Public Alert about Code Red worm (Japanese Translation)

本文書と関係して、Code Redワームについて現時点で関係各所から提供されている情報をまとめたものを hash's Security Note 2001-01「Code Redワームについての情報」として提供しています。こちらも関心があれば御覧ください。 (2001/07/30 19:30記)
CERT/CCからの文書の原文は Web版でも読めます。(2001/07/31 01:40記)

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1


CERT/CCよりPublic Alert about the Code Red wormという緊急
警告文書が発行されました。以下にこの文書の和訳並びに、
関連する内容を示します。必要と思われる箇所に自由に転送されて
かまいません(ただし、各種メーリングリストへの投稿は迷惑に
ならないよう十分配慮してください)。また、本和訳は
http://www.reasoning.org/jp/cert/code_red_worm_alert.html
にも提示しますので、そちらを参照するのもかまいません。
                2001年7月30日午前9時00分
                大阪女子大学情報教育センター 橋本 喜代太

- - - ----------------------------------------------------------
CERT/CCはこの文書末に一覧される他機関とともにインターネット
に対する重大な脅威についてこの警告文書を発行する。

緊急発行: 3:00 PM EDT July 29, 2001

インターネットに対するきわめて現実的かつ現在的な脅威: 
対処は7月31日までに

概要: Code Redワームとその変異版はインターネットユーザに対して
今も重大な脅威である。この脅威に対抗する手段は即座に取る必要が
ある。このワームに対して脆弱なソフトウェア(Microsoft IIS 4.0
並びに5.0)を利用しているユーザは、まだしていなければ、最重要の
セキュリティ修正パッチをインストールしなければならない。

この問題はどれほど大きなものか?

7月19日にCode Redワームはわずか9時間のうちに250,000台以上もの
システムに感染した。このワームはインターネット中をスキャンし、
脆弱なシステムを見つけ、自身のコピーをインストールすることに
よってそうしたシステムにも感染する。新たにインストールされた
ワームはそれぞれ他のコピーと同じ行動に出るため、スキャンの速度
は飛躍的に加速することになる。この制御不能なスキャンの増大に
よってインターネットの通信速度は低下し、あらゆる種類のシステム
で散発的にではあるが広範な機能停止を招く可能性がある。Code Red
ワームは2001年7月31日午後8時00分(EDT)に再び広がり始める可能性が
高く、変異版が存在するために7月19日のとき以上に危険であろう。
このワームが流行することで、電子商取引や電子メール、娯楽といった
目的でインターネットをビジネスないし私的に利用することができなく
なる可能性がある。

誰が行動を起こさねばならないか?
Windows NTまたはWindows 2000のシステムがあり、かつ、IISウェブ
サーバが脆弱なままかもしれない機関や個人はすべて、である。IISは
多くのアプリケーションで自動的にインストールされる。よく分から
なければ、IIS 4.0ないし5.0を使っているかどうか判断するため、後で
示す文書([訳注]http://www.digitalisland.com/coderedのこと。ただし、
この訳文の末尾にその概要を添付している)の指示に従うようにせよ。
あなたがWindows 95, Windows 98, Windows Meのいずれかを使用してい
るならば、この警告に応じて行動を起こす必要はない。

脆弱であるならばどうすればよいか?
a. 現在Code Redワームがマシンに残っていれば、それを削除し、コン
   ピュータを再起動せよ。
b. システムが再感染するのを防ぐため、Microsoftが提供しているCode
   Red Wormに対する脆弱性を修正するパッチをインストールせよ。
   * Windows NT 4.0: 
     http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30833
   * Windows 2000 Professional, Server 並びに Advanced Server: 
     http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30800

この対処について手順を詳しく説明した文書は
http://www.digitalisland.com/codered にある。

Microsoftによるこの修正パッチとそのインストール方法、対処する
脆弱性についての説明は次である。

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/sec
urity/bulletin/MS01-033.asp

この脅威の重要性を鑑み、次の各機関が共同してこの警告を作成した。

Microsoft
The National Infrastructure Protection Center
Federal Computer Incident Response Center (FedCIRC)
Information Technology Association of America (ITAA)
CERT Coordination Center
SANS Institute
Internet Security Systems
Internet Security Alliance

