Code Red による深刻な問題に対する防護策と対処方法についての説明
Internet Information Server/Service をご利用いただいているお客様へ
公開日: 2001年8月8日
トピック
はじめに
対象となる製品および環境
Code Red とは
詳細
対処方法 (Windows NT 4.0/Small Business Server 4.5)
対処方法 (Windows 2000/Small Business Server 2000)
対処方法 (サービスパックまたは修正モジュールの適用が困難な場合)
駆除方法
IIS の構成情報のバックアップと復元
ファイアウォール製品について
プロキシ製品について
ウィルス検出ソフトについて
関連情報
本件に関する一般ユーザー様向け問い合わせ窓口
Microsoft Windows 95/98/Me をお使いのみなさまへ |
---|
Code Red ワームは Microsoft Windows 95/98/Me に対しては影響を与えませんので、対策の必要はありません。 |
注 : ログは 1 行です。
ログファイルの記録方法によっては、以下のように残る場合もあります。
GET /default.ida
GET /default.ida
上記以外につきましても、拡張子 ida および idq へのアクセスは Code Red または同様のワーム等による攻撃を受けている可能性があります。また、ファイアウォール製品、プロキシ製品 および ウィルス検出ソフトは、Code Red ワームによるセキュリティ攻撃に対しては、有効では無い場合が大半である点にご注意ください。
対処方法 (Windows NT 4.0/Small Business Server 4.5)
対象環境
Microsoft Windows NT 4.0 Option Pack のインストールされている Windows NT Server 4.0 または Windows NT Server Enterprise Edition 4.0 および Small Business Server 4.5
下記の手順に従って対処を行ってください。
サービスパックの入手
このワームに対して対処するための修正モジュールを適用するには、 Windows NT 4.0 Service Pack 6a が必要です。サービスパックは、以下から入手可能です。
Web からダウンロード
https://www.microsoft.com/japan/products/ntupdate/nt4sp6/ダウンロード以外の入手方法
Windows NT 4.0 Service Pack 6a を収録した CD-ROM を有償で入手することができます。- 【オンラインでの申し込み】
サービスパック オーダーセンターで申込みをすることで有償で入手することができます。
9 月 30 日にて、無償提供を終了させていただきました。ご了承ください。
- 【オンラインでの申し込み】
修正モジュールの入手
このワームに対する修正モジュールを含め多くのセキュリティ問題を解決するセキュリティ ロールアップ パッケージの適用をお勧めいたします。推奨 : Code Red と異なる脆弱性を利用する亜種 (Code Blue や Code Green) の発生が報告されておりますので、対策としてこれらの脆弱性に関してより包括的な対応となる SRP または MS01-044 の累積的な修正プログラムの適用をお勧めいたします。 https://www.microsoft.com/download/details.aspx?displaylang=ja&FamilyID=7DD8F695-FA97-4378-B57B-7BCCF3533BE3
ダウンロード先のリストから Japanese Language Version を選択してください。「Windows NT 4.0 Service Pack 6a 以降のセキュリティ ロールアップ パッケージ (SRP) の提供を開始」 https://www.microsoft.com/japan/technet/archive/security/news/nt4srp.mspx
SRP 適用後に Compaq Smart アレイ コントローラの 1 つを搭載しているコンピュータで問題が発生する場合があることが確認されました。また、現在調査中ですが、Compaq 製以外のコンピュータでも同様の現象が発生する可能性がございます。OEM プレインストール製コンピュータをご利用のお客様も、SRP パッケージをご適用前に、以下の KB の内容をご参照ください。
JP305228 Windows NT 4.0 セキュリティ ロールアップ パッケージ適用後 STOP 0xA 発生
特殊な事情などにより上記モジュールが適用できない場合は、Code Red ワームの問題にのみ対処可能な修正モジュールの適用をお願いいたします。
PC/AT 互換機用 : https://www.microsoft.com/download/details.aspx?displaylang=ja&FamilyID=440B6F36-1659-44AD-892D-14CD490C9AFD ダウンロード先のリストから Japanese Language Version を選択してください。
NEC PC-9800シリーズ用 : https://download.microsoft.com/download/winntsp/PatchNEC/q300972/NT4/JA/JPNQ300972n.exe
注 : 8 月 9 日に MS01-033 が再リリースされています。 |
---|
8 月 9 日に公開されたこの修正モジュールは、下記の 2 点が修正されています。
|
感染チェックツールの入手 感染する危険性をチェックするためのツールは、次の 2 社より提供されております。
ワーム「CodeRED」セキュリティホール検知ツール (トレンドマイクロ社) https://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionId=3057
Symantec Security Check - CodeRed Check (シマンテック社) https://www.symantec.com/region/jp/securitycheck/index.html
Windows NT 4.0 をお使いのお客様で SRP を適用して対策を行った場合、トレンドマイクロ社 / シマンテック社のチェックツールをご使用いただいた際に対策後においても警告が出る場合がございます。これは、チェックツールが、 MS01-033 の適用をを対策済みの要件としているために起こります。しかしながら、SRP の適用によっても同等の対策は行われるため、問題はございません。
ネットワークからの隔離 修正モジュールの適用中に再度の感染を防ぐために、ネットワークから切断します。LAN に接続されている場合は、 LAN ケーブルを抜いてください。ダイアルアップによる接続の場合は、 TA/モデム との接続ケーブルをはずしてください。
