|
CERT Advisory 2001-20
- この文書はCERT Advisory文書の和訳である。和訳については一切の
保証はしない。この文書を使った結果のあらゆる損害等について
訳者は一切責を負わない。また、転載は禁じる。
- この和訳は文書の性質上、in rushであり、訳の自然さより
も訳出の迅速さを目指している。内容の正確さについては訳者としての
良心から可能な限り気をつけているが、通常の翻訳であれば訳の改善を
図るために訳語等で悩む時間を極力圧縮しているため、不自然なところが
残っているかもしれない。指摘は歓迎である。なお、読者対象は文書の
性質上、ネットワーク管理者等であるため、この読者層に通じやすい
訳語選定を心がけている。
- この和訳はあくまでも訳者の個人的な関心に基づいて行われている。
今後、飽きるまでは原則として24時間以内の翻訳を目指す(この迅速さが
どこまでできるかが訳者の関心である)が、予告なく遅延、終了すること
がある。
- 本文書の和訳について、CERTから翻訳許諾は受けていない。別所で
CERTと契約を行って翻訳を行っているところがある。
なお、本翻訳はその翻訳を
一切参照していない。特にその必要を感じないからでもあるが、本質的に
翻訳は訳者の解釈の塊であり、複数の独立した翻訳があることで、注意
深い読者が比較検討して、読者の判断で何が正しいのかを判断できると
考えるためである。
- この翻訳に対して、しかるべきところから明示的に翻訳拒絶の連絡を
受けた場合を除き、本翻訳は訳者の責任において公開する。ただし、内容
についての責任は最初に書いたように負わない。
- 訳者は大阪女子大学情報センター講師の橋本喜代太(hash@reasoning.org,
hash@center.osaka-wu.ac.jp)
である。ただし、本文書の訳出に当たって、大学当局は何ら関係ない。
- 関連文書は
ここにリストがある。
CERT® Advisory CA-2001-20
終わらぬホームユーザへの脅威
Original release date: July 20, 2001
Source: CERT/CC
本文書の完全な更新履歴は末尾にある。
ホームシステムを防衛する必要性
今年は、ホームユーザのマシンが攻略されることになる攻撃が激増している。
多くの場合、攻略されたマシンを侵入者は他の組織を攻撃するのに
利用する。ホームユーザは一般に攻撃に対する防御体制をほとんど取って
いない。多くのホームユーザはセキュリティパッチを当てたり回避策を
取ったりして自分のマシンを最新状態に置いているわけではないし、
最新状態のウィルス対策ソフトウェアを使っているわけでもないし、
電子メール添付ファイルを扱う際に十分な注意を払っているわけではない。
侵入者もこのことを招致しており、ケーブルインターネット接続や
DSL接続を利用しているホームユーザをターゲットにする侵入者が
目立って増加してきているのである。
CERT勧告のメーリングリストを購読している人のほとんど、また、
CERTのウェブサイトに訪れる人の多く、は、システムやネットワークの
維持に責任を負っている技術スタッフである。しかし、ホームコンピュータ
を持っていて、それをセキュアにするにはどうしたらよいか助言を必要として
いる人々がいるのは周知の通りである。我々はつい先ごろ、ホームユーザ向け
に基本的なセキュリティ情報や参照文献を提供する文書をウェブサイト上に
公開した。この文書は"Home Network Secutiry"というタイトルで、次で
閲覧できる。
-
http://www.cert.org/tech_tips/home_networks.html
我々が推奨するのは、当方のメーリングリストを購読している技術に
詳しい読者が、親や子ども、親族、友人で技術に明るくはない人に
連絡を取り、この文書の存在を教え、セキュリティの基本、危険性、
どうやれば自分をうまく防衛できるかを理解する手助けをすることである。
インターネットのセキュリティにまつわる危険性についてホームユーザを
啓蒙するのは長い長い道のりとなるだろう。しかし、我々が一致団結して
ホームユーザを啓蒙することで、インターネット全体のセキュリティを
向上させることができるのである。
ワームとDDoSツール
CERT/CCは現在、新たなワームと分散型DoS(サービス拒否)攻撃ツールが
関係する複数の大規模な事件についてその状況をトレースしている。
こうしたワームの中には、犠牲となるシステムに感染した後、侵入者が
動的にそのワームの振る舞いを改変できるようなコマンド/制御構造
を持ったものもある。場合によっては、そうしたコマンド/制御構造に
よって、侵入者は実際にどこのシステムに感染したのかを知る必要
なく、たった一つコマンドをすべての感染システムに向けて発行する
ことができる。このようにワームの振る舞いを変えることができる
(その中には、完全に中身を置き換えることも含まれる)ことで、この
問題に対して「1つの解決策ですべてに対処できる(one size fits all)」
的な解決策を開発することは実質上困難にになる。さらに、こうした
ワームの多くはその犠牲者としてホームユーザを対象にしている。
このような事実を念頭に置き、かつ、こうした事件に巻き込まれたホストが
きわめて多数存在することから、絶対に必要なのは、すべての人が
関連する脆弱性に修正を当て、危機に陥ったシステムを復旧するという
措置を講じることである。
W32/Leavesワーム
W32/LeavesワームはIN-2001-07
