エンタープライズ:特集 2003/12/25 21:30:00 更新

2003年の教訓を生かす
年末年始「これだけはやっておきたい」セキュリティ5カ条 (1/4)

2003年はウイルスやワームの「当たり年」だった。年末年始休暇に向けてどういった対策を取っていくべきか、エンドユーザーと管理者向けに5カ条の心得を紹介する。

 今年もようやく仕事納め。振り返ってみると今年は、ウイルスやワームの「当たり年」(?)でもあった。この記事では、2003年にどういった脅威が登場したかを改めて振り返るとともに、年末年始の休暇に向けて最低限踏まえておくべき心得を紹介していきたい。

2003年の事件簿

1. Slammer

 Slammerは2003年1月に発見されたワームで、MS02-039の問題を利用している。Slammerは感染するとランダムなIPアドレスを生成し、生成されたIPアドレスの1434/UDPに対して自分自身を送信し続け感染活動を広げるワームである。韓国では一時インターネットに接続できなくなるなどの重大な問題となり、日本でもメディアに取り上げられ、話題となった(1月26日の記事参照)。

2. Blaster/Welchia

 Blaster(MSBlast)は2003年8月に発見されたワームで、MS03-026の問題を利用している。Blasterは感染すると利用しているIPアドレスの昇順のIPアドレスに対して自分自身を送信し感染活動を広げるワームである。世田谷区の区役所で感染したという報道もあり、社内ネットワークを混乱させた2003年の代表的なワームである。

 またその直後に登場したWelchia(Nachi)は、Blaster同様MS03-026の問題に加え、WebDAVの問題(MS03-007)を利用するワームだ。ランダムなIPアドレスに対してPingを発信し、さらなる感染先を求める。このワームによるものと見られるICMPリクエストの量は、平常時よりもずっと高いレベルを維持し続けており、いまだに多くの端末がWelchiaに感染しているものと思われる(特集記事参照)。

3. Sobigシリーズ

 Sobigの原種は2003年1月に発見されたウイルスで、メールの添付ファイルをダブルクリックすることで感染する。Sobigには複数の亜種が発見され、さまざまな種類が存在するが、基本的にメールの添付ファイルをダブルクリックすることで感染する。感染すると、.txtや.htmlといった拡張子を持つファイルなどからメールアドレスを検索し、そのメールアドレスに対して自分自身を送信し感染活動を広げる。8月に登場した亜種、Sobig.Fは、感染数で言えば過去最悪の被害をもたらした(8月21日の記事参照)。

4.その他

 Swen(MS01-020の問題を利用して感染する)、Mimail(添付ファイルを開くことで感染する)などのウイルスも確認されている。また、電子メールでマイクロソフト社の名をかたり、添付されている偽の修正プログラムを適用するよう勧めるようなケースが相次いでいる。しかしこのように多数のユーザーに対して同社が修正プログラムを電子メールで配布しないのが現状の同社のポリシーであるため、こうしたメールは破棄するのが良策といえる。

Blaster以降のWindowsの修正プログラム

 このように今年8月は、「最悪の月」と言っても過言ではない状態だった。だが、その被害がまた繰り返される可能性も否定できない。Blaster級の被害をもたらしかねないWindowsプラットフォームの新たな問題が、さらにいくつか発見されているからだ。以下にその主だったものを紹介しよう。

1. Messengerサービス

 Messengerサービスにバッファオーバーフローの問題が存在し、攻撃者にコマンドを実行されてしまう恐れがある。この問題を利用する攻撃コードが存在し、ワームなどが作成される可能性は高い(IPAの警告参照)。この問題を回避するためには以下の3つの方法が挙げられるが、1.以外の方法は根本的な問題の解決とはいえず、何より修正プログラムを適用することが重要である。

