Advisories
Tech Tips
Incident Notes
Summaries
和訳版
最近版
全CERT勧告
Tech Tips
CERT Advisory 2001-23
- この文書はCERT Advisory文書の和訳である。和訳については一切の 保証はしない。この文書を使った結果のあらゆる損害等について 訳者は一切責を負わない。また、転載は禁じる。
- この和訳は文書の性質上、in rushであり、訳の自然さより も訳出の迅速さを目指している。内容の正確さについては訳者としての 良心から可能な限り気をつけているが、通常の翻訳であれば訳の改善を 図るために訳語等で悩む時間を極力圧縮しているため、不自然なところが 残っているかもしれない。指摘は歓迎である。なお、読者対象は文書の 性質上、ネットワーク管理者等であるため、この読者層に通じやすい 訳語選定を心がけている。
- この和訳はあくまでも訳者の個人的な関心に基づいて行われている。 今後、飽きるまでは原則として24時間以内の翻訳を目指す(この迅速さが どこまでできるかが訳者の関心である)が、予告なく遅延、終了すること がある。
- 本文書の和訳について、CERTから翻訳許諾は受けていない。別所で CERTと契約を行って翻訳を行っているところがある。 なお、本翻訳はその翻訳を 一切参照していない。特にその必要を感じないからでもあるが、本質的に 翻訳は訳者の解釈の塊であり、複数の独立した翻訳があることで、注意 深い読者が比較検討して、読者の判断で何が正しいのかを判断できると 考えるためである。
- この翻訳に対して、しかるべきところから明示的に翻訳拒絶の連絡を 受けた場合を除き、本翻訳は訳者の責任において公開する。ただし、内容 についての責任は最初に書いたように負わない。
- 訳者は大阪女子大学情報センター講師の橋本喜代太(hash@reasoning.org, hash@center.osaka-wu.ac.jp) である。ただし、本文書の訳出に当たって、大学当局は何ら関係ない。
- 関連文書は ここにリストがある。
CERT® Advisory CA-2001-23
"Code Red"ワームの脅威続く
Original release date: July 26, 2001
Last revised: August 23, 2001
Source: CERT/CC
本文書の原文は http://www.cert.org/advisories/CA-2001-23.htmlである。
本文書の完全な更新履歴は末尾にある。
影響のあるシステム
(これらシステムはIISを使っている)
概要
2001年7月13日頃以降、"Code Red"という自己増殖型の悪意あるコード
が少なくとも2種類(at least two variants)、インターネット上のホストを攻撃しつづけている
(CA-2001-19
IISインデックスサービスDLLでバッファオーバフローを起こさせる "Code Red" ワーム(原文)
; その和訳を参照せよ)。
さまざまな組織が"Code Red"を分析しているが、システムクロックが翌月に
切り替わる時点で感染したマシンがどのような動作をするかについてさまざまな
結論を引き出している。
このワームは2001年8月1日0時0分(グリニッジ標準時)に再び蔓延し始める
であろうと我々は考えている。既に何万ものシステムがこのワームに感染しているか
8月1日の時点で再び感染する脆弱性を抱えているという証拠がある。このワームは
きわめて素早く広まるため、脆弱なシステムは2001年8月2日までにほぼすべて
攻略されてしまうであろう。
CERT/CCが受けた報告を考えると、少なくとも28万台のホストが先ごろの 第一波で攻略された。
この勧告のポーランド語翻訳版はhttp://www.cert.pl/CA/CA-2001-23-PL.htmlで入手可能である。
I. 説明
"Code Red"ワームは自己流布型(self-propagating)の悪意あるコードで、 CA-2001-13 IISインデックスサービスDLLのバッファオーバフロー(原文); その和訳で記述されている脆弱性を 持つMicrosoft Internet Information Server(IIS)を有効にしているシステム に付けこむ。攻略されたマシン上でのこのワームの活動は時刻(日付)によって 違う。システムクロックの日付によっていろいろな活動をするのである。 CERT/CCは少なくともこのワームについて2種類が広く流布していることを 確認しており、おのおの次のような振る舞いを見せる。
- 流布モード(月のうちの1日〜19日):
感染したホストはさらにワームを流布しようとして、任意のIPアドレス
にポート80/tcpで接続を試みようとする。このリクエストを受け付ける
ホストの設定によってその結果は変わってくる。
- 修正パッチを適用していないIISサーバ4.0ならびに5.0でインデックス サービスをインストールしている場合、ほぼ確実に"Code Red"ワームに 攻略されることになるであろう。このワームの初期の変異版においては 犠牲となるホストのデフォルトが言語が英語であった場合、ウェブサーバ からリクエストされるすべてのページが改竄された。後の変異版に感染した ホストでは、提供している内容に改竄を加えられたことはない。
- 修正パッチを適用していないCisco 600シリーズ DSL ルータは このHTTPリクエストを処理し、ルータがパケットをフォワーディングするのを 停止させてしまう今回とは別の脆弱性を引き起こすことになる。 [http://www.cisco.com/warp/public/707/cisco-code-red-worm-pub.shtml]
- IISは使っていないが、ポート80/tcpを待ち受けてしているHTTPサーバがあるシステム もおそらくこのHTTPリクエストを受け付けることがあり、 "HTTP 440 Bad Request"メッセージを返し、アクセスログにこのリクエストがあったことを 記録するであろう。
