ITmedia NEWS >

一部のWindows XPもZotobワームに感染の可能性

» 2005年08月24日 19時40分 公開
[高橋睦美,ITmedia]

 マイクロソフトは8月24日、Zotobワームなどに悪用されたプラグ&プレイの脆弱性(MS05-039)が、一部のWindows XPマシンにも深刻な影響を及ぼすことを明らかにした。

 MS05-039の脆弱性は8月の月例パッチで修正されたものだが、その直後に実証コードが公開され、すぐにZotobワームおよびその亜種、Rbotなどに悪用された。これらのワームは、当初懸念されたほどの被害はもたらさなかったものの、The New York Times、CNN、ABCなどいくつかの企業のネットワークに侵入した

 ZotobワームはWindows 2000マシンに感染したが、XPマシンは被害を受けなかった。これが感染率が低く抑えられた理由のひとつとされている。

 そもそもMS05-039の脆弱性は、Windows 2000の場合、リモートから任意のコードの実行を許すため「緊急」レベルとされていたが、Windows XPやWindows Server 2003では「重要」レベル。これらのプラットフォームの場合、コード実行にはそのマシンへのログオン資格が必要であり、リモートから脆弱性が悪用され、コードを実行される可能性は低かったからだ。

 しかし8月24日に公開されたマイクロソフト セキュリティ アドバイザリによると、Windows XP Service Pack 2(SP2)を適用しておらず、かつ特定の設定下にあるマシンでは注意が必要だ。Zotobの元となった実証コードに若干手を加えることで、リモートコードを実行させられる可能性があるという。

 この問題を指摘したシマンテックによると、Windows XPもしくはWindows XP SP1の環境で、「Guest」アカウントを有効にしており、さらに「簡易ファイルの共有」を有効にしている場合、脆弱性を悪用される可能性があるという。このGuestアカウントが、脆弱性の悪用に必要となる「ログオン資格」となって、マシンへのアクセスを許してしまうからだ。

 「簡易ファイルの共有」は、Active Direcory/Windowsドメインに参加している場合は利用できないため、これらの環境下ではリスクはある程度低減される。しかしシマンテックによると、はじめに簡易ファイルの共有を有効にしておき、その後Active Directoryに参加した場合、マシンは脆弱な状態のままになる点に注意が必要だという。

 ただしWindows XP SP2やMS05-037のパッチを適用している場合は影響を受けない。また、Windows XP/SP1の状態でもデフォルトの設定のままであれば、問題の影響を受けないという。

 マイクロソフトによると、今のところ、この脆弱性を悪用してWindows XPを狙った攻撃は報告されていない。しかし同社は注意を喚起するとともに、セキュリティ更新プログラムの適用やファイアウォールによるTCP 139/445ポートのフィルタリングといった手立てを取るよう勧めている。また、どうしてもWindows XP ProfessionalのGuestアカウントを無効にできない場合は、Guestアカウントにパスワードを設定するよう推奨している。

Copyright © ITmedia, Inc. All Rights Reserved.