JSOC緊急レポート(MS-RPC)
Microsoft Windows OSに存在する「RPC インターフェイスのバッファ オーバーランによりコードが実行される(MS03-026)」の脆弱性に対する攻撃および侵入に関するレポートです。株式会社ラック
公開日:2003年 8月 6日 16:30
最終更新日:2003年 8月 6日 21:15
JSOC 緊急レポート(MS-RPC)[速報]
1. 概要
JSOCではインターネット上の不穏な動向を察知し、先週より監視体制をCobra/Yellow(7.補足を参照)とし強化していました。8月4日(月)深夜から8月5日(火)朝にかけて、JSOCのある顧客に対して、Microsoft Windowsに実装されている RPC (Remote Procedure Call) という機能に存在する欠陥(MS03-026)(7.補足を参照)を利用した攻撃を検知しております。その経緯を分析した結果、今後さらに大規模な事件に発展する可能性が著しく高いと考えます。
現在、JSOCはさらに警戒を強化して監視体制をCobra/Orange(7.補足を参照)とし、厳戒体制を敷いています。
今回利用された問題に対して、2003年7月17日にMicrosoft社より修正プログラムが公開されております。対策を実施していないコンピュータは、
直ちに対策を施すことをお勧め致します。
2. 影響を受けるコンピュータ
以下の Microsoft Windowsオペレーティングシステムを動かしているコンピュータ全てが対象となります。
- Microsoft Windows NT Server 4.0
- Microsoft Windows NT Server 4.0, Terminal Server Edition
- Microsoft Windows 2000
- Microsoft Windows XP
- Microsoft Windows Server 2003
3. 攻撃・侵入手法
JSOCでは、問題となるTCP 135番ポートをファイアウォールにて阻止してなかったために、問題への対策が出来ていなかったコンピュータへ侵入されたことを検知しました。侵入が成功したことにより裏口(7.補足を参照)が作成され、さらなる脅威にさらされる可能性がありました。
検知内容から判明した攻撃・侵入手法は以下の通りです。以下の攻撃は、ツール等を利用し自動的に行われている可能性があります。
- インターネット上から TCP 135 番ポートに接続可能なコンピュータを探し出し、この問題を利用して TCP 4444 番ポートに裏口の作成を試みます。
- この裏口の作成に成功すると、攻撃者がインターネット上に用意しているコンピュータから、さらに複数のプログラムを侵入先のコンピュータにダウンロードします。さらに、ダウンロードしたプログラムを使用して、TCP 4899 番ポートに別の裏口を作成します。
攻撃者はこの後TCP 4899番ポートに接続し、さらに侵入を試みていますが、現時点において詳細は明らかになっておりません。
JSOCでは、今回の攻撃で裏口に利用されていると考えられるTCP 4899番ポートへの接続の試みを、この数日間で多数記録しています。以下に集計データを示します。
- 期間 2003/7/30 0:00から2003/08/05 21:00(JST)
- 対象ログ:JSOCの全監視顧客ログの中で以下の条件に全て該当するログ
-インターネットから内部への通信
-送信先ポート番号が 135 番および 4899 番
-送信元ポート番号が 1024 番以上(Web の戻りの通信などを排除)
| 日付 | TCP 4899 番ポートへの接続件数 |
|---|---|
| 2003/7/30 | 30 |
| 2003/7/31 | 13 |
| 2003/8/1 | 3016 |
| 2003/8/2 | 16 |
| 2003/8/3 | 2 |
| 2003/8/4 | 327 |
| 2003/8/5 | 5424 |
通常、それほど接続がないTCP 4899番ポートに対してこれだけまとまって接続の試みがあるのは、今回のツールに関連するものによるか、もしくはツールに関する情報を入手した悪意ある攻撃者が意図的に接続を試みている可能性が高いと考えられます。
4. 考えられる脅威
【企業や組織に対する脅威】
大半の企業や組織ではファイアウォールやルータにより、今回の攻撃で利用されているポート(TCP 135番ポート、TCP 4444番ポート、TCP 4899番ポート)へのアクセスを阻止する設定となっています。そのため、インターネットから直接被害を受けることは考えにくいです。ただし、ダイヤルアップ等でインターネットに直接接続しているコンピュータがある場合、被害を受ける可能性があります。さらに、今後、別のポート番号で裏口を作成したりIRC(チャット)サーバへ接続を行うもの等が出現することも考えられますので、設定内容の再確認することをお勧め致します。
また、ファイアウォールを導入していても、ファイアウォールの設定において上記の通信を許可している場合、この問題による被害を受ける危険性がありますので、設定内容を変更することをお勧め致します。
今後この問題を利用したワームが出現した場合、ファイアウォール等でネットワーク境界において対策を実施していても、既に侵入されたノートパソコンの持込みやダイヤルアップ等によるインターネットへの直接接続などにより、組織内で被害が拡がる可能性が考えられます。システム管理者はユーザに対し、社内における機器の接続・利用規定について十分な指導が必要であり、既に侵入されていないか確認することをお勧め致します。
【個人ユーザに対する脅威】
常時接続の個人ユーザのコンピュータは、無意識のうちに今回の攻撃で利用されているポート(TCP 135番ポート、TCP 4444番ポート、TCP 4899番ポート)へのアクセスを許可している可能性があり、特に被害を受けてしまう可能性が高いと考えられます。ブロードバンドルータや使用しているWindowsのフィルタリング機能の設定内容の確認若しくはパーソナルファイアウォールの導入をお勧め致します。
5. 対策
1)ファイアウォールまたはルータにおける対策
ファイアウォールまたはルータに以下のルールを設定します。
- インターネットから内部に対する、TCP 135番ポート、TCP 4444番ポート、TCP 4899番ポートへのアクセスを許可しない。また、インターネットから内部への許可する通信は可能な限り、外部に対して公開する必要のあるコンピュータ上の必要最小限のサービスのみに限定することをお勧めします。