- - - ---------------------------------------------------------------

[和訳版追補]
以下にhttp://www.digitalisland.com/coderedにある指示の部分について
のみその概要を示しておく。ただし、この文書を読む人は日本語版のWindows
NT 4.0または日本語版のWindows 2000を利用していることを前提にしている
ため、日本語版向けに合わせた記述にしている。英語版を利用している場合は
オリジナルの手順を参照せよ。

[事前確認]
0. まずAdministratorないしAdministrator権限のアカウントでログオンする
1. IISを動作させているか判断するには
1-1. タスクマネージャを起動する
     (CTRL + ALT + DELを同時に押し、表示されたダイアログボックスで
     タスクマネージャのボタンをクリックするのが簡単である)
1-2. 「プロセス」タブを選択肢、イメージ名欄でInetinfo.exeを探す
1-3. もしInetinfo.exeがあればIISを動作させているのであり、必要な修正
     パッチをインストールせよ。なければIISは動作させていないので、これ
     以降の対処は不要である。

[IIS 4.0ないし5.0を動作させている場合の対処]
0. まずAdministratorないしAdministrator権限のアカウントでログオンする
   また、修正パッチを適用する前に最新のサービスパックを適用しておく
   必要がある。Windows NT 4.0の場合はSP6a、Windows 2000の場合はSP2
   が最新である。
   
1. Microsoftから修正パッチをダウンロードせよ。
[具体的なやり方]
1-1. ダウンロードの前にMicrosoft提供の修正パッチを保存するフォルダを
     Microsoft Patchesという名前等で作成しておくのがよい。今後発行さ
     れる修正パッチもここに保存しよう。
1-2. Windows NT 4.0とWindows 2000では修正パッチが別である。
   * Windows NT 4.0: 
     http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30833
   　Japanese Language Versionを選択してダウンロードせよ。ダウンロード
     されるファイルはjpnq300972i.exeである。
   * Windows 2000 Professional, Server 並びに Advanced Server: 
     http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30800
     Japaneseを選択してダウンロードせよ。ダウンロードされるファイルは
     Q300972_W2k_SP3_x86_ja.exeである。


2. 修正パッチをインストールせよ。
[具体的なやり方]
2-1. Windowsエクスプローラをダブルクリックする。Windowsエクスプローラ
     は[スタート]ボタンを右クリックして表示されるメニューの「エクスプ
     ローラ」を選択して起動するか、[スタート]メニューの[プログラム]に
     ある「エクスプローラ」を選択して起動する。
2-2. 1-1で作成したMicrosoft Patches等の名前のフォルダを開く
2-3. パッチがあるのを確認する
   * Windows NT 4.0の場合は jpnq300972i.exe という名称である。
   * Windows 2000の場合は Q300972_W2k_SP3_x86_ja.exe という名称である
。
2-4. パッチをダブルクリックする
2-5. パッチがインストールされると、システムが更新されたことを示すダイ
ア
     ログボックスが表示されるので[OK]ボタンを押す。

3. RAM上からCode Redワームを除去するため、システムを再起動せよ。

- - - ------------------------------------------------------------------
- --
- - --

この文書の和訳ならびに追補は大阪女子大学情報教育センター講師 
橋本 喜代太が作成した。本文書は参考であり、添付された原文等を
必ず確認されたい。また、本文書内の内容に従った結果、いかなる
損害等があっても訳者は責任を負わない。

この文書は自由に配布してかまわないが、必ず原文を添付すること。
また、各種メーリングリストに無制限に投稿してこの文書がスパムの
ような働きになるようなことはしないよう、メーリングリストへの
配布は十分注意すること。

なお、この警告文書に関連して、CERT/CCではCERT勧告2001-19, 
2001-23を出している。これも必ず参照されたい。筆者作成の訳文
と合わせてURLを示す。

CA-2001-19
原文: http://www.cert.org/advisories/CA-2001-19.html
和訳: http://www.reasoning.org/jp/cert/cert2001-19.html

