Code Red による深刻な問題に対する防護策と対処方法についての説明
よくある質問と回答
概要編
Q. 「Code Red worm」 / 「Code Red II worm」とは何ですか?
**A.** |
IIS + Index Service のコンポーネントの既知の弱点を利用するワームです。本ワームは他の弱点のあるマシンをインターネット/イントラネット上で特定し、自分自身を感染し増殖するという、非常に感染力の高いワームです。「Code Red worm」にはオリジナルの「Code Red worm」とその亜種である「Code Red II worm」が存在します。
オリジナルの「Code Red worm」については、システムに感染した場合、現在のところ直接ファイルを破壊するなどの被害は確認されていませんが、ネットワーク上にDoSと呼ばれる攻撃を仕掛けるため、ネットワークのトラフィックを著しく上昇させ、ネットワークに繋がりにくい状況になります。 また、亜種である「Code Red II worm」については、システムにトロイの木馬と呼ばれる種類の不正なプログラムをインストールする事が確認されています。このプログラムは外部のユーザーによる感染したシステム上で任意のプログラムの実行を可能にするため、システムに深刻なセキュリティ上の弱点が作成されます。 |
Q.本攻撃はマイクロソフト製品に新たなセキュリティ上の弱点が見つかった為に起きたのですか?
**A.** | いいえ。攻撃者は既知の弱点を標的にして IIS のサイトを攻撃していると推察されます。Web サイトの管理者は既知の弱点に対する対策を適切に施すことで、IIS を安全に運用することができます。 |
Q. Code Red worm が利用しているのはどのような弱点ですか?
**A.** | 本ワームは既知のセキュリティ上の弱点を標的に自己感染します。これは、「Index Server ISAPI エクステンションの未チェックのバッファにより Web サーバーが攻撃される (MS01-033)」という既知の弱点です。本弱点を修正するパッチはすでに公開されています。詳しくは下記のURLを参照してください。 [https://www.microsoft.com/japan/technet/security/bulletin/MS01-033.mspx](https://www.microsoft.com/japan/technet/security/bulletin/ms01-033.mspx) |
Q.Code Red worm はどの程度危険なのですか?
**A.** | 非常に危険です。本ワームは他のマシンへの感染を試みる際に、非常に多くのネットワークトラフィックを発生するため、インターネット/イントラネットの帯域幅を大きく消費し、ネットワークの機能を著しく低下させます。また、ワームの特性から他のマシンへ鼠算式に増殖し、ネットワークトラフィックの増加は、著しいものになります。 |
Q. Code Red II worm はどの程度危険なのですか?
**A.** |
オリジナルの「Code Red worm」の危険性に加えて以下の 2 点でさらに危険です。
特に Code Red II worm がインストールするトロイの木馬プログラムは、外部の悪意を持ったユーザーに利用されると感染したシステム上で任意のプログラムを実行できるため、放置すると非常に深刻なセキュリティ上の弱点になります。 |
Q. Code Red worm に感染すると、どうなりますか?
**A.** |
感染したマシン自体には表立って変化は見られません。そのため、管理者の中にはワームの感染に気づいていない場合があります。
オリジナルの Code Red worm は、感染するとまず Web ページにいたずら書きが書き込まれ、続いて分散サービス拒否 (DDoS) 攻撃の起動に用いられる不当なコードがロードされます。感染した Web ページには "Hacked by Chinese!" という言葉と https://www.worm.com へのリンクが表示される (英語版のみ) とともに、www.whitehouse.gov への攻撃を起動するようシステムを整える DDoS コードが実行される場合があります。
また、亜種である Code Red II worm は、Web ページの書き換えや www.whitehouse.gov への攻撃は行わず、代わりにトロイの木馬プログラムをインストールします。 これらのワームは、1 つのシステムに感染した後、インターネット上のパッチが適用されていない他の IIS のシステムへと増殖を試みます。 このように、ワームの自己増殖する習性から、感染したマシンが「踏み台」となり、他のマシンを攻撃することになり、放置することは問題の抜本的解決には至りません。本ワームの被害からネットワーク全体を守るためには、適切な修正プログラムの適用をネットワークワイドで徹底する必要があります |
Q. 感染・攻撃・DoS とはどのような状態のことですか?
**A.** | **感染 :** ワームが侵入に成功し活動している状態を示します。 **攻撃 :** ワームからのリクエストがサーバーに到達している状態を示します。 **DoS:** 狭義では、サーバーダウン、リソース枯渇の状態が継続して発生している状態を指します。広義では、攻撃されている状態そのものを示します。 |
