寄せられる質問」 などに詳しい)。

 RPCSS サービスの実装には,メッセージの入力チェックを適切に行わない3種類のセキュリティ・ホールが存在する。このため,細工が施されたPRC メッセージをRPCSS サービスに送信されると,バッファ・オーバーランが発生し,任意のコードを実行させられる可能性がある。

 影響を受けるのは,Windows NT Workstation 4.0/NT Server 4.0/Server 4.0, Terminal Server Edition/2000/XP/Server 2003。Windows Me(Millennium Edition)は,影響を受けない。

 今回のセキュリティ・ホールは,Blasterなどが悪用したセキュリティ・ホール「RPC インターフェイスのバッファ オーバーランによりコードが実行される (823980) (MS03-026)」と同様に,ほとんどのWindowsでデフォルトで稼働している機能(今回は,RPCSS サービス)が対象となる。特別なソフトウエアや機能を組み込んでいなくても影響を受ける。サーバーやクライアントといった利用形態に関係なく影響を受ける。

 さらに,ユーザーが「WebページやHTMLメールを閲覧する」といったアクションをしなくても影響を受ける。マシンをネットワークに接続しているだけで攻撃を受ける可能性がある。守る側からすれば,とても厄介なセキュリティ・ホールであり,まさに“超特大”といえる。影響を受ける仕組みの詳細は「MS03-026」とは異なるが,インパクトは同等といってよい。

既に公開されていた“第3のホール”

 今回公開されたセキュリティ・ホールは,以下の3種類である。

(1)バッファ・オーバーランの脆弱性(CVE-CAN-2003-0715)
(2)バッファ・オーバーランの脆弱性(CVE-CAN-2003-0528)
(3)サービス拒否の脆弱性(CVE-CAN-2003-0605)

 (1)と(2)については,前述のようにWindows NT 4.0/2000/XP/Server 2003が影響を受けるが,(3)については Windows 2000だけが影響を受ける。

 今回のセキュリティ・ホールはそれぞれ誰が発見したのか。それを知るために,セキュリティ情報の「謝辞」の項を見てみよう。

 まず,(1)の「バッファ・オーバーランの脆弱性」を発見したのは「eEye Digital Security」であることが分かる。(2)の「バッファ・オーバーランの脆弱性」を発見したのは「NSFOCUS Security Team」である。「Tenable Network Security」の Xue Yong Zhi 氏とRenaud Deraison 氏は同セキュリティ・ホールの解析などでMicrosoftを支援したとされる。

 日本語のセキュリティ情報には明示されていないが,オリジナルである英語のSecurity Bulletinには「for reporting the buffer overrun vulnerabilities and working」と記載されているように,各社各氏からは,マイクロソフトへ事前報告や協力があったことが分かる。このことから,(1)と(2)については,セキュリティ情報の公開前に,このセキュリティ・ホールが悪用されている可能性は小さいと考えられる。

 マイクロソフトからセキュリティ情報やパッチが公開された後,eEye Digital Securityは「Microsoft RPC Heap Corruption Vulnerability - Part II」,NSFOCUS Security Teamは「Microsoft Windows RPC DCOM Interface Heap Overflow Vulnerability(SA2003-06)」,Tenable Network Securityは「TENABLE ALERT: MICROSOFT SECURITY BULLETIN - MS03-039」として,それぞれレポートを公開した。

 (3)については,「謝辞」の項では言及されていない。つまり,マイクロソフトへの事前報告や協力はなかった。実は,(3)については「Xfocus」から「Microsoft Windows 2000 RPC DCOM Interface DOS AND Privilege Escalation Vulnerability」として,7月25日に公開されていた。このレポートには,セキュリティ・ホールの存在を証明するためのコード――いわゆる“concept codes”――が添付されていた。つまり,7月25日の時点でconcept codesも公開されていたセキュリティ・ホールに対するパッチが,ようやく公開されたのだ。

 Xfocusとは,中国で1998年に設立されたグループで,自らを非営利的で自由な技術組織(a non-profit and free technology organization)と位置付けている。Xfocusは,同じく7月25日に「The Analysis of LSD's Buffer Overrun in Windows RPC Interface」というレポートを公開して,セキュリティ業界に衝撃を与えた。

