現在地 HOME > 掲示板 > 戦争40 > 179.html ★阿修羅♪ |
|
管理人さんへお願い。早急にIT板を復旧してください。本来、一番先
に復活させるべき板だと考えています。
IT板が復旧していないので、ここ戦争板に一旦投稿しておきます。
あまりにも、セキュリティ・ホールの情報が多すぎて、ニュースに麻痺
しているような感じがしています。いわゆる「オオカミが来た」状態。セ
キュリティ・情報疲れが見える分、かなり危険な状態と言えます。
※今回の阿修羅のダウン、IT板が関連していると見ています。妄想と笑
っていただいても結構です。
小生、9月29日にIT板に下記を投稿しました。
>老人党のホームページを見てビックリ。そして、無事を祈る。
文中では下記を案内しました。
>まとめて、IPアドレス関連記事。
>http://www.asyura.com/0306/it01/msg/132.html
>投稿者 クエスチョン 日時 2003 年 8 月 09 日 09:44:09:WmYnAkBebEg4M
>常時接続は、つなぎっぱなしだと危険なワケ
>http://www.asyura.com/0306/it01/msg/125.html
>投稿者 クエスチョン 日時 2003 年 8 月 09 日 00:27:21:WmYnAkBebEg4M
>そういう時、スイッチ付き電源タップが便利。
>http://www.asyura.com/0306/it01/msg/128.html
>投稿者 クエスチョン 日時 2003 年 8 月 09 日 07:00:31:WmYnAkBebEg4M
同じように、在日の方がやっている梁山泊サイトにもセキュリティ注意
を呼びかけ、阿修羅IT板への同じリンクを貼りました。
その後、攻撃を受けるような予感がしたので、10月1日に、
>再度のサーバーダウンに備えて、集合サイトを決めておきませんか。【小生、韋駄天にいます。】
を、IT板と、同趣旨のを戦争板にも投稿しました。
その後、
>2003-10-02 00:58:05 現在IT板2のカウンタが壊れましたね。
でもご案内したように、IT板だけが「もう少しで9000になる所で、
ぶっ壊れたみたいです。」と言う状態になり、その後同日に阿修羅サーバ
ーダウンしたのです。
前置きが長くなりました。緊急セキュリティ情報です。なるべくリンクを
たどって元ページを参考にしてください。
********************************************************************************
エンタープライズ:ニュース 2003/10/03 07:31:00 更新
【◎緊急】DNSに影響、パッチ未発行の脆弱性を悪用するトロイの木馬「QHosts」【パッチが出てない分MSブラスタより深刻かも、、】
http://www.zdnet.co.jp/enterprise/0310/03/epn04.html
まだパッチが提供されていないIEのセキュリティホールを悪用するトロイ
の木馬「QHosts」が登場した。PCのDNS設定が大きく変更され、特定のWeb
サイトに誘導されるおそれがある。
日本時間の10月2日未明より、複数のセキュリティ関連メーリングリス
トで、不正な形式のDNSパケットが異常に増加し、中にはタイムアウトが
発生してWebサイトへのアクセスが困難になるケースもあるとの報告が寄
せられた。SANSのInternet Storm Centerでもこの兆候をつかみ、情報を
公開している。またCERT/CCもこの兆候を踏まえ、ドキュメントを公開し
ている。
これまでの情報を総合すると、一連の現象を引き起こした犯人は、新種
のトロイの木馬「QHosts」(QHosts-1)と見られる。このトロイの木馬は、
Internet Explorer(IE) 5.01/5.5/6を搭載した広範なWindowsプラッ
トフォームに感染するという。
米Network AssociatesやSymantecの情報によると、QHostsはワームのよ
うな自己増殖機能は備えていないものの、非常にやっかいなプログラムだ。
このトロイの木馬は、現時点ではまだパッチが提供されていないIEの
Object Dataタグのセキュリティホールを悪用する。既に報告されている
AIMのハイジャックやポルノダイヤラー攻撃(9月29日の記事参照)同様、
