Code Red による深刻な問題に対する防護策と対処方法についての説明

  • [アーティクル]

よくある質問と回答

概要編

Q. 「Code Red worm」 / 「Code Red II worm」とは何ですか?

**A.** IIS + Index Service のコンポーネントの既知の弱点を利用するワームです。本ワームは他の弱点のあるマシンをインターネット/イントラネット上で特定し、自分自身を感染し増殖するという、非常に感染力の高いワームです。「Code Red worm」にはオリジナルの「Code Red worm」とその亜種である「Code Red II worm」が存在します。

オリジナルの「Code Red worm」については、システムに感染した場合、現在のところ直接ファイルを破壊するなどの被害は確認されていませんが、ネットワーク上にDoSと呼ばれる攻撃を仕掛けるため、ネットワークのトラフィックを著しく上昇させ、ネットワークに繋がりにくい状況になります。

また、亜種である「Code Red II worm」については、システムにトロイの木馬と呼ばれる種類の不正なプログラムをインストールする事が確認されています。このプログラムは外部のユーザーによる感染したシステム上で任意のプログラムの実行を可能にするため、システムに深刻なセキュリティ上の弱点が作成されます。

Q.本攻撃はマイクロソフト製品に新たなセキュリティ上の弱点が見つかった為に起きたのですか?

**A.** いいえ。攻撃者は既知の弱点を標的にして IIS のサイトを攻撃していると推察されます。Web サイトの管理者は既知の弱点に対する対策を適切に施すことで、IIS を安全に運用することができます。

Q. Code Red worm が利用しているのはどのような弱点ですか?

**A.** 本ワームは既知のセキュリティ上の弱点を標的に自己感染します。これは、「Index Server ISAPI エクステンションの未チェックのバッファにより Web サーバーが攻撃される (MS01-033)」という既知の弱点です。本弱点を修正するパッチはすでに公開されています。詳しくは下記のURLを参照してください。 [https://www.microsoft.com/japan/technet/security/bulletin/MS01-033.mspx](https://www.microsoft.com/japan/technet/security/bulletin/ms01-033.mspx)

Q.Code Red worm はどの程度危険なのですか?

**A.** 非常に危険です。本ワームは他のマシンへの感染を試みる際に、非常に多くのネットワークトラフィックを発生するため、インターネット/イントラネットの帯域幅を大きく消費し、ネットワークの機能を著しく低下させます。また、ワームの特性から他のマシンへ鼠算式に増殖し、ネットワークトラフィックの増加は、著しいものになります。

Q. Code Red II worm はどの程度危険なのですか?

**A.** オリジナルの「Code Red worm」の危険性に加えて以下の 2 点でさらに危険です。

  • さらに強力な感染力を持つ

  • トロイの木馬プログラムをインストールする

特に Code Red II worm がインストールするトロイの木馬プログラムは、外部の悪意を持ったユーザーに利用されると感染したシステム上で任意のプログラムを実行できるため、放置すると非常に深刻なセキュリティ上の弱点になります。

Q. Code Red worm に感染すると、どうなりますか?

**A.** 感染したマシン自体には表立って変化は見られません。そのため、管理者の中にはワームの感染に気づいていない場合があります。 オリジナルの Code Red worm は、感染するとまず Web ページにいたずら書きが書き込まれ、続いて分散サービス拒否 (DDoS) 攻撃の起動に用いられる不当なコードがロードされます。感染した Web ページには "Hacked by Chinese!" という言葉と https://www.worm.com へのリンクが表示される (英語版のみ) とともに、www.whitehouse.gov への攻撃を起動するようシステムを整える DDoS コードが実行される場合があります。

また、亜種である Code Red II worm は、Web ページの書き換えや www.whitehouse.gov への攻撃は行わず、代わりにトロイの木馬プログラムをインストールします。

これらのワームは、1 つのシステムに感染した後、インターネット上のパッチが適用されていない他の IIS のシステムへと増殖を試みます。

このように、ワームの自己増殖する習性から、感染したマシンが「踏み台」となり、他のマシンを攻撃することになり、放置することは問題の抜本的解決には至りません。本ワームの被害からネットワーク全体を守るためには、適切な修正プログラムの適用をネットワークワイドで徹底する必要があります

