IPA/ISEC

最終更新日:2001年 6月 6日

Windows 2000 SP2 の記述を追加。

緊急警告

Web 改ざん多発、Webサーバーソフトウェアにセキュリティパッチを

情報処理振興事業協会
セキュリティセンター

1. 現象・原因

sadmind/IIS worm と呼ばれるワームによるとみられる Web 改ざんインシデントが多発しています。

このワームは、サンマイクロシステムズ社の Solaris サーバーの 2年前に公表されたセキュリティホールを攻略して、攻撃ソフトウェアをインストールし、他の Solaris サーバーに自己複製します。

その攻撃ソフトウェアは、7 ヶ月前に公表されたセキュリティホールを解消するフィックス(パッチ)が適用されていないマイクロソフト社の Web サーバー IIS (Internet Information Server) を標的として自動的に改ざんします。

詳細はこちら。

参考

緊急報告 - Solaris に侵入し Microsoft IIS を攻撃するワーム
http://www.jpcert.or.jp/at/2001/at010009.txt

CERT(R) Advisory CA-2001-11 sadmind/IIS Worm
http://www.cert.org/advisories/CA-2001-11.html
(注:III. Solutions の記載より適切なパッチが提供されています。対策 2 をご覧ください。)

マイクロソフト社
http://www.microsoft.com/japan/technet/security/sadmind.asp

また、本年 2月初頭から、日本の Webサイトの改ざんインシデントが多発しました。 当初は、日本のドメイン(*.jp)をもつサイトのWebサーバに対する順次(ドメイン名アルファベット順)攻撃の様相が見られ、 Windows NT/2000 サーバで稼動している マイクロソフト社の Web サーバー IIS (Internet Information Server) が狙われたものと推察されます。 その後、別の攻撃者(グループ)によるものと考えられる攻撃もありました。この攻撃においては、IIS に限らず、Apache、Netscape Enterprise Server  (iPlanet) も標的とされており、 ドメイン名のアルファベット順やサイト規模の大小などに関わらず攻撃を受けたようです。

各種プラットフォーム(OS)上で動作している各種 Webサーバーを標的とする攻撃は、常に世界中で行なわれています。今回の一連の日本サイトに対する攻撃においても、Webサーバーソフトウェアの既知のセキュリティホールが標的とされていると考えられます。セキュリティホールを解消するパッチ(フィックス)を適用することなどのセキュリティ対策が実施されていないサーバーで被害が発生しています。

2. 対策情報源

2.1. 緊急対策

各サイトでご利用のサーバーソフトウェア、オペレーティングシステムにより、下記それぞれの情報に従って対処してください。 緊急対策であっても、パッチの適用などの際にはテスト環境で確認を行なってから本番環境に移行するなど、通常の手順に則って実施するようご注意ください。

2.2. 日頃の基本的な対策)

念の為、また、日頃の基本的な対策として、下記ページなどを参照し、適切な制御・設定になっているか確認・対処してください。

※各ソフトウェアの脆弱性、対応パッチの有無、設定方法等に関しては、 前項に記載のそれぞれのベンダの情報をご参照頂くか、 ユーザサポート窓口にお問い合わせください。

 

対策 1. IIS 使用サイトの対策情報源を知る

IIS を使用しているサイトの運用管理者は、下記ページなどを参照し、サーバーソフトウェアのバージョン及びパッチレベルを確認の上、適切なサービスパックおよびセキュリティパッチを適用してください。IIS バージョン 4.0、5.0 ともに、セキュリティパッチ(修正プログラム)を適用する必要があります。

また、基本的な侵入、ファイル改ざん(Webページ改ざんを含む)対策として、不要なポートをインターネットとのゲートウェイ(境界)において閉じる必要があります。特にポート137 からポート139 までのポートを塞ぐことが重要です。これらのポートは、ローカルエリアネットワークにおいてWindows ファイル共有を実現するためのポートです。このような「基本的な対策」を実施してください。

緊急対策の場合でも、修正プログラムを適用する際には、運用サーバーに直接適用することはお薦めすることはできません。運用サーバーと同等なテスト環境で動作の確認をしてから運用環境に移行することが望ましいといえます。同時に適用した修正プログラムについて記録しておくことも、後日、適用すべき修正プログラムを判定する際に有益です。

所属する組織体のセキュリティポリシーに準拠した実施手順に則って実施することも望まれます。(セキュリティポリシーが指示する実施手順が不備な場合には、その整備が望まれます。)

 

対策 2. IIS 使用サイトにおける修正プログラム適用

Web サーバーからの情報漏洩や改ざんを防ぐために、Web サーバーの運用管理者は下記の修正プログラム(サービスパックおよびセキュリティパッチ)を適用することが強く推奨されます。

1. サービスパックの適用

Windows 2000 Server/Advanced Serverの場合

オペレーティングシステムに対してWindows 2000 Service Pack 2を適用してください。 Windows 2000 Service Pack 2 の入手方法に関しては下記をご参照ください。 :

http://www.microsoft.com/japan/windows2000/downloads/servicepacks/sp2/default.asp

