エンタープライズ:ニュース 2003/10/03 07:31:00 更新


DNSに影響、パッチ未発行の脆弱性を悪用するトロイの木馬「QHosts」

まだパッチが提供されていないIEのセキュリティホールを悪用するトロイの木馬「QHosts」が登場した。PCのDNS設定が大きく変更され、特定のWebサイトに誘導されるおそれがある。

 日本時間の10月2日未明より、複数のセキュリティ関連メーリングリストで、不正な形式のDNSパケットが異常に増加し、中にはタイムアウトが発生してWebサイトへのアクセスが困難になるケースもあるとの報告が寄せられた。SANSのInternet Storm Centerでもこの兆候をつかみ、情報を公開している。またCERT/CCもこの兆候を踏まえ、ドキュメントを公開している。

 これまでの情報を総合すると、一連の現象を引き起こした犯人は、新種のトロイの木馬「QHosts」(QHosts-1)と見られる。このトロイの木馬は、Internet Explorer(IE) 5.01/5.5/6を搭載した広範なWindowsプラットフォームに感染するという。

 米Network AssociatesSymantecの情報によると、QHostsはワームのような自己増殖機能は備えていないものの、非常にやっかいなプログラムだ。このトロイの木馬は、現時点ではまだパッチが提供されていないIEのObject Dataタグのセキュリティホールを悪用する。既に報告されているAIMのハイジャックやポルノダイヤラー攻撃(9月29日の記事参照)同様、たとえマイクロソフトが提供する最新のパッチを適用していたとしても、被害を免れ得ない。

DNS設定を大きく変更

 QHostsが悪用しているセキュリティホールは、IEのObject Dataタグの取り扱いに起因する(9月9日の記事参照)。Webサーバが細工を施したHTTPレスポンスを返すと、IEはそれを解釈する際に、本来ならば自動的に実行されるべきではない「hta」(HTMLアプリケーション)ファイルやActiveXオブジェクトを素のHTMLファイルだと勘違いし、コードを実行してしまう。

 fortunecity.comがホスティングしている細工を施したバナーは、IEの脆弱性を利用して、Everyone's Internet(ev1.com)がホスティングしている悪意あるWebサイトへの誘導を行う。QHostsはこのサイトからダウンロードされ、拡散している模様だ。不注意にこれらのサイトにアクセスしたり、ポップアップウィンドウを通じて勝手に誘導されると、PCにトロイの木馬がダウンロードされるおそれがある。

 その後の挙動は興味深い。もしこのトロイの木馬がPCにダウンロードされると、Webへのアクセスをはじめとするインターネットの利用が妨げられる。というのもQHostsは、PCのDNS設定を勝手に変更するからだ。

 まず、デフォルトで設定されている場所とは別の「%WinDir%\Help」ディレクトリに、新たにhostsファイル(いわば名前解決用のローカルDNSキャッシュ)が作成される。この結果、googleやaltavistaといった著名な検索サイトにアクセスしようとすると、プログラムが仕込んだ別のIPアドレスにリダイレクトされてしまう。Webブラウザごと乗っ取られ、トロイの木馬が仕組んだとおりに誘導されるようなものだ。

 QHostsはまた、もともとのネットワーク設定も変更させ、デフォルトで問い合わせすべきDNSサーバ(あるいはDHCP設定)を変えて、まったく異なるIPアドレスに設定してしまう。ここでセットされるIPアドレスには正しく逆引きできないものが含まれているため、ネットワーク構成によっては、内部DNSサーバがトラブルに陥ることもあるようだ。

 さらに、ファイルの作成やレジストリの改変まで行う。具体的には、

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
Tcpip\Parameters\Interfaces\windows "r0x" = your s0x

というレジストリキーが新たに作成されるほか、Windowsディレクトリにwinlogという名のファイルが作成されるという。ウイルス対策ソフトベンダーによると、他にもいくつかIE関連のレジストリの変更・作成が行われるという。

パッチ以外の対処で緩和を

 QHostsが悪用するセキュリティホールにパッチが存在しない以上、根本的な対策は困難なのだが、いくつか手はある。まず少なくとも、MS03-032も含め、最新のパッチを適用する。また今のところ、HTML形式の電子メールでQHostsが広まったという情報はないが、念のためOutlook用のセキュリティアップデートも適用する。その上で、

  • IEの設定を変更し、「ActiveX コントロールとプラグインの実行」を無効にする(NTBugTraqのラス・クーパー氏は、「この対処策は解決にならない」と指摘しているのだが、機能を有効にしたままよりはましなはずだ)。
  • ウイルス対策ソフトウェアを有効にし、定義ファイルを最新のものにアップデートする。いくつかのウイルス対策ソフトウェアベンダーが、QHosts-1に対処し始めている
  • パーソナルファイアウォール機能を有効にする

 PCの知識に詳しいならば、以下の対処を強くお勧めしたい。

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MIME\Database\
Content Type\application/hta

のレジストリを変更/削除する

 また、管理者レベルの対策としては、

  • 組織のファイアウォール/プロキシサーバで、HTTPのContent-Typeヘッダーをチェックし、「application/hta」が含まれているものはブロックする
  • 万一誰かがトロイの木馬を仕込まれたとしても、さらなる被害を防ぐため、「%SystemRoot%\system32\mshta.exe」からのネットワークアクセスを拒否する
  • 管理下のPCの中に不審な動きをしているものがないかをチェックし、疑わしいものについては、以下に示す設定やレジストリの改変、ファイルの追加などの有無を確認する。万一そういった痕跡が発見された際には、速やかに設定を元に戻し、仕込まれたレジストリやファイルを削除する

 一連の対策については、CERT/CCの文書NTBugTraqのアーカイブに詳しい。

 なお、QHostsが宿主としたEV1.NETや、そこへの誘導を試みるバナーをブロックするという手法もあるだろうが、それはあくまで一時的な対処策に過ぎない。ただ、不審なWebサイト、よく知らないWebサイトに不用意にアクセスしないようユーザーに強く呼びかけることは有効だろう。

 Network AsssociatesやSymantecによると、今のところQHostsが大規模に感染したり、深刻な被害を及ぼしたケースはないようだ。しかし関連性は不明ながら、NTTコミュニケーションズではDNSサービスに負荷が集中し、OCNサービスに障害が発生した(別記事参照)との情報もある。無論、このトラブルが必ずしもQHostsによるものとは限らないが、同じプログラムをベースとした亜種が登場する可能性も否定できず、十分な警戒が必要だろう。

関連記事
▼IEの脆弱性を悪用したAIM/ダイヤルアップ攻撃について警告
▼IE用累積パッチの欠陥で事態は「危機的状況」

関連リンク
▼CERT Incident Note IN-2003-04
▼日本ネットワークアソシエイツ:QHosts-1
▼シマンテック:Trojan.Qhosts

[高橋睦美,ITmedia]