Q. 感染・攻撃・DoS とはどのような状態のことですか?

**A.** **感染 :** ワームが侵入に成功し活動している状態を示します。 **攻撃 :** ワームからのリクエストがサーバーに到達している状態を示します。 **DoS:** 狭義では、サーバーダウン、リソース枯渇の状態が継続して発生している状態を指します。広義では、攻撃されている状態そのものを示します。

Q. Code Red の活動サイクルは?

**A.** 意識しないでください。活動サイクルは亜種の存在によりあまり意味の無いものになっています。

Q. 内部から外部に攻撃している可能性は?

**A.** 感染した以上、可能性があります。とくに、内部からプロキシ等を使用せずに Web を見ることができる場合は可能性が高まりますが、正確に把握するにはネットワーク構成を知る必要があります。詳細はお客様環境のネットワーク管理者にご確認ください。

対象製品編

Q. マイクロソフトのどの製品に本ワームが感染する可能性がありますか?

**A.** このワームは、Index Server 2.0 以降 と IIS の双方がインストールされている全ての環境に影響があります。以下にはマイクロソフトより出荷されている製品で、Code Red ワームにより影響を受ける可能性のある製品を記述しております。

IIS 及び Index Server/Service を搭載するオペレーティングシステム製品

  • Microsoft Windows 2000 Server、Windows 2000 Advanced Server または Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Professional
  • Microsoft Windows NT 4.0 Option Pack のインストールされている Windows NT Server 4.0 または Windows NT Server Enterprise Edition 4.0
  • Microsoft Windows NT Server 4.0 Terminal Server Edition
  • Microsoft Windows Powered 等のアプライアンス製品
  • Microsoft BackOffice Small Business Server version 4.0、4.5 及び 2000
  • Microsoft BackOffice Server version 4.0、4.5 及び 2000
  • Windows XP Technical Beta および Whistler Server Technical Beta (Build 2505 未満のビルド)
  • Windows XP プレビュープログラム (対処済みです)

IIS のセットアップが必要な サーバー 製品

  • Microsoft Site Server version 3.0
  • Microsoft Exchange 2000 Server
  • Microsoft SharePoint Portal Server 2001
  • Microsoft Application Center 2000
  • Microsoft BizTalk Server 2000
  • Microsoft Commerce Server 2000

IIS もしくは Index Server/Service を必要とし、Code Red ワームの影響を受ける可能性のある製品

  • Microsoft Exchange Server 5.x の OWA 機能
  • Microsoft SQL Server 7.0、2000 の SQLXML 機能
  • Microsoft SQL Server 7.0、2000 の Full Text Search 機能
  • Microsoft SQL Server 7.0、2000の SQL Server Windows CE Edition に対するレプリケーション パブリッシャ機能
  • Microsoft Proxy Server 1.0 及び 2.0
  • Microsoft Windows Media Rights Manager 1.0 及び 7.0
  • Microsoft Office XP で提供されている SharePoint Team Services 機能
  • Microsoft Office 2000 で提供されている Office Server Extensions 機能
  • Microsoft Project 2000 で提供されている Project Central 機能
  • Microsoft FrontPage で提供される FrontPage Server Extensions 機能

Q. IIS 4.0 と IIS 5.0 に対して Code Red の攻撃が行なわれた場合の現象に違いがありますか?

**A.** IIS 4.0 へ攻撃が行なわれた場合には、idq.dll の未チェックバッファに書き込まれたプログラムが不正な動作を行なうため、IIS のサービスがイベントログへの記録も行なわずに停止します。この場合、ワームによる他のコンピュータへの感染は行なわれませんが、停止したサービスを復旧する必要があります。IIS 5.0 への影響は、\[**Q. Code Red worm に感染すると、どうなりますか?**\] をご確認ください。