SP2 以降にもセキュリティパッチは Pre-SP3 として公開されているので、以下の 「セキュリティパッチの適用」を参考に適用されることをお奨めします。
セキュリティパッチ(Hotfix と呼ばれている) は、[コントロールパネル]-[アプリケーションの追加と削除] で 確認できます。

SP2 を適用すると、以前に適用し SP2 に含まれるセキュリティパッチ は [アプリケーションの追加と削除] から削除されます。しかし、SP2 に含まれないセキュリティパッチも削除されてしまう場合もあるという報告もあるようです。確認した上で必要ならセキュリティパッチを再適用するしてください。

Windows NT 4.0 Server の場合

オペレーティングシステムに対して Windows NT 4.0 Service Pack 6a を適用してください。 Windows NT 4.0 Service Pack 6aの入手方法に関しては下記をご参照ください。 :

http://www.microsoft.com/japan/products/ntupdate/nt4sp6/

SP6a 以降にもセキュリティパッチは公開されているので、以下の 「セキュリティパッチの適用」を参考に適用されることをお奨めします。

2. セキュリティパッチの適用

オペレーティングシステムに応じた上記Service Packを適用したのち、下記のページで提供されているセキュリティパッチを適用してください。:

Windows 2000 Server/Advanced Server で SP2 適用後の場合

http://www.microsoft.com/japan/products/ntupdate/fixlist_tmp/common_page.asp?sp_cd=37

Windows NT 4.0 Server で SP6a 適用後の場合

http://www.microsoft.com/japan/products/ntupdate/fixlist_tmp/common_page.asp?sp_cd=23

3. MDAC の RDS 機能の抑止 ( 2月15日追加項目)

下記ページの手順に従って Microsoft Data Access Components(MDAC) の Remote Data Service(RDS) の機能を抑止してください。RDS 機能が必要な場合には、MDAC をアップグレードしてセーフモード構成に切り替えてください。 :

http://www.microsoft.com/japan/support/kb/articles/J049/3/49.htm

4. セキュリティ チェック リストの確認

マイクロソフトでは IIS4 もしくは IIS5 を稼働するオペレーティングシステムのセキュリティを確保するために実行する必要がある手順を明文化しています。詳細は下記ページのセキュリティチェックリストをご確認ください。 :

IIS4:
http://www.microsoft.com/japan/technet/security/checklist.asp

IIS5:
http://www.microsoft.com/japan/technet/security/iis5chk.asp

 

対策 3. その他 IIS 関連のセキュリティ対策情報(2001年 5月)

IIS 5.0 サーバーにおいて実装されている Internet Printing Protocol の ISAPI エクステンションが入力バッファをチェックしていない問題について

マイクロソフト Windows 2000 で IIS 5.0 を運用しているサーバー管理者は、この脆弱性問題を解消するために、修正プログラムを適用することが推奨されています。(MS01-023)

MS01-023: ISAPI エクステンションの未チェックのバッファにより IIS 5.0 サーバーのセキュリティが侵害される
http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS01-023

 

対策 4. Web を改ざんされた場合の事後対応について

応急処置に関しては以下の FAQ を参照のこと。

FAQ: 良くある質問とその回答

本件について、お問い合わせを頂いております。代表的なものを紹介いたします。

A:ファイアウォールの内側にあっても、Web サーバーへは http ポート(通常、ポート 80 )を開けて外部からアクセスできるようにしてあるため、 IIS 等の Web サービスの脆弱性を突いた不正アクセスは防げません。 したがって、対策は必須です。

A:問題がないとはいえません。IIS3.0 についてもセキュリティホールは報告されており、また、今後発見される可能性もありますので対策が必要です。ただ、現在、マイクロソフト社からは IIS3.0 に対するセキュリティ情報やパッチは提供されておらず、「残念ながらバージョン 4.0 以上の版に移行して頂くほかない」というのがマイクロソフト社の見解です。

A: IIS のパッチのみで完全に大丈夫とは言い切れません。2. で記載したように、その他の対策も重要です。 ただし、緊急対策としては、まず、IIS の重大なセキュリティホールを塞ぐことから着手して頂くのが効果的であるということです。 他に優先度の高い対策の情報等がありましたら順次このページ等でご紹介します。

応急処置としては以下のようにします。

  1. ネットワークから切り離す。
    これにより脆弱性を攻撃されている場合は更に攻撃されないようにします。 またワームなどの場合、感染を広げて加害者にならないようにします。
  2. ローカル管理者としてログインします。
  3. ウィルススキャンツールでスキャンする。
    トロイの木馬やバックドアなどが仕掛けられていないかをチェックします。 必要な駆除を実行します。
  4. 脆弱性情報を調べて、必要なセキュリティ修正プログラムを当てます。
  5. Web コンテンツを元に戻します。
  6. パスワードを変更します。
  7. ネットワークに復帰します。

本緊急警告文の問い合わせ先:
情報処理振興事業協会 セキュリティセンター (IPA/ISEC)
電話:03-5978-7508
ファクシミリ:03-5978-7518
e-mail: isec-info@ipa.go.jp  
不正アクセス110番:03-5978-7509

            Copyright © 2001 Information-technology Promotion Agency, Japan. All rights reserved.