- 内部からインターネットに対する、TCP 135番ポート、TCP 4444番ポート、TCP 4899番ポートへのアクセスを許可しない。また、内部からインターネットへ許可する通信は必要最小限のサービスのみに限定することをお勧めします。
ファイアウォールのログを適時調査し、特に内部からインターネットに対する不審な痕跡がないか確認し、内部における侵入者の活動を早期にキャッチし対応を図る方策が大変有効です。
2)コンピュータ上における対策
Windows Updateを実施し、修正プログラムを適用します。
- Windows Update:
http://windowsupdate.microsoft.com/
- Windows Updateを実施できない環境にある場合、以下のURLより修正プログラムをダウンロードし適用してください。
http://www.microsoft.com/japan/technet/security/bulletin/ms03-026.asp
注意:ダウンロードを行うためにインターネットに直接接続すると、修正プログラム適用の間に侵入される可能性もありますので、修正プログラム適用済みの機器から接続するなど、十分ご注意ください。
6. 関連 URL
IPA:Windows RPC インターフェースの脆弱性への再度の注意喚起:
http://www.ipa.go.jp/security/ciadr/vul/20030717-win_rpc.html
Microsoft:RPCインターフェイスのバッファ オーバーランによりコードが実行される(823980)(MS03-026):
http://www.microsoft.com/japan/technet/security/bulletin/MS03-026.asp
CERT Advisory CA-2003-16 Buffer Overflow in Microsoft RPC:
http://www.cert.org/advisories/CA-2003-16.html
http://www.lac.co.jp/security/intelligence/CERT/CA-2003_16.html(邦訳)
CERT Advisory CA-2003-19 Exploitation of Vulnerabilities in Microsoft RPC Interface:
http://www.cert.org/advisories/CA-2003-19.html
http://www.lac.co.jp/security/intelligence/CERT/CA-2003_19.html(邦訳)
7. 補足
【Cobra/Yellow とは】
JSOCのセキュリティ監視体制において、「サイバーテロ等に代表される大規模な事象発生」に対する危機管理対策の一環で、号令(サイン)を定めています。自然災害時の防災対策としてサインで「注意報」「警報」「避難命令」等が出るのと類似しております。
JSOCでは、このサインを、サイバーテロ(Cyber terrorism)の頭のCをもじったコード名=Cobra(コブラ)の色別に分けて出しています。
- Cobra/Green :平常時
- Cobra/Yellow:警戒体制(注意報)
- Cobra/Orange:厳戒態勢(警報)
- Cobra/Red :緊急体制(事案発生)
平常時の色はGreenであり、通常の監視体制を意味します。大規模な事象発生の予兆を捉えた場合、Cobra/Yellow(黄)の警戒体制をスタッフに宣言します。この指示が出た場合、大規模な事象に対する警戒体制がJSOCスタッフに徹底され、決められたルールにのっとり出動・待機指示があり、警戒及び厳戒体制のシステムが稼動します。事態がさらに拡大するにつれて、厳戒体制(Orange)・緊急体制(Red)を宣言し、監視顧客や対外的に注意喚起・緊急対応を宣言し、対策指示を行っていきます。
【RPC (Remote Procedure Call) とは】
RPCはリモートからファイル共有やディレクトリ・アクセスなどを行うときに使用されるサービスで、Windows環境において最も基本的なサービスのひとつです。サーバ、クライアントを問わず、デフォルトのWindows環境において有効になっています。
今回利用されているのは RPC に関する以下の問題です。
「RPC インターフェイスのバッファ オーバーランによりコードが実行される(823980)(MS03-026) 」
http://www.microsoft.com/japan/technet/security/bulletin/ms03-026.asp
【裏口(バックドア)とは】
侵入者が一度侵入したコンピュータに対して、仕掛けた別の侵入経路のことです。侵入者は再度、同じコンピュータに侵入しようとする場合、この別経路を使用して侵入してきます。このバックドアは巧妙に隠されていることが多く、仕掛けられたコンピュータ上からは、裏口(バックドア)を仕掛けられていることをなかなか発見できないことが少なくありません。また最初の侵入経路とは別に作成されるため、管理者が最初の侵入経路に気付いてパッチ適応等の対策を講じた後にも容易にさらなる侵入を可能にします。
裏口の多くは、リモートから利用可能な管理者権限でのコンソールの提供など、より直接的に攻撃を行なうことを可能にします。また、裏口を作成する機能を持つワームも多数あります。BUGBEAR や BadTrans と呼ばれるワームはその一例です。
【ご注意】
株式会社ラックは、いかなる場合も、この情報の使用や配布で生じる直接及び間接を問わず生じる損害について責任を負いません。この文書に記載されている情報は予告なしに変更されることがあります。
【改版履歴】
2003年8月6日 16:30 初版発行
2003年8月6日 21:15 「3.攻撃・侵入手法」にログの説明を追加
サイトガイド
セキュリティ情報
- セキュリティアラート
- JSOC侵入傾向分析レポート
- サイバーリスク総合研究所 発表レポート
- LAC Advisory
- SNSDB Advisory Report
- LACメルマガ購読
- 無料Webサイトログ診断ツール(SecureSite Checker Free)
- 外部脅威の世界地図
- 特集スペシャル・アーカイブ
教育・資格取得
セキュリティアカデミー
![[QRコード]](/common/img/guide_qr_lac.gif)
リファレンス