Q. Code Red の活動サイクルは?
**A.** | 意識しないでください。活動サイクルは亜種の存在によりあまり意味の無いものになっています。 |
Q. 内部から外部に攻撃している可能性は?
**A.** | 感染した以上、可能性があります。とくに、内部からプロキシ等を使用せずに Web を見ることができる場合は可能性が高まりますが、正確に把握するにはネットワーク構成を知る必要があります。詳細はお客様環境のネットワーク管理者にご確認ください。 |
対象製品編
Q. マイクロソフトのどの製品に本ワームが感染する可能性がありますか?
**A.** |
このワームは、Index Server 2.0 以降 と IIS の双方がインストールされている全ての環境に影響があります。以下にはマイクロソフトより出荷されている製品で、Code Red ワームにより影響を受ける可能性のある製品を記述しております。
IIS 及び Index Server/Service を搭載するオペレーティングシステム製品
IIS のセットアップが必要な サーバー 製品
IIS もしくは Index Server/Service を必要とし、Code Red ワームの影響を受ける可能性のある製品
|
Q. IIS 4.0 と IIS 5.0 に対して Code Red の攻撃が行なわれた場合の現象に違いがありますか?
**A.** | IIS 4.0 へ攻撃が行なわれた場合には、idq.dll の未チェックバッファに書き込まれたプログラムが不正な動作を行なうため、IIS のサービスがイベントログへの記録も行なわずに停止します。この場合、ワームによる他のコンピュータへの感染は行なわれませんが、停止したサービスを復旧する必要があります。IIS 5.0 への影響は、\[**Q. Code Red worm に感染すると、どうなりますか?**\] をご確認ください。 |
Q. IIS 4.0/IIS 5.0 への対策は記載されていますが、IIS 3.0 用のセキュリティパッチは存在しないのですか?
**A.** | IIS 3.0 につきましては、修正モジュールの作成をすでに終了しており、そのため脆弱性に関する検証も行われておりません。 つきましては、IIS 3.0 をご利用になっているお客様には、IIS 4.0 以降のバージョンにアップグレードすることを強くお勧めします。IIS 4.0 へのアップグレードには、[Windows NT 4.0 Option Pack](https://www.microsoft.com/japan/products/ntserver/option_pack/default.htm) が必要です。IIS 5.0 へのアップグレードには、OS 自体を Windows 2000 Server にアップグレードする必要があります。 |
Q. Windows XP ではこの問題にどのように対処するのでしょうか?
**A.** | Windows XP Beta 2 、Windows "Codename" Whither Beta 2 はこのワームに感染することが確認されております。これらの製品は Beta 版であるためサポート対象外の製品であるため HotFix は提供されません。Windows XP RC1 ではすでにこの問題は発生しない仕組みとなっております。 |
Q. Windows NT Terminal Server Edition + SP6a に修正モジュールを適用しても大丈夫ですか?
**A.** | 問題ありません。[300972](https://support.microsoft.com/kb/300972) の記述にしたがい、手動でのインストールを行ってください。 |
Q. Windows NT 4.0 SP5 の環境でも修正モジュールが適用できますか?
**A.** | できません。必ず Windows NT 4.0 SP6a/Windows NT 4.0、Terminal Server Edition SP6 を適用する必要があります。 |
Q. Windows NT 4.0 SP6a が適用できません。
**A.** | 高度暗号化パックが適用されている場合、Windows NT 4.0 SP6a の適用ができません。[JP250867](https://support.microsoft.com/default.aspx?scid=kb;ja;jp250867) に従い SP6a のセットアップを行って下さい。 |