で記述されているもので、基本的には、SubSevenトロイの木馬プログラムに
侵入された(がインストールされた)ことのあるシステムに影響を与える。
我々は既に23,000以上のマシンがこのワームによって攻略されたとの
報告を受けている。このワームには、リモートの侵入者が、攻略された
システムのネットワークを制御できるような機能がある。
"Code Red" ワーム
"Code Red" wormはCA-2001-19
; その和訳で記述されているものだが、
Microsoft IISを動作させているシステム上のインデックスサービスに存在する
脆弱性に付け込むものである。現時点での報告では250,000以上のホストが
このワームによって既に攻略された。
"Power" ワーム
"Power"という名で知られるワームもCA-1999-16
で記述されたIISのUnicode処理に存在する脆弱性を有するシステムを
攻略し続けている。このワームは制御チャネルとしてIRC(Internet Relay
Chat)を使い、攻略したマシン群を取りまとめてDDoS攻撃に利用する
(coordinating compromised machines in DDoS attacks)。我々が受け取った
報告に基づけば、既に10,000以上のマシンがこのワームによって攻略された。
公開された攻撃ツール"Knight"
"Knight"という名で知られる攻撃ツールが1,500ものホストで見つかって
いる。このツールはDDoS用ツールのようであり、IRCを制御チャネルとして
利用する。報告されているところでは、このツールは一般に、BackOrifice
のトロイの木馬プログラムによって攻略されたことのあるマシンに
インストールされている。これまでのところ、このツールがワームである
ことを示す証拠はない。自動的に増殖するロジックは含んでいないのである。
防衛手段
ここまでで挙げたすべての問題について、以下に挙げるような単純な
防衛を継続して利用するのは意外に効果的である。
1. ウィルス対策ソフトウェアをインストールし利用せよ
CERT/CCが強く推奨するのはウィルス対策ソフトウェアを利用する
ことである。現在販売されているウィルス対策ソフトウェア製品の
ほとんどは、侵入者がトロイの木馬プログラムをインストールしよう
としていることや、既にインストールされてしまったことを検知し、
ユーザに警告することができるようになっている。
こうした製品が継続して効果を発揮できるようにするため、ベンダが
提供するウィルスパターンファイル(ウィルス定義ファイル等とも言う)
などを常に最新のものに追従させて
おくことが重要である。ウィルス対策ソフトウェアパッケージの多くは
ウィルスパターンファイルの自動更新機能を有している。こうした自動更新
機能が使えるのであれば利用することを推奨する。
2. ファイアウォールを利用せよ
CERT/CCが推奨するのは、ネットワークアプライアンスやパーソナル
ファイアウォールソフトウェアパッケージといったファイアウォール製品
を利用することである。状況によっては、こうした製品が、マシン
が攻略されたという事実をユーザに知らせることができるであろう。
さらに、そうした製品は侵入者がネットワーク越しに裏口(バックドア)にアクセス
することを阻む機能がある。ただし、どのようなファイアウォールであっても
すべての攻撃を検知したり阻んだりはできないものであり、安全に
コンピュータを利用するのに従うべき慣習をちゃんと守り続けることは
必要である。
ホームシステムやホームネットワークをセキュアにすることについて
さらに情報が必要な場合はtech tip文書「Home Network Security」を
以下で参照するとよい。
-
http://www.cert.org/tech_tips/home_networks.html
こうした防衛的手段によって、マシンが既に危機に陥っている場合、
復旧のため、さらに抜本的な手段を取ることが必要となる。コンピュータ
が攻略された場合、インストールされたソフトウェアは、OS、
アプリケーション、データファイル、メモリ上の内容を含め、どれが
改変されているか分からない。一般的に言って、攻略されたコンピュータ
から裏口(バックドア)や侵入者による改変をすべてなくす唯一の手段は
配布メディアからOSをインストールしなおし、ネットワークに再接続する
前にベンダが推奨するセキュリティパッチをインストールすることである。
マシンを攻略された発端となる脆弱性がどこにあるかを発見し、
それを修正するだけでは十分ではないだろう。
[訳注: 実際には上記に言うようなOSの再インストール+セキュリティ
パッチの導入だけでは十分ではない。例えば、Windowsシステムを考えれば、
ホームユーザが使用するマシンで主に問題となるのはマクロウィルスの類
である。これは一部は(OSと一体なのだというMicrosoftの主張を信じると
して)Internet Explorerへのパッチ当てで回避できるが、大部分はMicrosoft
Office製品へのパッチ当てを必要とする。また、実際にマクロウィルスが
侵入した場合、その駆除はウィルス検知/駆除ソフトウェアを使うか、自分で
特定ファイル、特定レジストリの除去を行なう必要があり、これはWindows
の再インストールだけでは解決しない。このようにいったんシステムが
危機に陥った場合、その復旧は全面的なマシンの再インストールを必要とする
ことが多く、さらに、ウィルス検知/駆除ソフトウェアがなければ困難である
