IIS攻撃の方法では一致、しかし規模では異論噴出

ウェブサイトへの攻撃が報告されて1日が経った。この攻撃がどのように広がったのか、被害を受けたインターネットユーザーの数について、意見が分かれている。（IDG）

[IDG Japan]

　6月25日にセキュリティ専門家らが明らかにしたところによると、MicrosoftのInternet Information Services (IIS) Version 5.0ウェブサーバにパッチを当てていなかった企業が、オンライン犯罪グループによる攻撃対象になっている。Microsoftによれば、IISとInternet Explorerにパッチを当てたユーザーでも、初期設定に変更を加えていない場合には、被害に遭う可能性があるという。

　MSのセキュリティ対策センターの調べでは、このハッカー集団は、MSのSSL実装で最近発見されたバッファオーバーフローの脆弱性を突いて、IISを動かしているWindows 2000システムに侵入する。

　MSは4月にSecurity Bulletin MS04-011パッチを発行したので、パッチを適用しているユーザーには脆弱性はなく、ハッカー集団は未知の「ゼロデイ」セキュリティホールを突いているわけではないという。

　しかし、インターネットユーザーとウェブサーファにとって、事態はもう少し複雑だ。最近行われた攻撃ではWindowsとInternet Explorerの2件の脆弱性を突いたもので、障害が起きたサイトを訪問したユーザーのマシン上でこっそりと悪意のあるコードを実行させ、ハッカーがコントロールするウェブサイトに誘導し、キーストロークレコーダーで個人データを記録し、盗み出す。

　コードが利用している脆弱性の一つは、Microsoft Outlook ExpressがMIME Encapsulationを解釈するときのコードに含まれている。これによりMHTMLエンコードされたコンテンツがIEなどのウェブブラウザに表示される。この脆弱性は、4月に発行されたMS04-013でパッチが当てられている。

　もう一つの脆弱性は先週発見されたもので、Microsoftはまだパッチを作成していない。これは、「クロス・ゾーン・スクリプティング」と呼ばれる脆弱性で、IEを欺いてセキュアでないコンテンツをロードさせる。ローカルハードディスクに保存されたファイルや、www.microsoft.comなどの信頼されたウェブサイトから取得したファイルのように見せかけることでセキュリティ警告をゆるめるのだ。

　この方法では、MS04-013パッチを適用しても、すりぬけられてしまう。IEのセキュリティレベルを「高」に設定し、トロイの木馬ファイルを検知するために最新のウイルス対策ソフトを導入しておく必要があるという。

　いくつかのセキュリティ企業が警告を発しているが、Microsoftは広範囲な攻撃が行われている証拠を見いだしていない。

　Network Associatesも同様だ。「ウェブサイトが攻撃され、新しいトロイの木馬を感染させるという重要な例はまだない」としており、「パッチを当てていれば危険度は低く、未パッチならば中程度」と述べている。

　一方、iDefenseでは過去24時間で数十万台のコンピュータが感染した可能性があると述べている。NetSecは大企業が運用している一部のIISサーバで障害が起きているという。

　こうした食い違いは、新奇な攻撃が起きたときには珍しくないというのが、Sophosのアナリストの意見。同社はまだ顧客からの報告を受けていないが、ウイルス作者が編み出した方法は特筆に値し、「安全だと思われているサイトを乗っ取り、ウェブブラウザの脆弱性を利用してプログラムをダウンロードさせる」配信のメカニズムはユニークだという。Yahoo.comやeBay.comなどで、この攻撃が成功すれば短時間で数百万ものコンピュータを制御下に置き、DoS攻撃でもスパムでも起こすことができる。

　NAIでは、これらの脆弱性やトロイの木馬事態は既知のものだが、それらを組み合わせた攻撃は新しいものだと評する。