  1. MS03-043で提供されている修正プログラムを適用する
  2. Messengerサービスを停止する
  3. パーソナルファイアウォール(Windows XPであればICF)を導入し適切に設定する

2. Workstationサービス

 Workstationサービスにバッファオーバーフローの問題が存在し、攻撃者にコマンドを実行されてしまう恐れがある(IPAの警告参照)。1. のMessengerサービスの問題と同様に攻撃コードが存在し、ワームなどが作成される可能性が高い。この問題を回避するためには以下の3つの方法が挙げられるが、やはり1.以外の方法は根本的な問題の解決にはならず、修正プログラムを適用することが重要である。

  1. MS03-049で提供されている修正プログラムを適用する
  2. Workstationサービスを停止する(Workstationサービスに依存しているサービスもすべて停止する必要がある)
  3. パーソナルファイアウォール(Windows XPであればICF)を導入し適切に設定する。

 またWindows 2000を利用している場合には、MS03-043で提供されている修正プログラムにMS03-049の修正プログラムが含まれているため、MS03-043の修正プログラムを適用することで問題を解消できる(11月14日の記事参照)。

3. Internet Explorer(IE)

 MS03-048で提供されている修正プログラムがIEの最新修正プログラムであるが、この修正プログラムを適用した場合においても「List the Unpatched IE Vulnerabilities」で示されているように、12月下旬の時点で、IEはパッチが未発行の問題を20個抱えている。そこでIEを利用する際には以下の設定を施することを推奨する。

  1. 最新の修正プログラムを適用する。
  2. IEのインターネットゾーンにおいてActiveスクリプトの実行を[無効]もしくは[ダイアログを表示]に設定する。

 ただし、上記で記述したような設定を施したとしても全ての問題を回避することはできない。

 その例として、上記のサイトで紹介されている20個の問題のうち、[%01-Username Site Spoofing - Site spoofing] について簡単に説明する。この問題は、今紹介した2つのの回避策を施しても発生する問題だ。

 この問題を利用された場合、悪意あるサイトに誘導されてしまう可能性がある。通常、IEにおいてリンクをクリックする際には、リンク先が悪意あるサイトでないか確認するためにステータスバーを利用する場合がある。しかし、[%01-Username Site Spoofing - Site spoofing] に記述されている問題を利用することで、ステータスバーやリンク先のアドレスバーを偽造できてしまう。つまりこの問題により、攻撃者はユーザーを悪意あるサイトへ誘導することも可能となる。この問題に対する回避策が、マイクロソフトの「成りすました Web サイトか見分ける手順について」というサポート技術情報に公開されているので一読していただきたい(12月24日の記事参照)。

4. Exchange Server

 Exchange Serverにバッファオーバーフローの問題、DoS(サービス妨害)に陥る問題、クロスサイトスクリプティングの問題が存在する。このうちバッファオーバーフローの問題を攻撃者に利用された場合、任意のコマンドを実行されてしまう可能性が存在する。またDoSに陥らせる攻撃コードが存在しており、対策を施していない場合にはDoS状態に陥いる可能性がある。これらの問題を回避するためには以下の2つの方法が挙げられるが、やはり修正プログラムを適用することが重要である。

  1. 修正プログラム(MS03-046MS03-051)を適用する
  2. Exchange Serverサービスを停止する

5. 上記以外

 上記以外にもMicrosoft Word、Excelのマクロに関連する問題(MS03-035MS03-050)なども報告されている。Officeを利用している場合には、修正プログラムが適用されているか確認するとともに、信頼できないマクロなどは実行しないよう注意することも重要だ。

 では、こうした問題が存在していることを踏まえた上で、年末年始休暇に入る際の注意点を、エンドユーザー向けと管理者向けにそれぞれ5つずつ紹介しておこう。これらの対策を施したからといって、絶対に安全だと言い切ることまではできないが、被害をこうむる可能性はぐっと低くなるはずだ。

      | 1 2 3 4 | 次のページ

[寺岡亮(ラック),ITmedia]

Copyright © ITmedia, Inc. All Rights Reserved.