Code Red による深刻な問題に対する防護策と対処方法についての説明

  • [アーティクル]

Internet Information Server/Service をご利用いただいているお客様へ

公開日: 2001年8月8日

トピック

はじめに
対象となる製品および環境
Code Red とは
詳細
対処方法 (Windows NT 4.0/Small Business Server 4.5)
対処方法 (Windows 2000/Small Business Server 2000)
対処方法 (サービスパックまたは修正モジュールの適用が困難な場合)
駆除方法
IIS の構成情報のバックアップと復元
ファイアウォール製品について
プロキシ製品について
ウィルス検出ソフトについて
関連情報
本件に関する一般ユーザー様向け問い合わせ窓口

Microsoft Windows 95/98/Me をお使いのみなさまへ
Code Red ワームは Microsoft Windows 95/98/Me に対しては影響を与えませんので、対策の必要はありません
**重要** 本文書で説明している対策は Code Red II ワームに関する防御と駆除を目的とした必要最低限の対策です。その他の脆弱性を標的にした攻撃からもシステムを保護する為に、包括的な対策を行うことを強く推奨します。マイクロソフトでは IIS 4.0 もしくは IIS 5.0 を実行するシステムのセキュリティを確保するために必要な手順を明文化しています。 ### はじめに 以下の公的機関にて公開されているように、お客様の Web サーバーも含め世界中で稼動している Web サーバーを不正に利用し、インターネットに対して甚大な被害をもたらす攻撃が蔓延しております。

注 : ログは 1 行です。

ログファイルの記録方法によっては、以下のように残る場合もあります。

GET /default.ida
GET /default.ida

上記以外につきましても、拡張子 ida および idq へのアクセスは Code Red または同様のワーム等による攻撃を受けている可能性があります。また、ファイアウォール製品、プロキシ製品 および ウィルス検出ソフトは、Code Red ワームによるセキュリティ攻撃に対しては、有効では無い場合が大半である点にご注意ください。

ページのトップへ

対処方法 (Windows NT 4.0/Small Business Server 4.5)

対象環境
Microsoft Windows NT 4.0 Option Pack のインストールされている Windows NT Server 4.0 または Windows NT Server Enterprise Edition 4.0 および Small Business Server 4.5

下記の手順に従って対処を行ってください。

  1. サービスパックの入手
    このワームに対して対処するための修正モジュールを適用するには、 Windows NT 4.0 Service Pack 6a が必要です。

    サービスパックは、以下から入手可能です。

    1. Web からダウンロード
      https://www.microsoft.com/japan/products/ntupdate/nt4sp6/

    2. ダウンロード以外の入手方法
      Windows NT 4.0 Service Pack 6a を収録した CD-ROM を有償で入手することができます。

      9 月 30 日にて、無償提供を終了させていただきました。ご了承ください。

  2. 修正モジュールの入手
    このワームに対する修正モジュールを含め多くのセキュリティ問題を解決するセキュリティ ロールアップ パッケージの適用をお勧めいたします。

    推奨 : Code Red と異なる脆弱性を利用する亜種 (Code Blue や Code Green) の発生が報告されておりますので、対策としてこれらの脆弱性に関してより包括的な対応となる SRP または MS01-044 の累積的な修正プログラムの適用をお勧めいたします。 https://www.microsoft.com/download/details.aspx?displaylang=ja&FamilyID=7DD8F695-FA97-4378-B57B-7BCCF3533BE3
    ダウンロード先のリストから Japanese Language Version を選択してください。

    1. 「Windows NT 4.0 Service Pack 6a 以降のセキュリティ ロールアップ パッケージ (SRP) の提供を開始」 https://www.microsoft.com/japan/technet/archive/security/news/nt4srp.mspx

