エンタープライズ:ニュース | 2003/08/06 22:30:00 更新 |
日本でも検出されたRPC Exploit、ラックが緊急レポートで警戒呼びかけ
セキュリティ企業のラックは、8月4日深夜から8月5日の朝にかけ、Windows RPCインタフェースのセキュリティホールを悪用した攻撃が仕掛けられたことを検出し、警戒を呼びかけている。
セキュリティ企業ラックのJSOC(Japan Security Operation Center)は、8月4日深夜から8月5日の朝にかけて、Windows RPCインタフェースのセキュリティホールを悪用した攻撃が、同社のある顧客に対して仕掛けられたことを検出した。
ラックのJSOCでは、企業などの包括的なセキュリティ対策を支援するとともに、24時間365日体制で監視を行っている。特に先週からは、Windows RPCのセキュリティホール(MS03-026)を悪用する実証コード(Exploit)が公開されたことなどを受け、監視体制を強化していた。
ラック JSOCの緊急レポートによると、8月5日未明、MS03-026で狙われるポートの1つであるTCP 135ポートをファイアウォールでブロックしていなかったことが原因となり、対策がなされていなかった(パッチが適用されていなかった)コンピュータへの侵入が検出された。同社の分析によると、この侵入成功を足がかりとしてバックドアが作成され、さらなる脅威にさらされる可能性があったという。
同社はこの事例を受けてさらに警戒を強化。4段階ある監視体制のうち、上から2番目となる「Cobra/Orange」の厳戒態勢を取るとともに、一連の攻撃手法について解説したレポートを発行し、改めてユーザーに対策を呼びかけている。
まず個人ユーザーの場合は、OSならびにブロードバンドルータの設定を確認し、TCP 135/TCP 4444/TCP 4899の各ポートをフィルタリングを確実に行うよう推奨している。一方企業ユーザーの場合は、ファイアウォールなどで既に最低限の防御がなされているケースが多いと予測される。しかし、ノートPCの持込や、管理者の許可を得ずにユーザーが勝手に設置したダイヤルアップルータや無線LANアクセスポイントのような企業ネットワークへの「裏口」を経由して被害を受けるおそれがあるとして、改めて設定内容や機器の再確認を呼びかけている。
ツールの解析はなお進行中
レポートによれば、この攻撃はまずTCP 135ポートに接続可能なコンピュータを探し出し、MS03-026を悪用して、TCP 4444ポートを用いるバックドアの作成を試みる。これが成功すると、足がかりとなるPCにさらに複数のプログラムをダウンロードしたうえで、TCP 4899ポートを用いる別のバックドアを作成するという。
ラックによると、攻撃者はこの後TCP 4899ポートに接続してさらに侵入を試みているといい、現に、8月1日および8月5日には、送信先ポート番号がTCP 135/4899のトラフィックが急増していることが記録されている。
これに関連してラック JSOC 事業本部の西本逸郎本部長は、「JSOCでは、こうしたバックドアを埋め込むためのツールが流布されていることを確認したうえで、そのツールを入手し、解析を行っている。このようなツールが攻撃者によって利用され、バックドアを埋め込んだ多数のホストが確保された場合、より大規模な事件に発展する可能性が高い」と述べている。
なお、これと並行して警察庁は8月5日、TCP 135ポートに対するアクセスの急増を検出したとし、警戒を呼びかけている。
関連記事Windowsを危険にさらすRPCのセキュリティホール
関連リンク
ラック:JSOC 緊急レポート(MS-RPC)[速報]
警察庁:TCP135番ポートに対するアクセスの急増について
[高橋睦美,ITmedia]