Q. IIS 4.0/IIS 5.0 への対策は記載されていますが、IIS 3.0 用のセキュリティパッチは存在しないのですか?

**A.** IIS 3.0 につきましては、修正モジュールの作成をすでに終了しており、そのため脆弱性に関する検証も行われておりません。 つきましては、IIS 3.0 をご利用になっているお客様には、IIS 4.0 以降のバージョンにアップグレードすることを強くお勧めします。IIS 4.0 へのアップグレードには、[Windows NT 4.0 Option Pack](https://www.microsoft.com/japan/products/ntserver/option_pack/default.htm) が必要です。IIS 5.0 へのアップグレードには、OS 自体を Windows 2000 Server にアップグレードする必要があります。

Q. Windows XP ではこの問題にどのように対処するのでしょうか?

**A.** Windows XP Beta 2 、Windows "Codename" Whither Beta 2 はこのワームに感染することが確認されております。これらの製品は Beta 版であるためサポート対象外の製品であるため HotFix は提供されません。Windows XP RC1 ではすでにこの問題は発生しない仕組みとなっております。

Q. Windows NT Terminal Server Edition + SP6a に修正モジュールを適用しても大丈夫ですか?

**A.** 問題ありません。[300972](https://support.microsoft.com/kb/300972) の記述にしたがい、手動でのインストールを行ってください。

Q. Windows NT 4.0 SP5 の環境でも修正モジュールが適用できますか?

**A.** できません。必ず Windows NT 4.0 SP6a/Windows NT 4.0、Terminal Server Edition SP6 を適用する必要があります。

Q. Windows NT 4.0 SP6a が適用できません。

**A.** 高度暗号化パックが適用されている場合、Windows NT 4.0 SP6a の適用ができません。[JP250867](https://support.microsoft.com/default.aspx?scid=kb;ja;jp250867) に従い SP6a のセットアップを行って下さい。

Q. IIS はインストールされていますが、停止しています。このような場合も攻撃の対象となりますか?

**A.** 対象となる可能性があります。停止している間は問題が発生しませんが、動作させた瞬間に感染する恐れがあります。そのため、修正モジュールの適用を強くお勧めします。

Q. IIS 3.0 は、影響を受けますか?

**A.** 影響を受ける場合があります。Index Server 1.1 をインストールしている環境のみ影響を受けます。Dos 攻撃を受けますが、感染することはありません。

Q. Peer Web Services for Windows NT 4.0 Workstation (PWS) は、影響を受けますか?

**A.** 受ける場合があります。Windows NT Workstation の環境で Index Server 1.1 をインストールしている環境のみ影響を受けます。しかし、感染することはありません。

Q. IIS 2.0 および IIS 1.0 は、影響を受けますか?

**A.** 影響を受けません。

Q. Windows NT 4.0 Terminal Service Edition 用の セキュリティ ロールアップ パッケージ (SRP) はありますか?

**A.** 現在のところ提供されていません。

Q. Index Server/Services が開始していなくても対策が必要ですか?

**A.** Index Server/Services の動作の有無に関係なく必要です。

Q. 感染するのは Windows 2000 だけですか?

**A.** 本 FAQ の公開当初は、感染するのは Windows 2000 のみであることが確認されていました。しかし 2001/8/24 現在、Windows NT Server 4.0 でも感染することが確認されています。Code Red の種類や Windows NT/2000 の状態によっても感染の有無は変化いたします。そのため、全ての環境で感染する可能性があると考えるべきです。

対策編

Q. 感染を未然に防ぐにはどのような作業が必要でしょうか?

**A.** 適切なバージョン以上の Service Pack の適用と同時に個別の修正プログラムの適用が必要です。また、修正プログラムの適用後には、マシンの再起動が必要です。

1. Windows NT 4.0: Service Pack 6a + SRP (セキュリティ ロールアップ パッケージ) 2. Windows NT 4.0: Service Pack 6a + Security Patch 3. Windows 2000: Service Pack2 (または Service Pack1) + Security Patch



作業を行う際の注意事項や詳しい手順については、下記のURLを参照ください。
https://technet.microsoft.com/library/dd362800.aspx