      SRP 適用後に Compaq Smart アレイ コントローラの 1 つを搭載しているコンピュータで問題が発生する場合があることが確認されました。また、現在調査中ですが、Compaq 製以外のコンピュータでも同様の現象が発生する可能性がございます。OEM プレインストール製コンピュータをご利用のお客様も、SRP パッケージをご適用前に、以下の KB の内容をご参照ください。

      JP305228 Windows NT 4.0 セキュリティ ロールアップ パッケージ適用後 STOP 0xA 発生

    2. 特殊な事情などにより上記モジュールが適用できない場合は、Code Red ワームの問題にのみ対処可能な修正モジュールの適用をお願いいたします。

      PC/AT 互換機用 : https://www.microsoft.com/download/details.aspx?displaylang=ja&FamilyID=440B6F36-1659-44AD-892D-14CD490C9AFD ダウンロード先のリストから Japanese Language Version を選択してください。

      NEC PC-9800シリーズ用 : https://download.microsoft.com/download/winntsp/PatchNEC/q300972/NT4/JA/JPNQ300972n.exe

注 : 8 月 9 日に MS01-033 が再リリースされています。
8 月 9 日に公開されたこの修正モジュールは、下記の 2 点が修正されています。
  • SP6a が適用されているコンピュータに対してのみ適用できます。
  • SP6a と MS01-033 の適用順に関わらず、双方の修正が有効です。
この修正に関しましては、こちらでより詳細な情報を提供しております。現在 Microsoft サイトよりダウンロードできるこの修正モジュールはすべて 8 月 9 日に公開された新しい修正モジュールです。 既に 8 月 8 日以前にリリースされた修正モジュールの適用を行っているお客様は、Code Red II ワームへの対策としては十分ですが、今後、一部の修正プログラムを適用する際に、8 月 9 日以降に公開された新しい修正プログラムを適用する必要があります。早い段階での新しい修正プログラムの適用をお勧めします。 8 月 8 日以前の修正モジュールの破棄と新しい修正モジュールの適用方法
  1. 8 月 8 日以前にリリースされた修正モジュールをアンインストールします。
  2. 8 月 9 日にリリースされた修正モジュールをインストールします。
この修正モジュールのリリース時期の判別につきましては、FAQ の「8 月 8 日以前に公開された Windows NT 用修正プログラムと、8 月 9 日以降に公開された Windows NT 用修正プログラムを見分ける方法はありますか ?」をご覧ください。

  1. 感染チェックツールの入手 感染する危険性をチェックするためのツールは、次の 2 社より提供されております。

    Windows NT 4.0 をお使いのお客様で SRP を適用して対策を行った場合、トレンドマイクロ社 / シマンテック社のチェックツールをご使用いただいた際に対策後においても警告が出る場合がございます。これは、チェックツールが、 MS01-033 の適用をを対策済みの要件としているために起こります。しかしながら、SRP の適用によっても同等の対策は行われるため、問題はございません。

  2. ネットワークからの隔離 修正モジュールの適用中に再度の感染を防ぐために、ネットワークから切断します。LAN に接続されている場合は、 LAN ケーブルを抜いてください。ダイアルアップによる接続の場合は、 TA/モデム との接続ケーブルをはずしてください。

  3. 再起動 修正プログラムを確実に適用するために、メモリ上に存在している Code Red ワームをコンピューターの再起動により取り除きます。

  4. サービスパックの適用 サービスパックを適用します。

  5. 再起動 サービスパックのセットアップにより、再起動を要求されますので、再起動してください。

  6. 修正モジュールの適用 再起動後、修正モジュールを適用します。

  7. 再起動 修正モジュールのセットアップにより自動的に再起動されます。

  8. 感染の確認と駆除 現在、感染していないことを確認します。 確認方法およびツールの使用方法につきましては各社の Web ページをご参照ください。

    感染している場合の駆除方法につきましては、駆除方法をご参照ください。

NT 4.0 上で IIS 4.0 をご利用の環境において
URL リダイレクト機能を利用した Web サイトに対して Code Red ワームのような非常に長いリクエストが送信された場合に、IIS が異常終了する問題が確認されました。本問題は MS01-033 とは異なる原因により発生いたします。この問題の詳細および修正プログラムの入手方法につきましては、セキュリティ情報 MS01-044 をご覧ください。 尚、URL のリダイレクトは既定の状態では使用されておりません。
[](#mainsection)[ページのトップへ](#mainsection)

