Code Redの亜種が登場,再度警戒を
【国内記事】 | 2001.08.06 |
7月に発見され,全世界で感染を見たCode Redワームの亜種,「Code Red II」(ベンダーによっては「Code Red Ver3」と表現)が登場し,8月4日以降,国内外のホストで感染を広げている。
IPAセキュリティセンターによると,Code Redに感染したという報告は少ないものの,セキュリティ関連のメーリングリストの情報やボランティアでWebで公開された情報を総合すれば,Code Redからの攻撃を受けているという報告は相当数に上っている。
現在,IPA セキュリティセンターやJPCERT/CCがCode Red IIに関する警告を表明したほか,シマンテック,ネットワークアソシエイツなどのウイルス対策ソフトウェアベンダーが,Code Red IIに関する警告を発している。
Code Red IIは,元々のCode Redに比べ,
・攻撃パケットとして送り込まれる文字列(ログに残される文字列)が異なる(「/default.ida?NNNN...」ではなく「/default.ida?XXXX...」)
・トロイの木馬(バックドア)が埋め込まれる
といった相違点がある。また,レジストリをはじめ,Windowsシステムに関わる重要なファイルの書き換えが行われるため,要注意と言えるだろう。
また,IISサーバを稼働させているホストのみならず,ルータにも影響が及ぶ可能性がある。現在,シスコシステムズの「Cisco 600シリーズ DSLルータ」「Cisco CSS 11000シリーズ Content Service Switches」や,ヤマハの「RT80i」「RTA50i(初期リビジョン)」などで問題が報告されている。これに対し,米シスコからは英文によるアドバイザリが公表されている。またヤマハではアップデートパッチを公開・提供しているので,該当ユーザーは速やかに適用すべきだ。
ネット全体のパフォーマンスにも影響
さらに,Code Red IIが仕掛ける攻撃は,複数のIPアドレスに対し,複数回に渡って行われる。このため,ネットワーク帯域を食いつぶしてアクセスを困難にするDoS(サービス拒否)攻撃の様相も呈してきた。インターネット全体のパフォーマンスにも影響を及ぼしかねない。
先に東京めたりっく通信が,Code Redに起因すると思われる障害を明らかにしたが,8月6日にはインターリンクやJANISが,Code Redによるネットワークの輻輳・処理の遅延が発生したことを明らかにした。現在両社は,ルータの設定変更などの対策を取っていると言う。
したがって対策は,自サイトに対するものと,感染したサイトからの攻撃に対するもの,両方を講じるべきだろう。
IISを運用している(あるいはWindows NT/2000を稼働している)場合は,まず自サイトがCode Red/Code Red IIに感染していないかどうかのチェックを速やかに行う。このためのツールが,シマンテックなどから提供されている。意識してIISを稼働していなくとも,インストール時の設定で自動的にIISが動作していることもあるため,Windows NT/2000を利用してインターネットに接続している場合は,なるべくチェックを行うべきだ。
幸いにして感染していないことが判明しても,マイクロソフトから提供されているパッチを適用する必要がある。また万一感染していることが判明した場合は,バックドアの存在を考えると,速やかにネットワークから切断し,ハードディスクをフォーマットした上でクリーンインストールを行うべきだろう。
また,Apacheなどを運用しているサイトであっても,Code Redに感染した他サイトからやってくる攻撃をかなりの頻度で受けることになる。これに対する有効な手段はなかなか存在しない。だが少なくともhttpリクエストをチェックし,リクエスト元(感染したホスト)のIPアドレスを割り出して,そこからのリクエストを遮断するようフィルタを設定することで,そこからのリクエストを遮断するようフィルタを設定することで,一定の歯止めにはなるだろう。
Code Red IIについては,ADSL,CATVなどの常時接続サービスを利用しているユーザーのみならず,ダイヤルアップ接続経由の攻撃も報告されているため,今後も十分な警戒が必要だ。
関連リンク
米Eeye(CodeRed Scanner version 2.0,英文)
マイクロソフト(Microsoft Security Bulletin, MS01-033)
[ ITmedia]