再起動 修正プログラムを確実に適用するために、メモリ上に存在している Code Red ワームをコンピューターの再起動により取り除きます。
サービスパックの適用 サービスパックを適用します。
再起動 サービスパックのセットアップにより、再起動を要求されますので、再起動してください。
修正モジュールの適用 再起動後、修正モジュールを適用します。
再起動 修正モジュールのセットアップにより自動的に再起動されます。
感染の確認と駆除 現在、感染していないことを確認します。 確認方法およびツールの使用方法につきましては各社の Web ページをご参照ください。
感染している場合の駆除方法につきましては、駆除方法をご参照ください。
NT 4.0 上で IIS 4.0 をご利用の環境において |
---|
URL リダイレクト機能を利用した Web サイトに対して Code Red ワームのような非常に長いリクエストが送信された場合に、IIS が異常終了する問題が確認されました。本問題は MS01-033 とは異なる原因により発生いたします。この問題の詳細および修正プログラムの入手方法につきましては、セキュリティ情報 MS01-044 をご覧ください。 尚、URL のリダイレクトは既定の状態では使用されておりません。 |
対処方法 (Windows 2000/Small Business Server 2000)
対象環境 Microsoft Windows 2000 Server, Windows 2000 Advanced Server または Microsoft Windows 2000 Professional および Small Business Server version 2000
下記の手順に従って対処を行ってください。
サービスパックの入手 この脆弱性以外の問題にも合わせて対処するために、Windows 2000 Service Pack 2 の適用を強くお勧めいたします。
Windows 2000 Service Pack 2 は、以下から入手可能です。
Web からダウンロード https://www.microsoft.com/windows2000/downloads/servicepacks/sp2/sp2ja.mspx
ダウンロード以外の入手方法 Windows 2000 Service Pack 2 を収録した CD-ROM を有償で入手することができます。
- 【オンラインでの申し込み】 サービスパック オーダーセンターで申込みをすることで有償で入手することができます。
9 月 30 日にて、無償提供を終了させていただきました。ご了承ください。
特殊な事情などにより Service Pack 2 の適用が困難である場合は、Service Pack 1 をご適用ください。修正モジュールの適用には、 Service Pack 1 以降が必要です。
Windows 2000 Service Pack 1 日本語版 : https://www.microsoft.com/japan/windows2000/downloads/servicepacks/sp1/
注意 : W2k SP1, SP2 で多数の修正が行われております。 安定した稼動を行うためには、全てのサーバーで SP1、SP2 のいずれかに統一して運用していただくことを強く推奨いたします。 |
注 : 以下の製品 および 機能は、.idq, .ida へのアプリケーションマッピングを使用します。そのため以下をご利用のお客様は必ず 対処方法 (Windows 2000) に従った対処が必要となります。
|
アプリケーションマッピングの削除
idq および ida に対するリクエストを IIS が処理しない設定にすることで対処する方法です。
作業を行っていただきます前に、IIS の構成情報のバックアップと復元をご覧になり、バックアップを作成していただくことをお勧めいたします。
インターネット サービス マネージャ を起動します。
Windows NT 4.0 では、[スタート] - [Windows NT 4.0 Option Pack] - [Microsoft Internet Information Server] - [インターネット サービス マネージャ] を選択します。Windows 2000 では、[スタート] - [設定] - [コントロールパネル] - [管理ツール] - [インターネット サービス マネージャ] を選択します。
コンピューター名を選択し、プロパティを開きます。
[インターネット インフォメーション サービス] タブを選択します。
[マスタプロパティ] リストボックスから <WWW サービス> を選択し、[編集] ボタンをクリックします。
[ホームディレクトリ] タブを選択します。
[構成] ボタンをクリックします。
[アプリケーションのマッピング] タブを選択します。
アプリケーションのマッピングの一覧から、.ida を選択し、[削除] ボタンをクリックします。
アプリケーションのマッピングの一覧から、.idq を選択し、[削除] ボタンをクリックします。
[OK] ボタンをクリックします。
"継承/優先" ダイアログが表示される場合があります。表示された場合は、12. に進む前に、下記の 継承/優先 ダイアログの対処方法 をお読みください。
[OK] ボタンをクリックし、マスタプロパティを閉じます。
[OK] ボタンをクリックし、プロパティを閉じます。
以上で作業終了です。インターネット サービス マネージャ を終了させてください。
-- 継承/優先 ダイアログの対処方法です
"継承/優先" ダイアログ には、マスタプロパティと違う設定のサイトやノードがある場合に表示され、その一覧が表示されます。
このダイアログが表示された場合、対応方法は、2 つあります。
全てのノードをマスタプロパティと同じ設定に統一する。
[すべて選択(S)] ボタンをクリックします。
[OK] ボタンをクリックし、継承/優先 ダイアログを閉じます。
個別に、idq, ida の設定を行う。
個別に行う場合は、マスタプロパティに行った設定を、各ノードに対してひとつづつ行っていく必要があります。設定方法につきましては、マスタプロパティと同様です。
この方法では、 IIS の再インストールを行った場合に .ida .idq の設定が元に戻るために新たに対処する必要があります。
駆除方法
駆除が必要な場合は、 Code Red ワームにより設置されたトロイの木馬の削除と変更されたレジストリを修復する必要があります。
Code Red II ワームの既知の影響を排除するツールをリリースしました。本ツールは Code Red II によって受けた影響のみ排除することを目的として提供されていることに注意してください。他の新種のワームの影響は排除しません。ツールの入手方法と作業手順は、こちらを参照してください。ツールの利用を行わず、手作業による駆除を行う場合は、以降の手順に従ってください。 |