★阿修羅♪ 現在地 HOME > 掲示板 > IT2 > 113.html
 ★阿修羅♪
次へ 前へ
Opinion:ファイアウォールを持たないあなたへの「最後の警告」【ZD Net記事】
http://www.asyura.com/0310/it02/msg/113.html
投稿者 クエスチョン 日時 2003 年 9 月 21 日 16:43:56:WmYnAkBebEg4M

エンタープライズ:コラム 2003/09/16 19:08:00 更新


Opinion:ファイアウォールを持たないあなたへの「最後の警告」【ZD Net記事】
http://www.zdnet.co.jp/enterprise/0309/16/epc06.html

MSBlastのようなワームから身を守るには、ウイルス対策ソフトではなく
ファイアウォールが必要だ。RPCで新たな脆弱性が発見された今、安全を
期すためにファイアウォールの導入をお勧めする。


 自分のWindowsマシンにまだパーソナルファイアウォールをインストー
ルしていない人は、このコラムを最後の警告と考えるといい。

 最近出現したMSBlastワームは、WindowsのDCOM RPCプロトコルのバッフ
ァオーバーフローの脆弱性を悪用する(8月18日の記事参照)。このワー
ムはウイルス対策ソフトで検出されやすい電子メール拡散型ではなく、イ
ンターネット接続を介して直接コンピュータに入り込んでくる。

 Microsoftの最新パッチをインストールすればこの種のワームへの感染
を防げるはずだ。しかし、単純なソフトウェアファイアウォールを使えば、
ウイルス対策ソフトをインストールしていようといまいと、防御を施すこ
とができる。

 私がファイアウォールを取り上げたのは、Microsoftが先週、DCOM RPC
に影響する新たな脆弱性を公表し、これを修正するためのパッチをリリー
スしたからだ(9月11日の記事参照)。この新しいパッチは、先に発行さ
れたRPCのパッチに取って代わるものとなる。この脆弱性を悪用する実証
コード(大規模感染ワーム登場の前触れとなることが多い)はまだ公に登
場していないが、時間は刻々と過ぎている。これまでの歴史を見れば、た
いていの場合、深刻な脆弱性が公表されてから30日以内にそれを悪用する
ワームが出現している。

 例えば、Microsoftは7月にRPCのバッファオーバーフローの脆弱性を報
告し、Last Stage of Delirium Research Groupと共同でパッチを開発し
た。この脆弱性を悪用するMSBlastは、8月12日に登場した。

 Microsoftは9月10日、eEye Digital Security、NSFOCUS、Tenable
Network Securityによる追加調査で、PRCプロトコルにバッファオーバー
フローの脆弱性が2つ、DoS(サービス拒否)攻撃に使われる恐れがある脆
弱性が1つ見つかったことを報告した。新たな脆弱性は7月に報告された脆
弱性と似ているため、次の大規模感染ワームは(MSBlastよりも)短期間
で登場してくる恐れがある。

 RPC(Remote Procedure Call)はWindowsが利用するプロトコルで、
Open Software FoundationのRPCプロトコルをベースに、Microsoft独自の
要素を加えたもの。脆弱性の影響を受けるのは、このMicrosoft独自の部
分だ。一方、DCOM(Distributed Component Model)――以前はネットワ
ークOLE(Object Linking and Embedding)と呼ばれていた――は、ある
コンピュータ上のソフトが、ネットワーク経由で別のコンピュータ上のソ
フトと直接通信できるようにするサービス。要するに、WindowsのDCOM
RPCは、あるマシン上のプログラムが、別のマシン上でコードを走らせる
ことを可能にするものなのだ。そのために、Windowsコンピュータはまず
専用のポート(通常はポート135)を確保しなくてはならない。