Q. IIS はインストールされていますが、停止しています。このような場合も攻撃の対象となりますか?
**A.** | 対象となる可能性があります。停止している間は問題が発生しませんが、動作させた瞬間に感染する恐れがあります。そのため、修正モジュールの適用を強くお勧めします。 |
Q. IIS 3.0 は、影響を受けますか?
**A.** | 影響を受ける場合があります。Index Server 1.1 をインストールしている環境のみ影響を受けます。Dos 攻撃を受けますが、感染することはありません。 |
Q. Peer Web Services for Windows NT 4.0 Workstation (PWS) は、影響を受けますか?
**A.** | 受ける場合があります。Windows NT Workstation の環境で Index Server 1.1 をインストールしている環境のみ影響を受けます。しかし、感染することはありません。 |
Q. IIS 2.0 および IIS 1.0 は、影響を受けますか?
**A.** | 影響を受けません。 |
Q. Windows NT 4.0 Terminal Service Edition 用の セキュリティ ロールアップ パッケージ (SRP) はありますか?
**A.** | 現在のところ提供されていません。 |
Q. Index Server/Services が開始していなくても対策が必要ですか?
**A.** | Index Server/Services の動作の有無に関係なく必要です。 |
Q. 感染するのは Windows 2000 だけですか?
**A.** | 本 FAQ の公開当初は、感染するのは Windows 2000 のみであることが確認されていました。しかし 2001/8/24 現在、Windows NT Server 4.0 でも感染することが確認されています。Code Red の種類や Windows NT/2000 の状態によっても感染の有無は変化いたします。そのため、全ての環境で感染する可能性があると考えるべきです。 |
対策編
Q. 感染を未然に防ぐにはどのような作業が必要でしょうか?
**A.** |
適切なバージョン以上の Service Pack の適用と同時に個別の修正プログラムの適用が必要です。また、修正プログラムの適用後には、マシンの再起動が必要です。
1. Windows NT 4.0: Service Pack 6a + SRP (セキュリティ ロールアップ パッケージ) 2. Windows NT 4.0: Service Pack 6a + Security Patch 3. Windows 2000: Service Pack2 (または Service Pack1) + Security Patch 作業を行う際の注意事項や詳しい手順については、下記のURLを参照ください。 |
Q. NT4 Code Red 対策パッチが 8 月 9 日より別な物に変更されているようですが、どのような変更が行われたのですか?
**A.** | パッチの効果自体には変更はありません。パッチ適用時の Service Pack レベルのチェック機能と、パッチを適用した後に再度 SP6a の適用を行った場合にパッチが無効になってしまう、という現象に対する対策が付加されました。 |
Q. 変更前のパッチを適用しているのですが、どうすればいいですか?
**A.** | 再度 SP6a の適用を計画されていない限り、そのままでも Code Red 対策には問題ありません。ただし可能であれば Windows NT4 SRP (セキュリティ ロールアップ パッケージ) の適用を推奨いたします。 |
Q. 指定された Service Pack の適用を行うことができないのですが、どうすればいいですか?
**A.** |
Service Pack の適用ができないお客様のために、他の一時的回避方法を公開しています。詳しくは下記の URL を参照してください。
Q. 上記手順にて Service Pack と修正モジュールを適用しない一時的な回避策 (idq へのマッピングを外す) を実施しました。これで大丈夫でしょうか?
Q. 現在の Code Red worm が標的にしている弱点を塞ぐことで、すべてのワームに対して安全ですか?
Q. Service Pack はどのように入手することができますか?
Q. 感染しているかどうかはどうすればわかりますか?
Q. Code Red worm / Code Red II wormの感染を取り除くにはどうしたら良いですか?
Q. 対策は行いましたが、Code Red の攻撃がつづいています。どうしたらいいでしょうか。
Q. 社内イントラネットの Web サーバーには対策は必要ありませんか?
Q. 本告知以外のセキュリティ情報はどのように入手すればよいのでしょうか?
Q. ユーザーのために用意された本件に関する技術的な問合せ先はありますか?
Q. マイクロソフトはこのような製品のセキュリティ上の弱点に対してどのような取り組みを行っていますか?
Q. SBS 4.0 ではこの問題にどのように対処すればいいのでしょうか?
Q. Code Red の修正モジュールは、バックドアの対処まで行いますか?
Q. MS01-026 の修正モジュールは、Code Red に対応できますか?
Q. いくつかセキュリティ修正モジュールを適用していますが、その上から SRP を適用しても問題ありませんか?
Q. 修正モジュールの入手場所
Q. MS01-033 がインストールされているかをどの様に確認するか?
Q. 内部から外部に攻撃が行われる仕組みは?
Q. 8 月 8 日以前に公開された Windows NT 用修正プログラムと、8 月 9 日以降に公開された Windows NT 用修正プログラムを見分ける方法はありますか?
Q. ネットワーク内に IIS を使用しているサーバーがあるかを見つける方法はありますか?
その他注意点等Q. ファイアウォールを設置しているのですが、本ワームの危険性がありますか?
Q. クライアント OS でも Code Red worm の影響を受けますか?
Q. Code Red worm は日本語版システムには関係がないと聞いていますが本当ですか?
Q. インターネットに接続した段階で攻撃されるので、モジュールをダウンロードすることができないのではないでしょうか?
Q. 対策後もチェックツールで Code Red が見つかります。
その他のリソース |