Q. NT4 Code Red 対策パッチが 8 月 9 日より別な物に変更されているようですが、どのような変更が行われたのですか?

**A.** パッチの効果自体には変更はありません。パッチ適用時の Service Pack レベルのチェック機能と、パッチを適用した後に再度 SP6a の適用を行った場合にパッチが無効になってしまう、という現象に対する対策が付加されました。

Q. 変更前のパッチを適用しているのですが、どうすればいいですか?

**A.** 再度 SP6a の適用を計画されていない限り、そのままでも Code Red 対策には問題ありません。ただし可能であれば Windows NT4 SRP (セキュリティ ロールアップ パッケージ) の適用を推奨いたします。

Q. 指定された Service Pack の適用を行うことができないのですが、どうすればいいですか?

**A.** Service Pack の適用ができないお客様のために、他の一時的回避方法を公開しています。詳しくは下記の URL を参照してください。

Q. 上記手順にて Service Pack と修正モジュールを適用しない一時的な回避策 (idq へのマッピングを外す) を実施しました。これで大丈夫でしょうか?

**A.** この対応では完全に障害を防いでいるわけではありません。IIS の再インストール、Windows コンポーネントやアプリケーションのインストール時に再度 idq のマッピングを確認する必要があります。HotFix モジュールを適用で回避できますので、こちらの方法を推奨いたします。

Q. 現在の Code Red worm が標的にしている弱点を塞ぐことで、すべてのワームに対して安全ですか?

**A.** いいえ。現在の Code Red worm (Code Red worm II) は MS01-033 の弱点を標的にしていますが、今後異なる弱点を標的とする亜種のワームの出現の可能性は否定できません。システムの管理者は、[本ワームへの対処法](https://technet.microsoft.com/d4170d68-6db8-48b1-bbf1-624ff15ff143)に加え、包括的な対策を行うことが推奨されます。本告知で説明している対策は、セキュリティ上の弱点の重要度から判断した必要最低限の対策です。その他の既知の弱点を標的にした攻撃からもシステムを保護する為には、別途提供されているセキュリティ情報を参照の上、必要な対策を行う必要があります。弊社では IIS 4.0 もしくは IIS 5.0 を稼働するオペレーティングシステムのセキュリティを確保するために実行する必要がある手順を明文化しています。詳細は下記ページのセキュリティチェックリストをご確認ください。 - 「Internet Information Services 5 セキュリティのチェックリスト」 [https://www.microsoft.com/japan/technet/prodtechnol/windows2000serv/technologies/iis/tips/iis5chk.](https://www.microsoft.com/japan/technet/prodtechnol/windows2000serv/technologies/iis/tips/iis5chk.mspx)mspx - 「Microsoft Internet Information Server 4.0 セキュリティ チェックリスト」

Q. Service Pack はどのように入手することができますか?

**A.** Windows NT 4.0/Windows 2000 の Service Pack は、
  • Web ダウンロード、
  • サービスパックオーダーセンターでのオンライン注文、
  • FAX での注文
の方法で入手可能です。

また、Windows NT 4.0 SP6a、Windows 2000 SP2 を有償 (発送料も含む) にて提供いたします。
Service Pack の有償提供

8 月 9 日 (木) 9:30 より以下の申し込み方法にて Service Pack 有償提供を行っております。社外のお客さまの申し込み方法は以下になります。

  1. Service Pack オーダーセンターからの申し込み : https://www.microsoft.com/products/info/list.aspx?view=36&type=all

  2. FAX による申し込み : 各 Service Pack のページ (URL は以下参照) から申し込み用紙をダウンロードしていただくかたちになります。

  3. TELによる申し込み : 9:30~17:30 の間 Service Pack オーダーセンター内に電話による受付窓口も設置いたします。
    TEL: 048-226-5500


詳細につきましては、8 月 9 日 (木) 9 時 30 分より以下の各サイトにて案内をいたします。


9 月 30 日にて、無償提供を終了させていただきました。ご了承ください。

Q. 感染しているかどうかはどうすればわかりますか?

**A.** トレンドマイクロ社、シマンテック社より提供される Code Red worm 検知ツールによって確認できます。 この検知ツールにより Code Red worm の検知が可能ですので、感染が疑われる場合には \[Q. Code Red worm / Code Red II worm の感染を取り除くにはどうしたら良いですか?\] の内容をご確認下さい。