対処方法 (Windows 2000/Small Business Server 2000)

対象環境 Microsoft Windows 2000 Server, Windows 2000 Advanced Server または Microsoft Windows 2000 Professional および Small Business Server version 2000

下記の手順に従って対処を行ってください。

  1. サービスパックの入手 この脆弱性以外の問題にも合わせて対処するために、Windows 2000 Service Pack 2 の適用を強くお勧めいたします。

    Windows 2000 Service Pack 2 は、以下から入手可能です。

    1. Web からダウンロード https://www.microsoft.com/windows2000/downloads/servicepacks/sp2/sp2ja.mspx

    2. ダウンロード以外の入手方法 Windows 2000 Service Pack 2 を収録した CD-ROM を有償で入手することができます。

      9 月 30 日にて、無償提供を終了させていただきました。ご了承ください。

    特殊な事情などにより Service Pack 2 の適用が困難である場合は、Service Pack 1 をご適用ください。修正モジュールの適用には、 Service Pack 1 以降が必要です。

    Windows 2000 Service Pack 1 日本語版 : https://www.microsoft.com/japan/windows2000/downloads/servicepacks/sp1/

注意 : W2k SP1, SP2 で多数の修正が行われております。 安定した稼動を行うためには、全てのサーバーで SP1、SP2 のいずれかに統一して運用していただくことを強く推奨いたします。
2. **修正モジュールの入手** このワームに対処するための修正モジュールは以下からダウンロード可能です。Code Red と異なる脆弱性を利用する亜種 (Code Blue や Code Green) の発生が報告されておりますので、対策としてこれらの脆弱性に関してより包括的な対応となる修正プログラムの適用をお勧めいたします。 **PC/AT 互換機用 :** [https://www.microsoft.com/download/details.aspx?displaylang=ja&FamilyID=F74552AC-4313-4F93-9412-539DCA0753EB](https://www.microsoft.com/download/details.aspx?displaylang=ja&familyid=f74552ac-4313-4f93-9412-539dca0753eb) ダウンロード先のリストから Japanese を選択してください。 **NEC PC-9800シリーズ用 :** [https://download.microsoft.com/download/winntsp/PatchNEC/q300972/NT4/JA/JPNQ300972n.exe](https://download.microsoft.com/download/winntsp/patchnec/q300972/nt4/ja/jpnq300972n.exe) ダウンロード先のリストから Japanese NEC を選択してください。 3. **感染チェックツールの入手** 感染する危険性をチェックするためのツールは、次の 2 社より提供されております。 - Symantec Security Check - CodeRed Check
: 以下の製品 および 機能は、.idq, .ida へのアプリケーションマッピングを使用します。そのため以下をご利用のお客様は必ず 対処方法 (Windows 2000) に従った対処が必要となります。
  • Microsoft SharePoint Portal Server 2001
  • Microsoft Exchange 2000 Server の OWA 機能
  • Microsoft FrontPage Server Extensions
  • Microsoft SharePoint Team Services (Office XP 付属機能)

アプリケーションマッピングの削除

idq および ida に対するリクエストを IIS が処理しない設定にすることで対処する方法です。

作業を行っていただきます前に、IIS の構成情報のバックアップと復元をご覧になり、バックアップを作成していただくことをお勧めいたします。

  1. インターネット サービス マネージャ を起動します。

    Windows NT 4.0 では、[スタート] - [Windows NT 4.0 Option Pack] - [Microsoft Internet Information Server] - [インターネット サービス マネージャ] を選択します。Windows 2000 では、[スタート] - [設定] - [コントロールパネル] - [管理ツール] - [インターネット サービス マネージャ] を選択します。

