社内にあるIISのぜい弱性を調べたい

日経オープンシステム

2001.11.26

Q 質問 Nimdaワームの流行もあり，セキュリティ管理の必要性を感じています。ユーザー部門が独自に構築したIISを発見し，パッチの適用状況を調べる方法はないでしょうか。

A 回答 無償ツールを利用して，パッチの適用状況まで分かります

図1●Nimdaの感染手法
サーバーやクライアントのセキュリティ・ホールへの攻撃や，ファイルの複製による感染など多岐にわたる

　まず，Nimdaワームの感染手段を確認し，IIS（Internet Information Server/Services）が稼働するサーバーに施すべき対策を押さえます。次に，社内で稼働するIISを発見する手法「ポート・スキャン」を解説し，Nimdaワームが感染する恐れがあるサーバーのぜい弱性を調査します。

多様な感染手段を持つNimda

　2001年9月18日にマイクロソフトのポータル・サイトで確認されたNimdaワームは，世界的な被害をもたらしました。トレンドマイクロによれば，この10月1日までに，全世界で少なくとも170万台のマシンが感染しました。

　日経オープンシステム10月号のオープンレポート「解説●最悪のワームNimdaの教訓」（pp.96-98）でも報じたように，Nimdaは多様な感染手段を持ちます（図1[拡大表示]）。簡単にまとめると，（1）WWWサーバーのセキュリティ・ホールへの攻撃，( 2)共有フォルダへ自分自身をコピー，(3)アドレス帳に登録されたあて先へ自分自身を送付，(4)感染したWWWサーバーにアクセスするWWWブラウザのセキュリティ・ホールを攻撃――の4種類になります。クライアントとサーバーの両方で，それぞれの感染手段に応じた対策を施す必要があります。

　ここではサーバーへの対策を確認しましょう。対象となるOSとWWWサーバーは，Windows NT 4.0/2000で稼働するIIS 4.0/5.0です。NimdaはIISの複数のセキュリティ・ホールを悪用します。これらのセキュリティ・ホールをふさぐには，マイクロソフトが提供する「IIS 用の累積的な修正プログラム」（文書番号MS01-044）を適用し，以前流行した「sadmind/IIS」ワームや「Code Red zK」ワームが残したバックドア・ファイルを削除します。

ポート・スキャンでサーバーを発見

表1●IISサーバー検出に利用できるツールの例

　社内で稼働するすべてのIISが管理下にあれば，先の対策は実施しやすいでしょう。しかし，特にシステム・インテグレータのような業種では，テストなどを目的として管理下にないIISが稼働していることがあります。このような環境では，管理者が積極的にぜい弱性のあるサーバーを発見し，パッチの適用を推進する必要があります。

　一般に，このようなサーバーを発見するためには「ポート・スキャン」と呼ぶ手法を利用します。IPアドレスの範囲を指定すれば，実際にパケットを送信，その返答を見て，マシンの存在と，そのマシンが開いているポート，すなわち提供するサービスを表示します。ポート・スキャンを実行するツールを「ポート・スキャナ」と呼びます。

　代表的なポート・スキャナにLinuxなどで動作する「nmap」があります（表1[拡大表示]）。どのIPアドレスで，どのポートが開いているかを報告します。またTCP/IPの細かい解釈の違いなどから，OSのバージョン推定も可能です。例えばOSが「Microsoft Windows NT 4.0」で，HTTPが利用するポート80番が開いていれば，IISが稼働している可能性が高いと判断できます。

パッチ適用の有無もチェックする

写真1●Nimda Scannerの実行結果

　Code RedやNimdaのようなワームが大流行したことで，ポートをスキャンするだけでなくパッチが適用されているか否かもチェックできる無償ツールが現れ始めました。米eEye Digital Securityの「Nimda Scanner」や，マイクロソフトの「HFNetChk」です。Nimda Scannerは，GUI画面でIPアドレスの範囲を指定すると，ポート・スキャンを実施してIISが稼働するサーバーを調査し，更にそのIISにどのようなセキュリティ・ホールがあるかを指摘します（写真1[拡大表示]）。

　HFNetChkはコマンド・ラインで実行します。実行時に指定するパラメータはNimda Scannerとほぼ同様です。セキュリティ・ホールを発見した場合，そのサーバーのIPアドレスなどと，適用すべきパッチを報告します。

　編集部で試用したところ，どちらも実行速度に大差ありませんでした。インストールはそう面倒ではないので両方試してみるのもよいでしょう。

ポート・スキャナは安易に使わない

　なお，このようなポート・スキャナの使用は社内にとどめるべきでしょう。というのは，クラッカが特定のサイトを攻撃しようとする場合，まずポート・スキャナで相手サイトを調査することが多いからです。ポート・スキャンを受けた事実は，マシンに残るエラー・ログなどから相手に知られる場合があります。ポート・スキャンを受けた企業が，これをしかけてきた組織に不信感を持つのは当然です。興味本位でインターネット上にある他社のセグメントをポート・スキャナで探るような行為は慎みましょう。