- 殺到モード(月のうちの20日〜27日): コードには特定のIPアドレスが埋め込まれており、そこに対して パケットを大量に送りつけることでサービス拒否(Dos)攻撃を開始するであろう。
- 終結 (28日以降): ワームはメモリ上に残ってはいるが、それを除けば 停止状態(inactive)となる。
"Code Red"ワームの詳細な技術分析はCA-2001-19(原文); その和訳 にある。
II. 影響
CERT/CCに報告されたデータによれば、"Code Red"ワームはわずか9時間 のうちに25万台以上のシステムに感染した。図1が示しているのは 2001年7月19日の午前6時EDTから午後8時EDTまでの状況である。
注: 7月19日の午後8時EDT (グリニッジ標準時では7月20日の 午前0時0分)以降、このワームは感染したたいていのシステムで 殺到モードに切り替わったため、それ以降は感染したシステム数は ほぼ横ばい状態であった。
我々の分析から見積もると、1台のホストに感染したのを開始時点 として、世界中の脆弱なIISサーバすべてにこのワームが感染するのに 要する時間はわずか18時間以下であろう。このワームは月のうち最初の 19日間は自己の流布を続けるようプログラムされているので、スキャン を行なうトラフィックが大量発生するために幅広い 範囲でサービス拒否(DoS)が発生することになるかもしれない。
既にCA-2001-19(原文) ; その和訳で報告されているように、 感染したシステムはウェブサイトの改竄を受けるだけでなく、このワーム の流布活動の結果、パフォーマンスが低下することになるであろう。この パフォーマンス低下はきわめて深刻なものになることもあり、実際、サービスが いくつか完全に停止してしまうこともあり得る。というのは、1台のマシンが このワームに同時に複数感染してしまうことがあり得るためである。
さらに、重要な事実として、"Code Red"ワームが付け入るIISのインデックス サービスの脆弱性 はローカルシステムのセキュリティコンテキストで任意のコードを実行する のにも利用することができる。このレベルの権限を得ることで、攻撃者は 感染したシステムを完全に制御下に置けることになる。
III. 解決策
CERT/CCが推奨するのは、すべてのインターネットサイトが CA-2001-13(原文); その和訳 を再読し、自ネットワークで影響のあるホストすべてに対して回避策 ないしは修正パッチが適用されているか確認することである。
自分の制御下にあるホストが攻略されたと考えられる場合、以下の 文書を見るとよいかもしれない。
このワームで現在分かっているバージョンはメモリ内に置かれるだけの ものである。このため、マシンを再起動すればシステムからワームを除去 できる。しかし、このワームは急速に広まってきているため、再感染する確率は きわめて高い。"Code Red"ワームが付け入ろうとする脆弱性をなくすには、 システムをネットワークから切り離し、ベンダが提供する修正 パッチを当てるべきである。
IV. しておくとよいこと
すべてのネットワークトラフィックを基本的には禁止し、必要なものだけを 選択的に許可するという最善のセキュリティ対策と合わせて、入口フィルタリング と出口フィルタリングをネットワーク境界点に用意すべきである。同様に、 ネットワーク上で使われるすべてのソフトウェアが適正に維持管理されている と確認できるような体制/技術も用意すべきである。入口でのフィルタリング(Ingress filtering)
入口フィルタリングとは、自分の管理下のネットワークに 流入してくるトラフィックを管理することである。 典型的にはサーバと呼ばれるマシン以外はパブリックなインターネット の外部で開始側となる接続(inbound connections)を受け付ける必要はない。
多くのサイトのネットワーク利用ポリシーにおいては、何もパブリック サービスを提供しないマシンに対して外部ホストが(訳注:内部のマシン 側から要求したものを除き)接続してくる理由は ほとんどない。
だから、入口フィルタリングをネットワークの境界に置き、利用を認めて いない(non-authorized)サービスに外部から開始される接続を許可しない ようにすべきである。
このようにすることで、侵入者がネットワークを調べる(scanning)のに 使うテクニックの多くはその効果が劇的に小さくなる。
"Code Red"の場合、入口フィルタリングを使うことで、自ネットワーク 外部から来たこのワームが、ローカルネットワーク にあってパブリックな ウェブサービスを提供することを明示的には認めていないはずのマシンに 感染することを防ぐことができるであろう。
Ciscoは"Code Red"ワームの入口フィルタリングに対処するためのtech tipを 公開した。
出口でのフィルタリング(Egress filtering)
出口フィルタリングとは、自分の管理下のネットワークから 送出されるトラフィックを管理することである。 典型的には、インターネットへの外部接続の開始点の働きをするパブリックサービス を提供するマシンが必要となることがある(limited need)。 [訳注:この部分の訳は特に生硬だが、原文は、 There is typically limited need for machines providing public services to initiate outbound connections to the Internetである。訳者は「ネットワーク内のマシンがインターネット に接続しようとする場合に必ず経由するような、そして、IPレベルではその経由となる マシンのIPアドレスだけが外部に見えるようになっているようなサーバ」と 解釈している。つまり、ウェブにおけるプロクシサーバのようなものである。この 解釈が正しくないと考えられる場合、ぜひ訳者にご教示願いたい。] "Code Red"の場合、出口フィルタリングを使うことで、自ネットワーク内において 攻略されたIISサーバがさらにこのワームを広げるのを防ぐことができるであろう。