 これは,「The LSD Research Group(The Last Stage of Delirium Research Group)」が発見した“超特大”のセキュリティ・ホール「MS03-026」を分析したレポートである。レポートにはExploitコードも含まれている。レポートと同じ内容は,複数のセキュリティ関連メーリング・リストにも投稿された。

 「MS03-026」を発見したThe LSD Research Groupは,このセキュリティ・ホールの影響を重く見て,その詳細を明らかにしなかった(関連記事)。しかし,マイクロソフトから「MS03-026」が公開された7月16日(米国時間)から9日後には,Xfocusから詳細なレポートとExploitが公開されたのだ。

 米国時間8月11日以降出現したBlasterおよびその亜種などは,このときに公開されたExploitをベースにしていると考えられる。

 以上のように,「MS03-026」については,セキュリティ・ホールが公開されてから,およそ10日後にExploitが公開され,その20日後にはワームが出現したのである。今後,それぞれの間隔はどんどん短くなっていくだろう。

 今回の「MS03-039」に関しては,マイクロソフトがセキュリティ情報とパッチを公開したのとほぼ同時に,前述のようにeEye Digital Securityが詳細な技術レポートを公開している。このため,「MS03-026」よりも短時間のうちに,Exploitならびにワームが公開(出現)する可能性が高い。クライアントも含めて,すべてのWindowsマシンへのパッチ適用を徹底する必要がある。

ゼロ・デイ・アタックの可能性大

 今回公開された「MS03-039」対策を施すことはもちろん重要だが,話はそれだけには留まらない。「MS03-026」からほどなくして「MS03-039」が公開されたことから,今後も(広義の)RPC関連のセキュリティ・ホールが見つかる可能性が高いことが明らかになったといえる。そして,「MS03-026」や「MS03-039」のように,パッチが公開されるまでExploitやワームが出現しないとは限らない。セキュリティ・ホール情報やパッチが公開される前に,新たな“超特大”のセキュリティ・ホールを悪用する攻撃――いわゆる,「ゼロ・デイ・アタック(Zero Day Attack)」――が発生する可能性があるのだ。

 「MS03-026」や「MS03-039」といったPRC 関連のセキュリティ・ホールは,攻撃者にとって“理想的”なセキュリティ・ホールである。ほとんどのWindowsがデフォルトで(「デフォルト・セキュア」をうたっているWindows Server 2003も例外ではない),ネットワークに接続しているだけで,システムを乗っ取られるような攻撃を受けるセキュリティ・ホールだからだ。

 当然,攻撃者はもちろん,セキュリティ・ベンダーや研究者など,セキュリティに携わる多くの人の興味の対象となるので,「MS03-026」以降,類似のセキュリティ・ホールは近いうちに発見されるだろうと,筆者は予想していた。そして予想通り,「MS03-039」が公開された。

 「MS03-039」が公開されたのは9月10日(米国時間)であるが,セキュリティ・ホールの報告を受けてから,詳細を明らかにするのに要した時間,加えて,パッチの作成や検証に必要だった時間を考えれば,セキュリティ・ホール自体は,もっと早くに発見されていたと考えられる。

 実際,「MS03-039」の(3)「サービス拒否の脆弱性」については,Xfocusから7月25日の時点で,その詳細とconcept codesが公開されていた。(1)および(2)の「バッファ・オーバーランの脆弱性」がアンダーグラウンドで発見されて,誰にも知らされることなくゼロ・デイ・アタックが行われていた可能性もあったのだ。

 パッチが公開されているセキュリティ・ホールをふさぐことはもちろんのこと,ゼロ・デイ・アタックを防ぐために,RPC関連の未知のセキュリティ・ホールにも対応可能な回避策を採ることが不可欠なのである。幸い,「MS03-026」や「MS03-039」の回避策は基本的に共通であり,RPC関連の未知のセキュリティ・ホールに対しても,かなりの確度で有効だと考えられる。

 具体的な回避策は,「よく寄せられる質問 : マイクロソフトセキュリティ情報(MS03-039)」「Blaster に関する情報」の回避策の項が参考になる。攻撃を受けてからでは遅い。ゼロ・デイ・アタックは発生するものだと考えて,万全の備えが必要だ。