  2. コンピューター名を選択し、プロパティを開きます。

  3. [インターネット インフォメーション サービス] タブを選択します。

  4. [マスタプロパティ] リストボックスから <WWW サービス> を選択し、[編集] ボタンをクリックします。

  5. [ホームディレクトリ] タブを選択します。

  6. [構成] ボタンをクリックします。

  7. [アプリケーションのマッピング] タブを選択します。

  8. アプリケーションのマッピングの一覧から、.ida を選択し、[削除] ボタンをクリックします。

  9. アプリケーションのマッピングの一覧から、.idq を選択し、[削除] ボタンをクリックします。

  10. [OK] ボタンをクリックします。

  11. "継承/優先" ダイアログが表示される場合があります。表示された場合は、12. に進む前に、下記の 継承/優先 ダイアログの対処方法 をお読みください。

  12. [OK] ボタンをクリックし、マスタプロパティを閉じます。

  13. [OK] ボタンをクリックし、プロパティを閉じます。

  14. 以上で作業終了です。インターネット サービス マネージャ を終了させてください。

-- 継承/優先 ダイアログの対処方法です

"継承/優先" ダイアログ には、マスタプロパティと違う設定のサイトやノードがある場合に表示され、その一覧が表示されます。

このダイアログが表示された場合、対応方法は、2 つあります。

  1. 全てのノードをマスタプロパティと同じ設定に統一する。

    1. [すべて選択(S)] ボタンをクリックします。

    2. [OK] ボタンをクリックし、継承/優先 ダイアログを閉じます。

  2. 個別に、idq, ida の設定を行う。

    個別に行う場合は、マスタプロパティに行った設定を、各ノードに対してひとつづつ行っていく必要があります。設定方法につきましては、マスタプロパティと同様です。

この方法では、 IIS の再インストールを行った場合に .ida .idq の設定が元に戻るために新たに対処する必要があります。

ページのトップへ

駆除方法

駆除が必要な場合は、 Code Red ワームにより設置されたトロイの木馬の削除と変更されたレジストリを修復する必要があります。

Code Red II ワームの既知の影響を排除するツールをリリースしました。本ツールは Code Red II によって受けた影響のみ排除することを目的として提供されていることに注意してください。他の新種のワームの影響は排除しません。ツールの入手方法と作業手順は、こちらを参照してください。ツールの利用を行わず、手作業による駆除を行う場合は、以降の手順に従ってください。
#### トロイの木馬の停止、及び再起動の予防方法 起動しているトロイの木馬の停止と再度動き出すことを予防します。この作業は、一度ログオフする必要があります。 1. **\[スタート\] - \[プログラム\] - \[コマンドプロンプト\]** を起動します。 以下は、コマンドプロンプトでの操作となります。 2. C: と入力しリターンキーを入力します。 3. cd \\ と入力しリターンキーを入力します。 4. dir /ah と入力しコマンドプロンプトに表示されるファイルの一覧に explorer.exe があるかを確認します。 ファイルがある場合は 手順 5、6 の操作を行う必要があります。 5. attrib -h -s explorer.exe と入力しリターンキーを入力します。 6. ren explorer.exe explorer.bin と入力しリターンキーを入力します。 7. D: と入力しリターンキーを入力します。 8. cd \\ と入力しリターンキーを入力します。 9. dir /ah と入力しコマンドプロンプトに表示されるファイルの一覧に explorer.exe があるかを確認します。 ファイルがある場合は 手順 10、11 の操作を行う必要があります。 10. attrib -h -s explorer.exe と入力しリターンキーを入力します。 11. ren explorer.exe explorer.bin と入力しリターンキーを入力します。 12. ログオフします。 13. 再度ログオンします。 #### トロイの木馬の削除 Code Red ワームは、トロイの木馬を含めて下記の最大 2 種類のファイルを設置します。 - explorer.exe(トロイの木馬の停止、及び再起動の予防方法 にて行った操作で、 explorer.bin に名称が変更されています) - root.exe explorer.exe については、Windows NT/2000 の正規のコンポーネントとファイル名が同一ですのでご注意ください。 