 MicrosoftはDCOMをWindows NTに追加し、1996年ごろにはWindows 95に
も追加した。それまでは、OLEは主に1台のコンピュータ上で、比較的シン
プルなタスク(WordのテキストをExcelにインポートするなど)に使われ
ていた。しかし初期のWindowsマシンは最初にネットワークに接続された
とき、ファイルがネットワーク上のほかのコンピュータと共有されたり、
ほかのマシンに送信される際に、その関連性がゆがんでしまっていた。
DCOMを加えたことで、Windowsアプリケーションがオブジェクトの元の格
納場所に関係なく、オブジェクトを共有することが可能になった。

 問題は、RPCがDCOMを使うほかのサービスと同様に、全バージョンの
Windowsで(ネットワークと通信しているかどうかにかかわらず)デフォ
ルトでオンになっている点にある。またシステムがインターネットに接続
している場合、DCOMにより、Windowsは自動的にリモート信号用にポート
135(あるいはほかのポート)を確保する。つまり、特殊なメッセージを
作成して標的のマシンのポート135に向けて送るだけで、バッファオーバ
ーフローエラーを引き起こせるということだ。そのバッファオーバーフロ
ーによって、プログラムの元のコードの一部が、新しいコードに置き換え
られる。

 このような方法を使えば、RPCの脆弱性を悪用して標的のコンピュータ
をリモートから乗っ取ることが可能だ。コンピュータを掌握すると、HDD
を再フォーマットしたり、そのコンピュータを使ってほかのコンピュータ
を攻撃したり、個人データを盗むことができる(ただし、実際はここで説
明しているほど簡単に実行できるものではない)。

 では、自分の身を守るために何をすればいいだろうか? 最善の解決策
は、すぐに新しいRPCの脆弱性を修正するパッチをダウンロードしてイン
ストールすることだ。パッチはWindows Updateサイトで入手できる。

 さらに安全を期すために、まだ導入していない人には、パーソナルファ
イアウォールのインストールをお勧めする。Windows XPも名目上パーソナ
ルファイアウォール機能を備えているが、私としては「ZoneAlarm」の無
料版がお勧めだ。
http://downloads-zdnet.com.com/3000-2092-10217783.html?tag=lst-0-1
もし(直観的で使いやすいユーザーインタフェースを)見てみて気に入っ
たなら、フルバージョン「ZoneAlarm Pro 4.0」の購入を考えてもいいと
思う。フルバージョンは最大限の保護を提供し、ポップアップ遮断などの
追加機能も備えている。

 最近、私はウイルス対策ソフトと共に、パーソナルファイアウォールを
検討している。これらはPCをインターネットに接続する上での必需品だ。
コンピュータには1台につき6万5000のポートがある。そのうちDCOM RPCプ
ロトコルは8つのポートを使っている。これらポートで何らかの活動が見
られたら、それはRPCの脆弱性を悪用する新しいワームの出現を示してい
るのかもしれない。しかし、ファイアウォールがなければそのワームが自
分のシステムを攻撃していても気付かないだろう。さあ、これで忠告を受
けなかったとは言えないはずだ。

関連記事
Windowsを危険にさらすRPCのセキュリティホール

[Robert Vamosi,ZDNet/USA]

 次へ  前へ

IT2掲示板へ

フォローアップ:
  拍手はせず、拍手一覧を見る


★登録無しでコメント可能。今すぐ反映 通常 |動画・ツイッター等 |htmltag可(熟練者向)
タグCheck |タグに'だけを使っている場合のcheck |checkしない)(各説明

←ペンネーム新規登録ならチェック)
↓ペンネーム(2023/11/26から必須)

↓パスワード(ペンネームに必須)

(ペンネームとパスワードは初回使用で記録、次回以降にチェック。パスワードはメモすべし。)
↓画像認証
( 上画像文字を入力)
ルール確認&失敗対策
画像の URL (任意):
投稿コメント全ログ  コメント即時配信  スレ建て依頼  削除コメント確認方法
★阿修羅♪ http://www.asyura2.com/  since 1995
 題名には必ず「阿修羅さんへ」と記述してください。
掲示板,MLを含むこのサイトすべての
一切の引用、転載、リンクを許可いたします。確認メールは不要です。
引用元リンクを表示してください。