新たなソフトウェアをインストールする際は最新のパッチを適用せよ
マシンに何かOSやアプリケーションを初めてインストールする際、インストール用 のメディアを使うだけでは不十分である。ソフトウェアが広く流通してから 脆弱性が発見されることはよくある。だから、そのマシンをネットワークにつなぐ 前に、そのソフトウェアに対する最新のセキュリティ修正パッチをベンダから入手 し、適用すべきである。Appendix A. - ベンダ情報
この補遺ではこの勧告に対してベンダから提供された情報をまとめている。 ベンダが新たな情報をCERT/CCに報告した際は、このセクションを更新し、 更新履歴に変更点を示す。特定のベンダが以下にない場合は、そこから のコメントを我々が受け取っていないということである。
Cisco Systems
Ciscoはこの脆弱性を記述したセキュリティ勧告を発行した。
Microsoft Corporation
"Code Red"ワームによって付け入られることになる脆弱性について次のような
文書をMicrosoftが公開している。
著者: Roman Danyliw & Allen Householder
この文書の原文は以下で入手できる。 http://www.cert.org/advisories/CA-2001-23.html
CERT/CC Contact Information
-
Email: cert@cert.org
-
CERT Coordination Center
Software Engineering Institute
Carnegie Mellon University
Pittsburgh PA 15213-3890
U.S.A.
Phone: +1 412-268-7090 (24-hour hotline)
Fax: +1 412-268-6989
Postal address:
Using encryption
We strongly urge you to encrypt sensitive information sent by email. Our public PGP key is available from
If you prefer to use DES, please call the CERT hotline for more information.
Getting security information
CERT publications and other security information are available from our web siteTo subscribe to the CERT mailing list for advisories and bulletins, send email to majordomo@cert.org. Please include in the body of your message
subscribe cert-advisory
* "CERT" and "CERT Coordination Center" are registered in the U.S. Patent and Trademark Office.
NO WARRANTY
Any material furnished by Carnegie Mellon University and the Software Engineering Institute is furnished on an "as is" basis. Carnegie Mellon University makes no warranties of any kind, either expressed or implied as to any matter including, but not limited to, warranty of fitness for a particular purpose or merchantability, exclusivity or results obtained from use of the material. Carnegie Mellon University does not make any warranty of any kind with respect to freedom from patent, trademark, or copyright infringement.
Conditions for use, disclaimers, and sponsorship information
Copyright 2001 Carnegie Mellon University.
更新履歴
Jul 26, 2001: 第1版公開 Jul 30, 2001: Added link to Polish translation Aug 16, 2001: Added link to Cisco ingress filtering tech tip, updated link to Microsoft cumulative patch Aug 23, 2001: Updated contact information
この翻訳は橋本喜代太(hash@reasoning.org)が行った。 翻訳公開は原文を受け取ってから(訳者の使用しているPOPサーバに メールが届いた時点であり、訳者自身がメールを見た時点ではない) 約40分後である(ただし、その数時間前にウェブ上で発見していたため 短時間に見えるだけだが)
本和訳の改訂履歴
2001年7月27日午後2時45分 (JST) 初版公開
2001年7月27日午後3時5分(JST) 「記述」のところで、after 27thとあった
ところを「27日以降」から「28日以降」に訂正。
2001年12月14日午後10時20分 (JST) 8/23までの改訂に追従。
訳者並びに連絡先: 橋本喜代太