受動的攻撃再び〜Webページを見るだけでレジストリを書き換え
| 【国内記事】 | 2001.08.20 |
情報処理振興事業協会(IPA)セキュリティセンターは8月20日,悪意あるJavaスクリプトを埋め込んだWebページにアクセスした後,Windowsマシンが立ち上がらなくなるなどの被害が発生していることを明らかにし,ユーザーに警告を呼びかけている。
これは,ここしばらく話題となっているウイルス(ワーム)が原因ではない。Webブラウザ(Internet Explorer 4/5)やWindows OSに搭載されているJava VM(Virtual Machine)のセキュリティホールを突いて,悪意あるプログラム(スクリプト)をダウンロードさせ,ユーザーのマシンに変更を加えるものだ。こうした攻撃は,一般に受動的攻撃と呼ばれており,過去にもいくつか報告されている(Webブラウザだけでなくメーラーについても被害が及ぶ可能性がある)。
今回の攻撃の問題は,「単にWebページにアクセスしていた」だけにもかかわらず,ユーザーが気づかないうちにJavaスクリプトが実行され,Windowsマシンのレジストリファイルが改変されてしまう点だ。そのページに悪意あるスクリプトが埋め込まれていても,見た目からは判断できない。
もし,Internet Explorerがスクリプトを自動的に実行する設定になっていれば,ユーザーが意識しないうちに複数のレジストリが書き換えられてしまう。結果としてWindowsを終了できなくなるほか,ファイルやアプリケーションを開けなくなったり,デスクトップのアイコンが消えてしまうといった症状が報告されている。
この攻撃は,ファイアウォールやウイルス対策ソフトでは防ぐことができない(ただし,プロキシサーバを利用している場合,攻撃を受ける可能性は低くなる)。
対処としてはまず第一に,マイクロソフトが提供している,Java VMの弱点を修正するパッチを適用することだ。同時に,ブラウザでActiveXコントロールやスクリプトを実行させないように設定を変更する。
次善の策としては,IPAセキュリティセンターも紹介している通り,パーソナルファイアウォールソフトの導入が挙げられるだろう。設定を厳密にしておけば,アクセスしたWebページ内に不審なスクリプトが含まれている場合,それをユーザーに通知してくれる。
Code Red/Code Red IIの蔓延は,セキュリティ管理が行き届いていない,放置されたままのサーバが多く存在しているという事実を白日の下にさらした。今回の被害は,Code Red IIに感染し,裏口を開けたままになっていたサーバが利用され,スクリプトを埋め込まれたことが原因という見方も可能だ。
一般ユーザーはもちろん,注意と上記の対策が必要だが,それ以上にサーバ管理者には注意が必要だ。TripWireなどのツールを用いたシステム整合性のチェック,パッチの適用なども含め,管理下にあるサーバに改ざんが加えられていないか,再度確認する必要があるだろう。
関連リンク
IPAセキュリティセンター「悪意あるJavaスクリプト実行による被害情報」
「Microsoft VMによるActiveXコンポーネントの制御の脆弱性」に対する対策(MS00-075)
[高橋睦美 ,ITmedia]
