「直ちに回避措置適用を」――ゼロデイ攻撃でMicrosoftが注意喚起

[ITmedia]

　Windows DNS Serverの脆弱性を突いた新たなゼロデイ攻撃が発生しているとして、米Microsoftがアドバイザリーを更新し、改めて注意を促した。

　Microsoftはアドバイザリーとブログで、この脆弱性の悪用を狙った新手の攻撃が発生していると報告。現時点で攻撃は広範囲には及んでいない模様だとしながらも、顧客に対し、同社のアドバイザリーで挙げた回避措置を直ちに取るよう勧告している。

　特にレジストリキーの回避策を取ることが望ましいとMicrosoftは述べており、回避措置を取ればネットワークに対する攻撃を回避することが可能だとしている。また、自社で使っているセキュリティ製品の定義ファイルを最新のものに更新しておくよう、併せて注意を促した。

　これに先立ちSANS Internet Storm CenterやMcAfee Avert Labsは、この脆弱性を突いたワームが出現したと伝えている（関連記事）。

　セキュリティ企業のSophosによると、このワーム「Delbot-AI」（別名Nirbot／Rinbot）は細工を施したRPCパケットをPCに送り付け、脆弱性を悪用することが可能だ。

　同ワームがPCに感染すると、攻撃者がコンピュータにを制御してユーザーの情報を盗み出すことができてしまう。また、1年前に修正済みのSymantecのウイルス対策製品の脆弱性を悪用する機能も持っているという。

　「Microsoftのコードに存在するこの脆弱性は、発覚してから数日しかたっていないのに、問題に付け込んでできるだけ多くのPCに感染しようとするワームがもう現れた」とSophosは指摘。企業は最新のウイルス対策製品やファイアウォールで守りを固めるよう呼び掛けている。

　またSANSでは、占有型ホスティングサービスで利用されているWindows 2003 Web Editionの場合、FTPやHTTPといったサービスに加えDNSも動作しているにもかかわらず、個別のファイアウォールで十分に保護されているケースは少ない点を指摘。また社内ネットワークでは、Active DirectoryサーバがDNS Serverとともに動作している場合が多く、これらはDMZに置かれたDNS Serverよりも防御が薄い点に注意が必要だとしている。