1. **\[スタート\] - \[プログラム\] - \[コマンドプロンプト\]** を起動します。 以下は、コマンドプロンプトでの操作となります。 2. C: と入力しリターンキーを入力します。 3. cd \\ と入力しリターンキーを入力します。 4. dir と入力しコマンドプロンプトに表示されるファイルの一覧に explorer.bin があるかを確認します。 ファイルがある場合は 手順 5 の操作を行う必要があります。 5. del /f explorer.bin と入力しリターンキーを入力します。 6. D: と入力しリターンキーを入力します。 7. cd \\ と入力しリターンキーを入力します。 8. dir /ah と入力しコマンドプロンプトに表示されるファイルの一覧に explorer.bin があるかを確認します。 ファイルがある場合は、手順 9 の操作を行う必要があります。 9. del /f explorer.bin と入力しリターンキーを入力します。 10. C: と入力しリターンキーを入力します。 11. cd \\inetpub\\Scripts と入力しリターンキーを入力します。 12. dir /ah と入力しコマンドプロンプトに表示されるファイルの一覧に root.exe があるかを確認します。 ファイルがある場合は、手順 13、14 の操作を行う必要があります。 13. attrib -h -s root.exe と入力しリターンキーを入力します。 14. del /f root.exe と入力しリターンキーを入力します。 15. cd \\Program Files\\Common Files\\system\\MSADC と入力しリターンキーを入力します。 16. dir /ah と入力しコマンドプロンプトに表示されるファイルの一覧に root.exe があるかを確認します。 ファイルがある場合は、手順 17、18 の操作を行う必要があります。 17. attrib -h -s root.exe と入力しリターンキーを入力します。 18. del /f root.exe と入力しリターンキーを入力します。 19. D: と入力しリターンキーを入力します。 20. cd \\inetpub\\Scripts と入力しリターンキーを入力します。 21. dir /ah と入力しコマンドプロンプトに表示されるファイルの一覧に root.exe があるかを確認します。 ファイルがある場合は、手順 22、23 の操作を行う必要があります。 22. attrib -h -s root.exe と入力しリターンキーを入力します。 23. del /f root.exe と入力しリターンキーを入力します。 24. cd \\Program Files\\Common Files\\system\\MSADC と入力しリターンキーを入力します。 25. dir /ah と入力しコマンドプロンプトに表示されるファイルの一覧に root.exe があるかを確認します。 ファイルがある場合は、手順 26、27 の操作を行う必要があります。 26. attrib -h -s root.exe と入力しリターンキーを入力します。 27. del /f root.exe と入力しリターンキーを入力します。 28. exit と入力しリターンキーを入力し、コマンドプロンプトを終了させます。 #### 仮想ディレクトリの削除と修復 作業を行っていただきます前に、[IIS の構成情報のバックアップと復元](#efaa)をご覧になり、バックアップを作成していただくことをお勧めいたします。 1. インターネット サービス マネージャ を起動します。 Windows NT 4.0 では、**\[スタート\] - \[Windows NT 4.0 Option Pack\] - \[Microsoft Internet Information Server\] - \[インターネット サービス マネージャ\]** を選択します。Windows 2000 では、**\[スタート\] - \[設定\] - \[コントロールパネル\] - \[管理ツール\] - \[インターネット サービス マネージャ\]** を選択します。 2. "既定の Web サイト" を展開し、サイト内のディレクトリ一覧を表示します。 3. Scripts を選択し、プロパティを開きます。 4. **\[仮想ディレクトリ\]** タブを選択し、セキュリティの設定は、デフォルトでは以下のようになっています。