CA-2001-23
原文: http://www.cert.org/advisories/CA-2001-23.html
和訳: http://www.reasoning.org/jp/cert/cert2001-23.html

訳者: 大阪女子大学情報教育センター講師 橋本 喜代太
      hash@center.osaka-wu.ac.jp,  hash@reasoning.org
      hash@yo.rim.or.jp

本和訳文書の更新履歴
和訳発行: 2001年7月30日午前9時00分(JST)
和訳改訂: 2001年7月30日午前10時25分(JST)
             修正パッチを適用する前にWindows自体に最新の
             サービスパックを適用しておく必要があることを
             追記した。また、訳者の欄にメールアドレスを
             追加した。改訂後は改めてPGP署名をやり直している。


-----BEGIN PGP SIGNATURE-----
Version: PGPfreeware 5.5.3iJ for non-commercial use 

iQA/AwUBO2Q6Cfc3lhsLVB9NEQILFwCgq38sPEnuPUhqoLm/MXhyb7tv1nMAoJD6
t76iWKSadTRXefoEJoZwKSW4
=2pum
-----END PGP SIGNATURE-----



-----BEGIN PGP SIGNED MESSAGE-----



We the CERT/CC, along with other organizations listed below are
jointly publishing this alert about a serious threat to the Internet

For Immediate Release: 3:00 PM EDT July 29, 2001

A Very Real and Present Threat to the Internet: July 31 Deadline For Action

Summary: The Code Red Worm and mutations of the worm pose a continued
and serious threat to Internet users.  Immediate action is required to
combat this threat. Users who have deployed software that is
vulnerable to the worm (Microsoft IIS Versions 4.0 and 5.0) must
install, if they have not done so already, a vital security patch.

How Big Is The Problem? 

On July 19, the Code Red worm infected more than 250,000 systems in
just 9 hours. The worm scans the Internet, identifies vulnerable
systems, and infects these systems by installing itself. Each newly
installed worm joins all the others causing the rate of scanning to
grow rapidly. This uncontrolled growth in scanning directly decreases
the speed of the Internet and can cause sporadic but widespread
outages among all types of systems. Code Red is likely to start
spreading again on July 31st, 2001 8:00 PM EDT and has mutated so that
it may be even more dangerous.  This spread has the potential to
disrupt business and personal use of the Internet for applications
such as electronic commerce, email and entertainment.

Who Must Act? 

Every organization or person who has Windows NT or Windows 2000
systems AND the IIS web server software may be vulnerable.  IIS is
installed automatically for many applications. If you are not certain,
follow the instructions attached to determine whether you are running
IIS 4.0 or 5.0.  If you are using Windows 95, Windows 98, or Windows
Me, there is no action that you need to take in response to this
alert.

What To Do If You Are Vulnerable?  

a. To rid your machine of the current worm, reboot your computer.
b. To protect your system from re-infection: Install Microsoft?s patch for the Code Red vulnerability problem:
*  Windows NT version 4.0: http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30833
* Windows 2000 Professional, Server and Advanced Server: http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30800

Step-by-step instructions for these actions are posted at 
www.digitalisland.com/codered 

Microsoft's description of the patch and its installation, and the
vulnerability it addresses is posted at:

	      http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-033.asp

Because of the importance of this threat, this alert is being made
jointly by:

Microsoft
The National Infrastructure Protection Center
Federal Computer Incident Response Center (FedCIRC)
Information Technology Association of America (ITAA)
CERT Coordination Center
SANS Institute
Internet Security Systems
Internet Security Alliance

-----BEGIN PGP SIGNATURE-----
Version: PGP 6.5.8

iQCVAwUBO2RpCgYcfu8gsZJZAQGFrAP/TzyQ7lyshdKb7XeNNaVTFAZzO1hB1vKG
CZsaPxzqF2/GMgAQJ8HNum43QBSzr+H96f/5c7Op9ac1SefzuyWs14z+BhBXr6mf
Io9vClcL3h9saqV/J1Bkv0psYhhImTgLvAWZIYneYMuvY39zjxLC2/jkKLw8dWze
lcdFPH5j9vE=
=3biQ
-----END PGP SIGNATURE-----