ワーム「CodeRED」セキュリティホール検知ツール (トレンドマイクロ社)
https://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionId=3057

Symantec Security Check - CodeRed Check (シマンテック社)
https://www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2001-071911-5755-99

Q. Code Red worm / Code Red II wormの感染を取り除くにはどうしたら良いですか?

**A.** Code Red worm の感染に関しては、マイクロソフトの提供するセキュリティ修正モジュールの適用とシステムの再起動によって影響を取り除くことが出来ます。Code Red II worm に関してはいくつか追加の対応が必要となりますので以下のページをご参照下さい。

Code Red による深刻な問題に対する防護策と対処方法についての説明
https://technet.microsoft.com/library/dd362800.aspx

Q. 対策は行いましたが、Code Red の攻撃がつづいています。どうしたらいいでしょうか。

**A.** もし、攻撃して来ているサーバーが社内や既知のものであれば、管理者に連絡し対策をとるように促してください。 ネットワーク上のサーバーに対して洩れなく対策することで攻撃を減らすことが可能です。

Q. 社内イントラネットの Web サーバーには対策は必要ありませんか?

**A.** いいえ必要です。例えば、あるコンピュータが社外のネットワークに接続した際に Code Red に感染してしまえば、そのコンピュータが後で社内ネットワークに接続されたときに、社内ネットワークの Web サーバーに Code Red が広まる危険性があります。セキュリティで守られた社内ネットワークといえども侵入を完全に防ぐ事は容易ではありません。社内イントラネットの Web サーバーをはじめ、Code Red に感染する危険がある全てのコンピュータに関して対策が必要です。

Q. 本告知以外のセキュリティ情報はどのように入手すればよいのでしょうか?

**A.** 弊社ではWebサイトおよび電子メールを用いて、お客様へ最新のセキュリティ情報を公開しています。 [Web サイト](https://www.microsoft.com/japan/technet/security/current.aspx)では、既知の弱点に関する情報、対策および技術情報を参照することができます。また、[セキュリティ警告サービス](https://www.microsoft.com/japan/technet/security/bulletin/notify.mspx)では、最新のセキュリティ情報を電子メールにてお客様へお知らせしています。弊社では [TechNet Online セキュリティ センター](https://www.microsoft.com/japan/technet/security/default.mspx)をセキュリティ情報のポータルサイトと位置づけ、お客様がこれらのサービスを容易に利用できるようにしています。

Q. ユーザーのために用意された本件に関する技術的な問合せ先はありますか?

**A.** 弊社ではセキュリティ問題に関する情報提供及びお問い合わせをお受けする専用の問い合わせ窓口を開設しました。

セキュリティ修正モジュールの適用の仕方や入手方法などの簡単な技術的問い合わせに応じます。通常の製品サポートを行うものではありませんので、セキュリティ問題以外のお問い合わせにつきましては、当センターではお答えいたしかねますことをご理解願います。また、ご質問の内容によりましては弊社の有償サポートをご案内させていただくこともあります。
セキュリティ情報に関する窓口

Microsoft セキュリティ情報センターでは、セキュリティに関するお問い合わせをお受けします。
詳細については以下のホームページをご参照ください。

Microsoft セキュリティ情報センター
https://www.microsoft.com/japan/security/sicinfo/default.mspx

Q. マイクロソフトはこのような製品のセキュリティ上の弱点に対してどのような取り組みを行っていますか?

**A.** 弊社では製品に関わるセキュリティ上の弱点を重要な問題であると認識しています。したがって、セキュリティ上の弱点を解消する作業は最も高い優先度で行われています。また、セキュリティパッチの開発作業などの社内プロセスの継続した改善にも日々努めています。また、弊社では新たな弱点のレポートを受け付けるオープンな窓口も用意しています。お客様のシステムの保護のために、これらレポートで判明した問題に対する作業をレポート提出者あるいは各種業界団体と共同して行うこともあります。また日本においても米国本社が公開する新たなセキュリティ弱点情報をほとんど時差の無いタイミングで、日本語で提供しています。