「MS03-039」の危険性を強調した警告を

 Blasterワームなどの蔓延で反省したためか,マイクロソフトでは,今回の「MS03-039」について異例の対応をしている。内容は,以下の3点である。

 (1)2003年6月30日で延長サポートが終了した「Windows NT Workstation 4.0」も影響を受けることを明示し,併せて修正パッチを公開した
 (2)サポートが終了しているWindows 2000 Service Pack(SP)2 にもパッチを適用できることを明示した
 (3)「MS03-039」のパッチを適用していないシステムを調べるツール(KB824146scan.exe)を公開した

 これらについては「MS03-026」においても実施したが,いずれもワームが蔓延した後のことである。ところが今回は,セキュリティ情報の公開と同時に実施した。

 さらに,「マイクロソフト サポート技術情報 824146 - [MS03-039] RPCSS サービスのバッファ オーバーランによりコードが実行される」では,サポートの対象外の製品に関しても,例外的に影響度を言及している。具体的には,Windows 95/98/98 Second Edition に関しては,DCOMをインストールしていても(デフォルトではインストールされていない),今回のセキュリティ・ホールに関係する機能は含まれていないために,影響を受けないことを記している。

 以上の対応については評価できる。しかし,ユーザーへの「MS03-039」に関する告知の状況については不十分だといわざるを得ない(以下,いずれも9月15日時点の状況)。

 「セキュリティ情報センターのご案内」「セキュリティ スクエア」には,「MS03-039」について注意を呼びかけるような記述はない。

 「マイクロソフト セキュリティ」では,「Important Announcements」として,今回の「MS03-039」「Office をご利用の皆様 : Office のアップデートを実行する」「Blaster に関する情報」のリンクを紹介するに留めている。

 「TechNet セキュリティ センター」では,「Blaster に関する情報 (8/12 公開)」などと並べて,「重要」の赤いメッセージ付きで「MS03-039」を記載している。

 「マイクロソフト セキュリティ」と「TechNet セキュリティ センター」のページを見れば,確かに「MS03-039」は目に付く。重要そうであることは分かる。しかし,いくつか公開されているパッチや情報の一つという感は否めない。

 一方 米Microsoftでは,「TechNet Security」(「TechNet セキュリティ センター」に相当すると考えられる)などのページにおいて,「Action: Install New Security Patch Immediately」(アクション:新しいセキュリティ・パッチをすぐにインストールせよ)というキャッチ・コピーと共に,Windows NT 4.0/2000/XP/Server 2003のユーザーに「MS03-039」のパッチをすぐに適用するよう促している。これならば,「MS03-039」が特に重要なセキュリティ・ホールであることが明白である。

 マイクロソフトが今回の「MS03-039」を,Blasterなどが悪用した「MS03-026」と同じように“超特大”であると認識するのなら,Microsoft同様,「MS03-039」の重要性が一目でわかるような積極的な告知をお願いしたい。

“お勧め”設定でIEのホールを回避

 上記以外のWindows関連セキュリティ・トピックス(2003年9月15日時点分)については,スペースの都合上,詳細は割愛する。各プロダクトごとにまとめたリンクを記事末に記したので,参考にしてほしい。IT Proでも関連記事をいくつか掲載している。それぞれの詳細については,リンク先の情報やIT Proの過去記事を確認していただきたい。

 特に,8月21日に公開された「Internet Explorer 用の累積的な修正プログラム (822925) (MS03-032)」では,修正パッチが「オブジェクト・タグの脆弱性」を適切に修正しないという情報が追加されているので要確認である(関連記事)。

 このコラムでもたびたび紹介している「Unpatched IE security holes」では,この 「オブジェクト・タグの脆弱性」を含めて,9月だけでも9件の未対応(パッチ未公開)のセキュリティ・ホールがリストアップされている。

 特に,「Media bar ressource injection」としてリストアップされているセキュリティ・ホールは深刻である。細工が施されたWebページをInternet Explorer(IE)で閲覧すると,任意のコードを実行させられる恐れがある。IEのセキュリティ設定において,「スクリプト」の「アクティブ スクリプト」を無効にすれば回避できる。