たとえマイクロソフトが提供する最新のパッチを適用していたとしても、
被害を免れ得ない。
DNS設定を大きく変更 QHostsが悪用しているセキュリティホールは、IE
のObject Dataタグの取り扱いに起因する(9月9日の記事参照)。Webサー
バが細工を施したHTTPレスポンスを返すと、IEはそれを解釈する際に、本
来ならば自動的に実行されるべきではない「hta」(HTMLアプリケーショ
ン)ファイルやActiveXオブジェクトを素のHTMLファイルだと勘違いし、
コードを実行してしまう。
fortunecity.comがホスティングしている細工を施したバナーは、IEの
脆弱性を利用して、Everyone's Internet(ev1.com)がホスティングして
いる悪意あるWebサイトへの誘導を行う。QHostsはこのサイトからダウン
ロードされ、拡散している模様だ。不注意にこれらのサイトにアクセスし
たり、ポップアップウィンドウを通じて勝手に誘導されると、PCにトロイ
の木馬がダウンロードされるおそれがある。
その後の挙動は興味深い。もしこのトロイの木馬がPCにダウンロードさ
れると、Webへのアクセスをはじめとするインターネットの利用が妨げら
れる。というのもQHostsは、PCのDNS設定を勝手に変更するからだ。
まず、デフォルトで設定されている場所とは別の「%WinDir%\Help」デ
ィレクトリに、新たにhostsファイル(いわば名前解決用のローカルDNSキ
ャッシュ)が作成される。この結果、googleやaltavistaといった著名な
検索サイトにアクセスしようとすると、プログラムが仕込んだ別のIPアド
レスにリダイレクトされてしまう。Webブラウザごと乗っ取られ、トロイ
の木馬が仕組んだとおりに誘導されるようなものだ。
QHostsはまた、もともとのネットワーク設定も変更させ、デフォルトで
問い合わせすべきDNSサーバ(あるいはDHCP設定)を変えて、まったく異
なるIPアドレスに設定してしまう。ここでセットされるIPアドレスには正
しく逆引きできないものが含まれているため、ネットワーク構成によって
は、内部DNSサーバがトラブルに陥ることもあるようだ。
さらに、ファイルの作成やレジストリの改変まで行う。具体的には、
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
Tcpip\Parameters\Interfaces\windows "r0x" = your s0x
というレジストリキーが新たに作成されるほか、Windowsディレクトリに
winlogという名のファイルが作成されるという。ウイルス対策ソフトベン
ダーによると、他にもいくつかIE関連のレジストリの変更・作成が行われ
るという。
パッチ以外の対処で緩和を QHostsが悪用するセキュリティホールにパッ
チが存在しない以上、根本的な対策は困難なのだが、いくつか手はある。
まず少なくとも、MS03-032も含め、最新のパッチを適用する。また今のと
ころ、HTML形式の電子メールでQHostsが広まったという情報はないが、念
のためOutlook用のセキュリティアップデートも適用する。その上で、
IEの設定を変更し、「ActiveX コントロールとプラグインの実行」を無効
にする(NTBugTraqのラス・クーパー氏は、「この対処策は解決にならな
い」と指摘しているのだが、機能を有効にしたままよりはましなはずだ)。
ウイルス対策ソフトウェアを有効にし、定義ファイルを最新のものにアッ
プデートする。いくつかのウイルス対策ソフトウェアベンダーが、
QHosts-1に対処し始めている
パーソナルファイアウォール機能を有効にする
PCの知識に詳しいならば、以下の対処を強くお勧めしたい。
別記事で指摘したとおり、
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MIME\Database\Content Type\application/hta
のレジストリを変更/削除する
また、管理者レベルの対策としては、
組織のファイアウォール/プロキシサーバで、HTTPのContent-Typeヘッダ
ーをチェックし、「application/hta」が含まれているものはブロックす
る
万一誰かがトロイの木馬を仕込まれたとしても、さらなる被害を防ぐため、