Q. SBS 4.0 ではこの問題にどのように対処すればいいのでしょうか?

**A.** SBS 4.5 にアップグレードを行い、Windows NT 4.0 Service Pack 6a および修正プログラムを適用してください。SBS 4.0 から SBS 4.5 への無償アップグレードは下記の Web サイトよりお申し込みを受け付けております。

Q. Code Red の修正モジュールは、バックドアの対処まで行いますか?

**A.** 行いません。修正モジュールは Code Red による被害を防止することはできますが、バックドアの削除などは行いません。[別途対処](https://technet.microsoft.com/d4170d68-6db8-48b1-bbf1-624ff15ff143)する必要があります。

Q. MS01-026 の修正モジュールは、Code Red に対応できますか?

**A.** 対応できません。MS01-026 とは別に Code Red に対処するため、[MS01-033](https://www.microsoft.com/japan/technet/security/bulletin/ms01-033.mspx) の修正モジュール、又は MS01-033 の修正モジュールが含まれている [SRP (セキュリティ ロールアップ パッケージ)](https://www.microsoft.com/japan/technet/archive/security/news/nt4srp.mspx)(Windows NT 4.0 のみの提供) を適用する必要があります。

Q. いくつかセキュリティ修正モジュールを適用していますが、その上から SRP を適用しても問題ありませんか?

**A.** 修正モジュールの適用後に SRP (セキュリティ ロールアップ パッケージ) を適用いただだいても問題ありません。

Q. 修正モジュールの入手場所

**A.** 修正モジュールは以下のサイトより入手できます。 - MS01-033 
[https://www.microsoft.com/japan/technet/security/bulletin/MS01-033.mspx](https://www.microsoft.com/japan/technet/security/bulletin/ms01-033.mspx)

Q. MS01-033 がインストールされているかをどの様に確認するか?

**A.** 確認方法は以下の通りです。
  • Windows NT 4.0
    • - この修正プログラムがマシンにインストールされたことを確認するためには、マシンに次のレジストリ キーが作成されたことを確認して下さい。 HKEY\_LOCAL\_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Hotfix\\Q300972. - 各ファイルを確認するためには、サポート技術情報 [JP300972](https://support.microsoft.com/default.aspx?scid=kb;ja;jp300972) のファイル欄を参照して下さい。
  • Windows 2000
    • - この修正プログラムがマシンにインストールされたことを確認するためには、マシンに次のレジストリ キーが作成されたことを確認して下さい。 HKEY\_LOCAL\_MACHINE\\SOFTWARE\\Microsoft\\Updates\\Windows 2000\\SP3\\Q300972. - 各ファイルを確認するためには、次のレジストリ キーで、日付、時間そしてバージョン情報を参照して下さい。 HKEY\_LOCAL\_MACHINE\\SOFTWARE\\Microsoft\\Updates\\Windows 2000\\SP3\\Q300972\\Filelist

Q. 内部から外部に攻撃が行われる仕組みは?

**A.** 内部から、外部への TCP port 80 のアクセスを許可している場合 (制限していない場合)、Code Red からのリクエストが、外部に流れます。ルーター等による安易な NAT/IP- Masquerade を行っている場合もこれに相当します。