 「アクティブ スクリプト」の無効にすることは,過去に筆者が解説した「IEを使い続けるための“お勧め”設定」の一つである。“お勧め”設定を参考にして,未対応のセキュリティ・ホールの影響を回避してほしい。

 Windows XPユーザーは,マイクロソフトが公開した「Windows XP Service Pack 1 適用のお願い - Windows XP 初期出荷版(SP1 未適用製品)向け修正プログラム提供終了のお知らせ」にも注意したい。同社では,Windows XP SP1未適用で出荷したパソコン向けの新規パッチの提供を終了するという。ただし,Windows XP SP1 を含む,2003年 9月3日までに公開済みのパッチは引き続き提供する。



マイクロソフト セキュリティ情報一覧

『Windows NT Workstation 4.0/NT Server 4.0/Server 4.0,Terminal Server Edition/2000/XP/Server 2003』
RPCSS サービスのバッファ オーバーランによりコードが実行される (824146) (MS03-039)
 (2003年 9月11日:日本語情報および日本語版パッチを公開,最大深刻度 : 緊急)

『NT Server 4.0/NT Server 4.0, Terminal Server Edition/2000/XP/Server 2003』
NetBIOS の問題により,情報が漏えいする (824105) (MS03-034)
 (2003年 9月 4日:日本語情報および日本語版パッチを公開,最大深刻度 : 注意)

『IE 5.01/5.5/ 6/6 for Windows Server 2003』
Internet Explorer 用の累積的な修正プログラム (822925) (MS03-032)
 (2003年 9月 9日: パッチが 「オブジェクト タグの脆弱性を適切に修正しないことを追記)
 (2003年 8月29日:再起動に関する詳細な情報を追記)
 (2003年 8月26日:Windows XP 用パッチの ASP.NET に関する問題を追記)
 (2003年 8月25日:「警告」欄に 827641 の情報を追記)
 (2003年 8月21日:日本語情報および日本語版パッチを公開,最大深刻度 : 緊急)

『MS Office アプリケーション,Visual Basic for Applications SDK 5.0/6.0/6.2/6.3』
Visual Basic for Applications の問題により,任意のコードが実行される (822715) (MS03-037)
 (2003年 9月 4日:日本語情報および日本語版パッチを公開,最大深刻度 : 緊急)

『MS Office,FrontPage,Publisher,Works Suite』
WordPerfect コンバータのバッファオーバーランにより,コードが実行される (827103) (MS03-036)
 (2003年 9月10日:Office 97/Word 98 日本語版用パッチを公開)
 (2003年 9月 5日:Office XP の管理者用アップデートのリンクを追加)
 (2003年 9月 4日:日本語情報および日本語版パッチを公開,最大深刻度 : 重要)

『MS Word 97/98/2000/2002,Works Suite』
Microsoft Word の問題により,マクロが自動的に実行される (827653) (MS03-035)
 (2003年 9月10日:Word 97/Word 98 日本語版用パッチを公開)
 (2003年 9月 4日:日本語情報および日本語版パッチを公開,最大深刻度 : 重要)

『MS Access 97/2000/2002』
Microsoft Access Snapshot Viewer の未チェックのバッファにより,コードが実行される (827104) (MS03-038)
 (2003年 9月 4日:日本語情報および日本語版パッチを公開,最大深刻度 : 警告)

TechNet Online セキュリティ

2003 年 8 月 セキュリティ 警告サービス 月刊サマリー

Windows XP Service Pack 1 適用のお願い - Windows XP 初期出荷版(SP1 未適用製品)向け修正プログラム提供終了のお知らせ (2003年 9月 5日)


山下 眞一郎(Shinichiro Yamashita)
株式会社 富士通南九州システムエンジニアリング
第一ソリューション事業部ネットソリューション部 プロジェクト課長
yamaアットマークbears.ad.jp


 「今週のSecurity Check [Windows編]」は,IT Proセキュリティ・サイトが提供する週刊コラムです。Windows関連のセキュリティに精通し,「Winセキュリティ虎の穴」を運営する山下眞一郎氏に,Windowsセキュリティのニュースや動向を分かりやすく解説していただきます。(IT Pro編集部)