「%SystemRoot%\system32\mshta.exe」からのネットワークアクセスを拒
否する
管理下のPCの中に不審な動きをしているものがないかをチェックし、疑わ
しいものについては、以下に示す設定やレジストリの改変、ファイルの追
加などの有無を確認する。万一そういった痕跡が発見された際には、速や
かに設定を元に戻し、仕込まれたレジストリやファイルを削除する
一連の対策については、CERT/CCの文書やNTBugTraqのアーカイブに詳し
い。
なお、QHostsが宿主としたEV1.NETや、そこへの誘導を試みるバナーを
ブロックするという手法もあるだろうが、それはあくまで一時的な対処策
に過ぎない。ただ、不審なWebサイト、よく知らないWebサイトに不用意に
アクセスしないようユーザーに強く呼びかけることは有効だろう。
Network AsssociatesやSymantecによると、今のところQHostsが大規模
に感染したり、深刻な被害を及ぼしたケースはないようだ。しかし関連性
は不明ながら、NTTコミュニケーションズではDNSサービスに負荷が集中し、
OCNサービスに障害が発生した(別記事参照)との情報もある。無論、こ
のトラブルが必ずしもQHostsによるものとは限らないが、同じプログラム
をベースとした亜種が登場する可能性も否定できず、十分な警戒が必要だ
ろう。
関連記事
IEの脆弱性を悪用したAIM/ダイヤルアップ攻撃について警告
IE用累積パッチの欠陥で事態は「危機的状況」
関連リンク
CERT Incident Note IN-2003-04
日本ネットワークアソシエイツ:QHosts-1
シマンテック:Trojan.Qhosts
[高橋睦美,ZDNet/JAPAN]
エンタープライズ:ニュース 2003/09/09 18:34:00 更新
IE用累積パッチの欠陥で事態は「危機的状況」 【(MS03-032)関連】
http://www.zdnet.co.jp/enterprise/0309/09/epn10.html
マイクロソフトが先日公開したIE用の累積的なパッチは不十分なものだっ
た。セキュリティ専門家らはこの事態を深刻なものと受け止め、再修正版
公開までの間、アクティブ スクリプト機能の停止といった回避策を取る
よう呼びかけている。
マイクロソフトが8月20日に公開したInternet Explorer用の累積的なパ
ッチ(MS03-032)が不完全であり、このパッチを適用していても不正アク
セスを受ける可能性が指摘されている(別記事参照)。
この問題は、米国時間の9月7日にセキュリティ関連のメーリングリスト
に投稿されて明らかになった。
この投稿を受けてアドバイザリを公開したSecuniaによると、IE 5.01/
5.5/6で、たとえMS03-032の修正パッチを適用していても、悪意あるHTML
ファイルを通じて任意のファイルを実行されるおそれがあるという。つま
り、攻撃者が細工を施したWebサイトに不注意にアクセスしたり、HTML形
式の電子メールを開いたりすることで、任意のコードが実行されるおそれ
がある。
この問題は、セキュリティ企業の米eEye Digital Securityによって4カ
月前にマイクロソフトに報告されており、MS03-032によって修正されたは
ずだった。しかし残念ながら、マイクロソフトによるパッチの品質に関す
る検証作業は不十分だったことになる。
事態は「緊急」よりも深刻 もともとこの問題は、Webサーバから返され
たHTTPレスポンスに含まれるObject Dataタグ/Content-Type ヘッダーを、
IEが適切に取り扱わないことに起因する。
もし、WebサーバがIEに返すHTTPレスポンスに、「.html」といった拡張
子が記されていたObject Dataタグが含まれていた場合、そのURLの示す先
が、たとえ本来ならば実行されるべきでない「.hta」(HTMLアプリケーシ
ョン)といったファイルだったとしても、IEはそれを安全なものと判断し、
実行してしまう。そのうえ.hta形式のファイルには、IEが備えているセキ
ュリティゾーンの規制が適用されないという。
その上eEye Digital SecurityやSecuniaによると、このセキュリティホ
ールを悪用した実証コード(Exploit)が出回り始めているという。また
セキュリティ企業のラックは、「Download.Aduent.Trojan」のように、