Q. 8 月 8 日以前に公開された Windows NT 用修正プログラムと、8 月 9 日以降に公開された Windows NT 用修正プログラムを見分ける方法はありますか?

**A.** はい。idq.dll のバージョン番号と更新日付から確認することができます。
  • 8 月 8 日以前に公開された修正プログラム (idq.dll) は以下の情報を持っています。

    • バージョン番号: 5.0.1781.3

    • 更新日付: 2001 年 6 月 14 日

  • 8 月 9 日以降に公開された修正プログラム (idq.dll) は以下の情報を持っています。

    • バージョン番号: 5.0.1782.4

    • 更新日付: 2001 年 7 月 26 日

idq.dll は既定の環境では "c:\\winnt\\system32" フォルダにインストールされます。

Q. ネットワーク内に IIS を使用しているサーバーがあるかを見つける方法はありますか?

**A.** はい。Microsoft Systems Management Server version 2.0 (SMS) をご利用いただいている場合は可能です。ハードウェアインベントリの情報をもとに、SMS のクエリを使用してネットワーク上に存在する IIS がインストールされているサーバーを探索することができます。

その他注意点等

Q. ファイアウォールを設置しているのですが、本ワームの危険性がありますか?

**A.** 多くのファイアウォールでは本ワームの攻撃を食い止めることはできません。これは、本ワームが通常の HTTP 通信で利用されるポート 80 番を通じて攻撃を実施するためです。多くの企業では、公開 Web サーバーや社内イントラネット Web サーバーへの Web ブラウザからのアクセスのために、通常 HTTP のポートはオープンにされています。

Q. クライアント OS でも Code Red worm の影響を受けますか?

**A.**

はい。以下のクライアント OS はご利用の状況によって Code Red worm の影響を受ける可能性があります。

  • Windows 2000 Professional
    (Internet Information Service を実行されている場合)
  • Windows NT Workstation 4.0
    (Index Server 1.1 を実行されている場合)

ただし、いずれのクライアント OS も既定のインストールでは、上記の構成ではセットアップされません。

Windows 2000 Professional の対処方法につきましてはこちらを、Windows NT Workstation 4.0 につきましては [Windows NT Workstation 4.0 の対処方法] をご覧ください。

また、Windows 95/98/Me 自体には、本ワームが標的とする弱点はありません。

注意が必要なのは、インターネットに接続しワームに感染してしまったコンピュータを、企業内ネットワークに接続することによって、イントラネット内にもワームの感染が広がる可能性があるということです。未対策あるいは感染している可能性のあるコンピュータを異なるネットワーク間で移動して利用する際には十分注意が必要です。

Windows NT Workstation 4.0 の対処方法

Index Server 1.1 がインストールされている場合、Code Red worm による影響を受ける可能性があります。Index Server 1.1 につきましては、すでに修正モジュールの作成を終了しておりますので、スクリプトマッピングの削除または Index Server 1.1 のアンインストールにて、現象の回避を行ってください。

注 : スクリプトマッピングを削除すると検索機能は使用できなくなります。

スクリプトマッピングの削除方法

  1. レジストリ エディタ (regedit.exe) を起動します。
  2. 以下のレジストリ キーを開きます。
      
     HKEY_LOCAL_MACHINE
     SYSTEM
     CurrentControlSet
     Services
     W3SVC
     Parameters
     Script Map
  3. 名前の一覧から ".ida" を選択します。
  4. メニューより [編集] - [削除] を選択します。
  5. [はい] を選択して、スクリプトマッピングを削除します。
  6. 名前の一覧から ".idq" を選択します。
  7. 手順 4. 5. を実行します。

Q. Code Red worm は日本語版システムには関係がないと聞いていますが本当ですか?

**A.** Code Red ワームにはいくつかの亜種が出てきており、これらに関しては日本語版でも感染することが確認されています。どの亜種が感染するか特定することはできませんので、必ず MS01-033 のパッチを当てる必要があります。

Q. インターネットに接続した段階で攻撃されるので、モジュールをダウンロードすることができないのではないでしょうか?

**A.** IIS のサービスを停止させてからインターネットに接続することで攻撃を回避することができます。ダウンロードモジュールをローカルのハードディスクに保存してから作業を進めることをお勧めします。

Q. 対策後もチェックツールで Code Red が見つかります。

**A.** 対策後、再起動されていますか? 再起動されている場合は、誤検出かと思われますが、詳細はチェックツールのメーカーまでお問い合わせください。

ページのトップへ ページのトップへ