エンタープライズ:ニュース 2003/07/28 20:30:00 更新


備えあれば憂いなし――Windows RPCのセキュリティホールへの対処策

この3週間で公開されたWindows関連のセキュリティホールの中でも、Windows RPC DCOMのセキュリティホール(MS03-026)は深刻な問題だ。この問題に、ユーザーとして、また管理者としてどう対処すべきだろうか?

 この3週間のうちに相次いで、Windows関連のセキュリティホールが明らかにされた。中でも、2週間前に公開されたWindows RPC DCOMのセキュリティホール(MS03-026)は深刻な問題だ。ほとんどのWindowsプラットフォームに影響を与えるだけでなく、悪用も容易といい、現にこのセキュリティホールを利用する脆弱性実証コードが公にされた。これを悪用したワームが登場する可能性も懸念されている。

 ではこうした問題に、ユーザーとして、また管理者としてどう対処すべきだろうか?

 まずは、Windows Updateを利用して、これらの問題を修正するためのプログラムを確実に適用することだ。マイクロソフトでは一連の問題を踏まえ、ユーザーに注意を呼びかける特設ページ「緊急レベルのセキュリティ修正プログラムについて」を公開している。これを参照しながら、「緊急」とされている修正プログラムをインストールする。

 Windowsに対する知識がやや深い方ならば、「HFNetChk」、もしくは「MBSA(Microsoft Baseline Security Analyzer)」といったツールを併用することをお勧めしたい。これらのツールと最新のベースラインファイルを用いれば、パッチの適用状態を把握し、どの修正プログラムが欠けているかを知ることができる。

 同時に、万一のケースに備えてバックアップを取得しておけば、ワームなどが発生したとしても被害を最小限にとどめ、業務を継続することができる。これは、定期的なルーチンワークに組み入れておくべきことかもしれないが。

 そしてしばらくの間は、IPA/ISECやさまざまなウイルス対策ベンダー、あるいはZDNetをはじめとする各種ニュース媒体が提供するウイルス関連情報に注意すべきだろう。別記事のとおり、米国の複数のセキュリティ研究者が、この脆弱性を悪用したウイルス/ワームの登場に強い懸念を抱いている。最新のウイルス定義ファイルへの更新を怠りなく行いながら、企業ネットワークに大きな影響を与える新種のワームが登場していないかどうかに留意すべきだ(とはいえ、この手のワームは、忘れたころに登場することもあるのだが)。

未だ来たらざるインシデントへ警戒を

 一方管理者としては、まずルータやファイアウォールの設定を見直し、TCP/UDP 135、139、445といったRPCが利用する各ポートを適切にふさいでいるかどうかを確認することになる。同時に、管理下にあるPCで抜かりなくパッチの適用ができているかどうかを確認する必要も出てくる。

 クライアントの台数が多ければ多いほど、作業の手間は膨大なものになるが、米eEye digital securityでは、この作業を支援するための専用スキャナを公開している。

 このスキャナは、ネットワーク内を検査し、RPC DCOMのセキュリティホールが残されたままになっているPCが存在するかどうかをチェックする。同社によれば最大256個のIPアドレス、つまりクラスCのネットワークを一度に検査でき、無償で利用できるという。

 注意したいのは、この時期休暇などを取り、しばらく会社のPCを利用しないユーザーがいる場合だ。過去にウイルス/ワームが蔓延したケースの中には、土日の休暇が明けて、社員がネットワークにアクセスし始めたとたんに爆発的に広まるといった事例もあった。そこで、ネットワークに接続する前には、まずパッチの適用とウイルスチェックを行うというルールを、オフラインで通知しておく必要がある。これは、自宅作業用に持ち帰られていたPCについても同様だ。

 こうして対策に漏れがなくなれば万々歳だが、システムによっては、既存アプリケーションの動作との整合性上、どうしてもパッチを適用できないケースもあるかもしれない。この場合は、外部と社内システムの境に設けるファイアウォールだけでなく、別途内部にもファイアウォールを設けるなどして、前述のRPCが利用する各ポートをふさいだ環境下で動作させることでも影響は減らせる。リスクを最大限に見積もるならば、ネットワークとの接続を断つことも選択肢の1つとして検討すべきだろう。

 さらに管理者としては、SQL Slammer並みのワームが登場した場合に備え、速やかな対処を施せるようにあらかじめインシデントレスポンス手順を整え、できれば予行練習しておくと、慌てずに済むだろう。

関連リンク
▼マイクロソフト:緊急レベルのセキュリティ修正プログラムについて
▼Retina RPC DCOM Vulnerability Scanner from eEye Digital Security
関連記事
▼Slammerの二の舞? Windows RPCの脆弱性悪用コード公開で高まる不安
▼WindowsのRPCプロセスに「緊急」の脆弱性

[高橋睦美,ITmedia]