ITmedia NEWS >

Windows SMBプロトコルの脆弱性を狙った攻撃が起きる?

» 2005年06月23日 19時33分 公開
[IDG Japan]
IDG

 先日パッチが発行されたWindowsの脆弱性と関係があるポートで「スニッフィング活動」が増加したことから、調査会社の米Gartnerが、これはこの脆弱性を突いた攻撃が間近に迫っていることの前兆かもしれないと警告している。

 問題の脆弱性は、WindowsのServer Message Block(SMB)プロトコルに見つかったもので、リモートでコードを実行される恐れがある。Microsoftは先日リリースした6月のセキュリティアップデートで、攻撃者がこの脆弱性を悪用し、影響を受けるシステムを完全に制御してしまう可能性があるとして、この脆弱性の最大深刻度を「緊急」に指定した。

 Gartnerのアナリスト、ジョン・ペスカトーレ氏は、6月21日掲載のアラートで、TCP 445番ポートに対する活動が増えているのは、攻撃者がこのセキュリティホールを悪用しようとしている兆候かもしれないと指摘した。

 同氏によると、これは「企業のセキュリティ管理者にとって深刻な懸念」となる。なぜなら「悪質なコードを使った大規模な攻撃が差し迫っていることの予兆かもしれないからだ」。同氏は、445番ポートに対する活動の増加は、攻撃者がパッチの解析を終え、脆弱性実証コードを開発し、それをインターネットに流したことを示すものかもしれないとしている。

 Symantecも445番ポートに対する活動の増加を検知したが、同社は、脅威が差し迫っているとの見方は退けている。

 Symantecのエンジニアリング担当上級ディレクター、アルフレッド・ヒューガー氏によると、同社は17日に同ポートに対する活動の「急増」を観測した。だがその後、活動は平常のレベルに戻っている。

 「445番ポートを狙った活動は非常に一般的。バックグラウンドノイズのようなものだ」とヒューガー氏は言い、急増したのは、恐らく、攻撃者がSMBの欠陥に対して脆弱なシステムを探そうと試みたためだろうと付け加えた。「幸いなのは、企業のほとんどがこのポートへのアクセスを許可していないことだ」と同氏。

 また、Windows XP SP2をインストール済みの企業は、445番ポートへのアクセスを封じる(Windowsファイアウォールの)デフォルト機能によっても守られるだろうとヒューガー氏は語った。

 Gartnerのペスカトーレ氏は、企業は影響を受けるシステムにパッチを当て、推奨されている対策を実施し、445番ポートへのアクセスを遮断できる場所では確実に封じるという取り組みを、加速させる必要があるとしている。さらに、ネットワークベースとホストベースの侵入検知フィルタの両方を、この脅威に対処できるようにアップデートしておくのも良策だとする。

 Microsoftの広報担当者が電子メールで寄せたコメントによると、同社は445番ポートのスニッフィング活動の増加が報告されていることは認識している。

 「ポートスキャニングは、何らかのベンダー製品に対する攻撃方法を探る試みがあることを示唆するものかもしれないが、その攻撃対象がMicrosoft製品に限られるわけではない」とこの広報担当者は述べている。Microsoftには、少なくともこれまでのところ、問題の脆弱性が悪用されているという報告は届いていない。

 「企業顧客には、ファイアウォールを有効にしてネットワーク境界でTCP 445番ポートをブロックするとともに、悪質な攻撃を防ぐため、最近のセキュリティアップデートをすべてインストールするよう勧める」(Microsoftの広報担当者)

Copyright(C) IDG Japan, Inc. All Rights Reserved.