場合も多い。一方、Linuxを始めとするUNIXシステムの場合もOSを上書き
インストールするだけでは、/etc/passwd等に施された改変などを持ち越して
しまうことがあること、また、すべてのセキュリティパッチをインストール
するのはかなりの手間隙がかかること、を考えれば、十分とは言えない。]
こうしたワームは、まずシステムを攻略するのにトロイの木馬を
利用することが多い。トロイの木馬について詳しくは次の文書を参照のこと。
-
http://www.cert.org/advisories/CA-1999-02.html
さらに、こうしたワームはシステムに存在する脆弱性に付け入ることで
繁殖することが多い。よく使われている製品に関係する脆弱性について
の情報は次を参照のこと。
-
http://www.kb.cert.org/vuls
著者: Jeff Carpenter, Chad Dougherty, Shawn Hernan
この文書は次で入手できる:
http://www.cert.org/advisories/CA-2001-20.html
CERT/CC Contact Information
Email: cert@cert.org
Phone: +1 412-268-7090 (24-hour hotline)
Fax: +1 412-268-6989
Postal address:
-
CERT Coordination Center
Software Engineering Institute
Carnegie Mellon University
Pittsburgh PA 15213-3890
U.S.A.
CERT personnel answer the hotline 08:00-17:00 EST(GMT-5) / EDT(GMT-4)
Monday through Friday; they are on call for emergencies during other
hours, on U.S. holidays, and on weekends.
Using encryption
We strongly urge you to encrypt sensitive information sent by
email. Our public PGP key is available from
If you prefer to use DES, please call the CERT hotline for more
information.
Getting security information
CERT publications and other security information are available from
our web site
To subscribe to the CERT mailing list for advisories and bulletins, send email to
majordomo@cert.org. Please include in the body of your
message
subscribe cert-advisory
* "CERT" and "CERT Coordination Center" are registered in the U.S. Patent and Trademark Office.
NO WARRANTY
Any material furnished by Carnegie Mellon University and the
Software Engineering Institute is furnished on an "as is"
basis. Carnegie Mellon University makes no warranties of any kind,
either expressed or implied as to any matter including, but not
limited to, warranty of fitness for a particular purpose or
merchantability, exclusivity or results obtained from use of the
material. Carnegie Mellon University does not make any warranty of any
kind with respect to freedom from patent, trademark, or copyright
infringement.
Conditions for use, disclaimers, and sponsorship information
Copyright 2001 Carnegie Mellon University.
更新履歴
Jul 20, 2001: 第1版リリース
この翻訳は橋本喜代太(hash@reasoning.org)が行った。
翻訳公開は原文を受け取ってから(訳者の使用しているPOPサーバに
メールが届いた時点であり、訳者自身がメールを見た時点ではない)
約6時間後である。(帰宅後、訳者がリリースを確認した時点からは
約1時間後)
本和訳の改訂履歴
2001年7月21日午後11時30分 (JST) 初版公開
2001年7月21日午後11自45分 (JST) typo修正並びに、今回から"compromise"という
用語を「攻略する」とした。
訳者並びに連絡先: 橋本喜代太
|