お客様の設定をご確認ください。 - ログアクセス - チェック - このリソースに索引を付ける - チェック - 実行アクセス権 : スクリプトおよび実行ファイル 5. 設定を確認・修正し、**\[OK\]** ボタンをクリックします。 6. MSADC を選択し、プロパティを開きます。 7. **\[仮想ディレクトリ\]** タブを選択し、セキュリティの設定は、デフォルトでは以下のようになっています。お客様の設定をご確認ください。 - ログアクセス - チェック - 読み取り - チェック - このリソースに索引を付ける - チェック - 実行アクセス権 : スクリプトおよび実行ファイル 8. 設定を確認・修正し、**\[OK\]** ボタンをクリックします。 9. 仮想ディレクトリ "C" が存在する場合には、削除します。 10. 仮想ディレクトリ "D" が存在する場合には、削除します。 11. インターネット サービス マネージャ を終了させてください。 #### レジストリの修復 1. **\[スタート\]** - **\[ファイル名を指定して実行(R)\]** をクリックし、"ファイル名を指定して実行" ダイアログを開きます。 2. 名前 (O): に regedit と入力します。 3. **\[OK\]** ボタンをクリックします。 4. マイコンピューター の横にある ![](images/Dd362800.plus(ja-jp,TechNet.10).gif) マークをクリックするとマークが に変わりマイコンピューターの内容を表示します。 5. 手順 4. と同様の操作で、再度 マイコンピュータから HKEY\_LOCAL\_MACHINE、SOFTWARE、Microsoft、Windows NT、CurrentVersion、Winlogon と順に開きます。 6. 最後に開いた Winlogon を選択し、右側に格納されている情報を表示します。 7. 名前が SFCDisable のものがある場合には、データを確認し、0xffffff9d になっている場合は、0 に変更してください。 8. レジストリエディタを終了します。 [](#mainsection)[ページのトップへ](#mainsection) ### IIS の構成情報のバックアップと復元 お客様の環境において、アプリケーションマッピングの削除や、仮想ディレクトリの変更により Web アプリケーションやコンテンツに異常が出た場合、すばやくそして簡単に復旧できるよう構成のバックアップをお勧めいたします。 #### IIS 構成情報のバックアップ 1. インターネット サービス マネージャ を起動します。 Windows NT 4.0 では、\[スタート\] - \[Windows NT 4.0 Option Pack\] - \[Microsoft Internet Information Server\] - \[インターネット サービス マネージャ\] を選択します。Windows 2000 では、\[スタート\] - \[設定\] - \[コントロールパネル\] - \[管理ツール\] - \[インターネット サービス マネージャ\] を選択します。 2. コンピューター名を選択し、構成のバックアップ/復元 を選択します。 3. **\[バックアップの作成(C)...\]** ボタンをクリックし、構成のバックアップ ダイアログを表示します。 4. 構成のバックアップ名に、適当な名前を入力します。 例) codered-backup 5. **\[OK\]** ボタンをクリックします。 6. バックアップ 一覧に作成したバックアップが追加されていることを確認します。 7. **\[閉じる\]** ボタンをクリックします。 #### IIS 構成情報の復元 1. インターネット サービス マネージャ を起動します。 Windows NT 4.0 では、\[スタート\] - \[Windows NT 4.0 Option Pack\] - \[Microsoft Internet Information Server\] - \[インターネット サービス マネージャ\] を選択します。Windows 2000 では、\[スタート\] - \[設定\] - \[コントロールパネル\] - \[管理ツール\] - \[インターネット サービス マネージャ\] を選択します。 2. コンピューター名を選択し、構成のバックアップ/復元 を選択します。 3. "IIS 構成情報のバックアップ" で作成したバックアップを選択します。 4. **\[復元\]** ボタンをクリックします。 5. 以下のメッセージが表示されます。