ようやく? マイクロソフト,Code Red対策用にサポート窓口を設置

【国内記事】 2001.08.08

 マイクロソフトは8月8日,数十万台のIISサーバに感染したと言われるCode Red/Code Red IIに関する警告を発表した。

 既に報じられているとおり,Code Red/Code Red IIは,マイクロソフトのIIS(Internet Information Server/Services)サーバに感染する。Index Server 2.0/Indexing Serviceに含まれるセキュリティホールを利用してサーバに侵入し,Code Red IIはさらに,バックドア(トロイの木馬)を仕掛けることが報告されている。

 また,これらのワームは新たな感染先を求めてリクエストを発行するが,その頻度が非常に高いため,ネットワークのパフォーマンスに影響を与えている。ルータの一部でも,Code Red/Code Red IIが送り付ける不正なリクエストによって,バッファオーバーフローを引き起こすことが報告されている。

 マイクロソフトは一連の感染報告を受けて,無料電話サポート窓口となる「マイクロソフトIISセキュリティ情報センター」を8月8日に設置した。電話は24時間受け付けられる。同社は並行して,技術者向けのメールマガジンやWebサイトを通じて関連情報を提供し,OSに対応したService Packや修正プログラムの速やかな適用を推奨している。

 同社はまた,これ以外のセキュリティホールを悪用される可能性に備え,改めてIISのセキュリティをチェックし,8月2日に公開されたセキュリティロールアップパッケージをはじめ,各種パッチを適用するよう推奨している。

ちょっと(だけ)役立つURL

 本来であれば,Code Red/Code Red IIからの攻撃を受けた場合,送り元のネットワーク管理人に対し,サーバがワームに感染しており,何らかの対策が必要である旨を告知するべきだ。だが,今回の被害では攻撃の頻度が高く,1つひとつに対応しきれないという声も上がっている。

 これに対し,自動的に「Code Red/Code Red II感染している」旨の連絡メールを送り返すPerlスクリプトが,Reuven M. Lerner氏によって作成され,公開されている。ただし,Apache用のモジュールである。

 また,Code Redが全世界的にどの程度拡散しているのかを確認できるWebページもある。これを見れば,日本,韓国周辺でかなりの感染を見せていることが一目瞭然だ。まだセキュリティ対策に乗り気ではない方がいれば,ぜひ一度アクセスしてみてほしい。

 願わくは,一連の措置があと3日早ければという側面はあるが,いずれにせよ,IISサーバを稼働しているサイトでは引き続き注意が必要だ。正確には,気づかないうちにサービスが稼働している可能性があるため,稼働中のWindows NT/2000の設定を見直し,やや込み入っているが,必要なセキュリティパッチを速やかに適用すべきだ。

 また,頻度は落ちているものの,Code Redに感染した他サイトから引き続きリクエストが飛んでくると思われるため,フィルタリングの見直しも有効だろう。

マイクロソフトが提供している情報

マイクロソフトIISセキュリティ情報センター
TEL:0120-69-0196

▼緊急:Code Redワームに対する警告

▼Code Redワームを阻止する修正プログラムのインストール

▼Windows NT 4.0 Service Pack 6a以降のセキュリティロールアップパッケージ(SRP)

▼Internet Information Services 5 セキュリティチェックリスト

▼Microsoft Internet Information Server 4.0 セキュリティチェックリスト

セキュリティベンダーによる検知・削除サービス

▼シマンテック

▼トレンドマイクロ

▼ネットワークアソシエイツ

▼米Eeye(CodeRed Scanner version 2.0,英文)

ルータ製品に関する情報

▼米シスコシステムズ(英文)

▼ヤマハ(RTシリーズのTCP/IPに関するFAQ)

▼古川電工(CodeRedワームに関する対策について/MUCHO-Eシリーズ)

関連リンク

▼Apache::CodeRed.pm

▼Security NL(Code Red worm)

[ ITmedia]