PR

 9月10日現在,Microsoft Windowsにはセキュリティ・パッチ未公開の複数のぜい弱性が報告されている。しかしWindowsアップデートが定例化してから,このようなセキュリティ・パッチ未公開の状況は時折あったせいか,あまり緊迫感は感じられない。ジタバタしても解決されるわけではないので,当然といえば当然だが,新たな攻撃手口に悪用される可能性のあるものに関しては事前に対策を講じておきたい。

 現在,セキュリティ・パッチが公開されていないぜい弱性は次の通りだ。
・Microsoft Internet Information Services FTP Server NLST Buffer Overflow
・Microsoft IIS FTP Server Recursive Listing Denial of Service
・Microsoft Windows SMB Processing Array Indexing Vulnerability
・Microsoft Windows Media Format Two Code Execution Vulnerabilities

 中でも目を引くのは,久々に報告されたInternet Information Services(IIS)のFTPサービスに関係するぜい弱性である。ぜい弱性情報の公開前に攻撃コードが公開されたためだ。この数年は,Windows用サーバー・ソフトのぜい弱性を悪用した侵入よりも,Webアプリケーションのプログラム上の欠陥を悪用した不正アクセスが目立っている。今回のFTPサービスのぜい弱性が,サイバー攻撃者たちにどのように悪用されるのか,注目されるところだ。

狙われる匿名アカウント

 今回のぜい弱性について簡単に説明すると,次のようになる。

IISのFTPサービスにはフォルダ名の取り扱いに不備が存在している。具体的には,NLSTコマンド(ワーキング・ディレクトリ内のファイル一覧を表示させるためのコマンド)の引数として過度に長い不正なフォルダ名を指定すると,IISのFTPサービスではFTPリクエストを処理した際に,バッファ・オーバーフローが発生してしまう。このぜい弱性を悪用されると,FTPサービスにログイン可能な攻撃者に,IISのFTPサービスを実行するユーザー権限(ローカル・システム)を奪取されてしまう。

つまり,次の手順でバッファ・オーバーフローを発生させることになる。
STEP1 標的となるIISのFTPサービスに有効なアカウントでログイン
STEP2 過度に長い名前のフォルダを作成
STEP3 NLSTコマンドにより,STEP2で作成したフォルダを指定する

 STEP1の有効なアカウントとしては,FTPサービスの場合なら匿名アカウント(anonymous)が思い浮かぶ。実際に現在公開されている攻撃コードの一つでは,次のように匿名アカウントを悪用している(図1)。

図1●攻撃コードではFTPの匿名アカウントを悪用することが多い

 匿名アカウントを有効にしているサーバーは珍しくない。攻撃者側が標的サーバーの具体的なアカウント情報を所持していなくても,攻撃可能な状態であることは容易に想像がつく。

Web攻撃との連携が主流に

 では,このぜい弱性がどのように悪用される可能性があるのか。筆者が思うに,今後はこの手のぜい弱性の悪用方法は次の2パターンずつ登場するのではないかと考えている。
(1)外部からの直接的な攻撃
(2)Webやメールなどを経由した間接的な攻撃

 (1)について言うと,一般に外部からのFTPサービスへの攻撃対象はDMZ(非武装セグメント)である。ファイアウォールによるアクセス制御など,ごく普通のセキュリティ対策を実施していれば,被害を受ける可能性は低い。ただ世界中を見渡せば,セキュリティ対策を施していないサーバーは星の数ほどある。このため,ボットなどを使って攻撃を自動化する輩が現れるだろう。日本でも,IISを利用しているホスティング・サーバーなどは,真っ先に標的にされるかもしれない。

 (2)の間接的な攻撃の代表例は,上半期のキーワードとも言える「JSRedir-R」(GENOウイルス)である。受動的攻撃によってパソコン(PC)に感染させ,攻撃を開始する方法もあるだろうが,もっと厄介なのはJSRedir-RやNineballなどのウイルスとの組み合わせによる攻撃ではないだろうか。

 JSRedir-RやNineballは,以前のコラム(5月に世界的大流行したJSRedir-R/Gumblarの教訓)で解説したように,感染後に感染PCに含まれるFTPのアカウント情報を盗用し,そのPCのユーザーが管理するWebサイトのコンテンツを改ざんする。もしも,これらのウイルスにIISのぜい弱性を悪用する攻撃コードが組み込まれたらどうだろうか。感染PCがWebサイト管理者が使っているものであるかどうかに関係なく,様々なFTPサーバーに攻撃を仕掛けられることが分かる。こうなると被害範囲はJSRedir-Rの比ではなくなるだろう(図1)。

 特に厄介なのは,感染経路が多様化した場合である。JSRedir-Rのときもそうだったが,感染経路が特定されないと,モグラ叩きの状態になり,被害はジワジワと拡大する傾向にある。図1でいう攻撃パターン2の状態が発生すると,感染経路や原因究明に多大な時間を要する可能性がある。

点と点を結ぶログ分析を

 今回のIIS FTPサービスの対策に限って言えば,
・FTPサービスの停止
・管理者権限で匿名ユーザーからのFTPアクセスを許可しないように設定を変更
といった対策により脅威は軽減できる。とはいっても,二つめのアクセス制限に関しては,その他のアカウント情報を奪われてしまえば意味がない。つまり,JSRedir-Rのケースには効果はないと言える。

 そこで,もう少し包括的な対策について考えてみよう。今年に入ってウイルス感染事故に遭った企業には共通点がある。それは,組織内ネットワークのセキュリティ対策が甘い点だ。多くの企業が口をそろえて言うのが,「ウイルス対策ソフトは全PCに導入済みです」,「各PCの操作ログは取得しています」である。決して間違った対策ではないが,ネットワークの規模が大きくなればなるほど,これだけでは足りない。近年のセキュリティ事故は,「通常の操作」の中から発生している。「攻撃は外部から」という前提条件は崩れつつあるのだ。異状な個所を探すことが困難になってきているのだから,上述の対策だけでは足りないのは明白だろう。

 そこで推奨したいのが,PCやサーバーのログの内容から,関連するイベントを導き出す役割を果たす仕組みを設けることだ。PC向けセキュリティ・ツールのログを“点”とすれば,点と点を結びつける役割である。代表例として,ネットワーク・トラフィックの解析やIDS/IPSの導入が挙げられる。ほかに,各PCからネットワーク接続履歴を収集するといった取り組みも効果を期待できるだろう。

 今回報告されたIISのFTPサービスのぜい弱性は,“サーバー運用”に限らず,組織内のセキュリティ対策を適切に修正するための良いきっかけとなる。「サーバーへの攻撃は外部から」といった前提に立ってセキュリティ対策を実施しているのであれば,これを機会に,ぜひ組織防衛を意識した対策を実施してほしい。

岩井 博樹(いわい・ひろき)
ラック コンピュータセキュリティ研究所 所長
ラックのコンピュータセキュリティ研究所に勤務。IDS/IPS導入設計,コンサルティングなどに従事した後,同社のJapan Security Operation Center(JSOC)にて監視業務に携わる。現在は,セキュリティ技術の研究開発,フォレンジック業務を手掛ける。