3月上旬のことであるが,コンピュータのセキュリティに関する調査機関CERT(Computer Emergency Response Team)は,Windowsの共有フォルダからの搾取に関して警告を公表した(該当サイト)。CERTが受け取っている被害報告の中でも,Windows XPとWindows 2000の共有に対する不正侵入の被害件数が増え続けている。原因は,Administrator権限に破られやすいパスワードを設定したことによる。これにより,数多くのシステムが侵入の危険にさらされている。
CERTによれば,最近の不正侵入には「W32/Deloder」「GT-bot」「sdbot」「W32/Slackor」などといったツールが使われるケースが多いという。これらのツールは,だませるシステムを探すため,自動的にネットワークを走査できる。その結果,こうしたツールが無数のシステムに対して,急速に使われることになった。攻撃者は,乗っ取ったシステムを将来,分散型サービス拒否(DDoS)のような攻撃のために使ったり,あるいは侵入して極悪非道な活動をしたりするために使える。
ポート445をスキャン
W32/DeloderとW32/Slackorは,TCP/IP上のサーバー・メッセージ・ブロック(SMB)セッションを処理するポート445を使って,システムを走査する。W32/Deloderは,乗っ取ったシステムのデスクトップを遠隔地にいる侵入者から見えるようにするバーチャル・ネットワーク・コンピューティング(VNC)ツールを含む。4つのツールすべてを使えば,インターネット・リレー・チャット(IRC)によって,遠隔地にいる侵入者が乗っ取ったシステムを制御できるようになる。GT-botとsdbotはともに,DDoS攻撃を容易にする機能を備えている。CERTの勧告では,これらのツールの部品も含めて解説しており,あなたのシステム上でどうやってそれらを発見するかという助言を提供している。
システムへのリモート・アクセスを使うと,侵入者は予想可能な多くの活動ができる。ポート445をターゲットにした大量のトラフィックに気付いたら,そのトラフィックの源がどこかを調べることを考えたほうがよさそうだ。それは乗っ取られたシステムからきているのかもしれない。CERTは,例えばもしあるシステムをファイル・サーバーとして使わないのなら,そのシステムには共有ポイントを持たせるべきではなく,さらにこのような共有は非サーバー・システム上ではすべて無効にしておくべきだと助言している。CERTの助言は,Windows XPとWindows 2000上にある管理用の隠し共有を止めることも含んでいる。
ありきたりだが,強度の高いパスワードにする
CERTが勧めているのは,セキュリティの専門家が長い間強調してきたことと同じだ。強度の高いパスワードにすること,ウイルス対策ソフトとファイアウオールを入れること,望まないネットワーク・トラフィックを抑制するingressとegressフィルタリングを使うこと,そしてあなたが信頼しないプログラムを決して起動しないことだ。
CERTの勧告は,いつもと同様に適切である。そのアドバイスに従うことに加えて,適当なセキュリティ・スキャナと,Microsoftや他のサード・パーティ企業がシステムのセキュリティを調べるために公開しているセキュリティ・チェックリストを必ず使うべきだ。以下のURLでMicrosoftのチェックリストとガイドを見られる。
http://www.microsoft.com/technet/security/tools/tools.asphttp://www.microsoft.com/technet/security/prodtech/
そして,今更ながら共有フォルダを攻撃する「Code Red F」と呼ばれるCode Redワームの亜種には気を付けるべきだ(該当サイト)。今までCode Redに感染を予防するにはシステムにパッチを適用するべきだった。もしまだなら,IIS(Internet Information Services)のパッチを当てよう。同じくWebDAV(WWW Distributed Authoring and Versioning)に関するセキュリティ上の弱点のニュースをチェックしておこう(該当サイト)。