MS03-032を悪用したウイルスが作成済みであることを指摘し、同種のウイ
ルスが作成される可能性に注意すべきとしている。
にもかかわらず、問題の根本的な解決策はまだない。マイクロソフトが
更新した情報によると、同社は、問題を修正した「更新版修正プログラム」
を公開する計画というが、具体的な日時は不明だ。
eEye Digital Securityの鵜飼裕司氏はZDNetからのメールに対し、「既
にexploitが公開されているが、問題を根本的に解決するパッチはまだリ
リースされていない。しかも、この問題は極めて簡単に悪用が可能であり、
攻撃に深い技術力は必要ない。事態は非常に危機的状況であると言える」
と警告し、さらに、「仮に『緊急』よりも深刻なレベルが存在するとすれ
ばそれに該当する」と付け加えている。
不用意なWebアクセスには注意を 一連の状況を踏まえれば、マイクロソ
フトが再修正版パッチを公開するまでの間、何らかの回避策を取ることが
望ましい。
1つは、問題を指摘したmalware.comが言うように、IEのアクティブ ス
クリプト機能を停止することだ。同様に、IEの「ActiveX コントロールと
プラグインの実行」を無効にすることでも問題を回避できる。いずれも、
IEの「ツール」から「インターネットオプション」を選択し、「セキュリ
ティ」タブを選ぶ。
IEの設定変更のために「インターネットオプション」を選択し「セキュリ
ティ」タブを選ぶ
さらに、「レベルのカスタマイズ」をクリックすると「セキュリティの
設定」ウィンドウが開くので、ここで設定を変更する。
「セキュリティの設定」ウィンドウで各設定を変更する
もう1つの方法はレジストリの変更である。アプリケーション上の都合
などでアクティブ スクリプト機能を停止できない場合には、こちらの方
法を取ることになるが、この作業はある程度Windowsの内容や操作に慣れ
たユーザーにお勧めしたい。具体的には、
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MIME\Database\Content
Type\application/hta
のレジストリを削除する。あるいは、上記レジストリの最後の部分に含ま
れる文字列「application/hta」を「application/htaxxxhogehogexxx」と
いう具合に、ある程度長いランダムな文字列に変更することによっても、
リスクを減らすことができる。
さらに、ラックの新井悠氏は対処策として、「添付ファイルのダブルク
リックを避けるのと同様に、見知らぬ電子メールの本文に、アクセスを促
す文章とともに示されたURLをクリックすることも絶対に避けるべき。ま
たOutlook Express 6 Service Pack 1以上を利用しているならば、『メッ
セージはすべてテキスト形式で読み取る』のチェックを必ず入れておくこ
と」を挙げている。
また、セキュリティ関連メーリングリストの投稿によると、一部のウイ
ルス対策ソフトウェアで、このセキュリティホールを悪用したコードをブ
ロックできたとの報告も見られる。ウイルス対策ソフトを過信しすぎるの
も問題だが、改めて定義ファイルを最新のものにアップデートしておくの
が望ましい。また、もし導入済みであれば、パーソナルファイアウォール
機能が適切に設定されているかどうかを確認しておくと、リスクはより小
さくなるだろう。
ちなみにMS03-032に関しては、他にも不具合が報告されている。
Windows XPと「Microsoft ASP.NET 1.0」の組み合わせがそれで、この環
境でMS03-032を適用すると、その後ASP.NETで「サーバー アプリケーショ
ンは現在使用できません」というエラーメッセージが表示されてしまう。
マイクロソフトではサポート情報を公開し、回避策を紹介しているが、こ
のエラーも「更新版修正プログラム」で修正される予定という。
関連記事
IEの累積パッチは「不十分」の指摘
IEとWindowsにまたも深刻なセキュリティホール
関連リンク
Secunia:Special Update: Microsoft Internet Explorer Multiple Vulnerabilities
GreyMagic Software:GreyMagic Security Advisory GM#001-IE
[高橋睦美,ZDNet/JAPAN]