PR

 7月に大きな被害をもたらした「Code Red」ワームのより悪質な新種「Code Red II」の感染拡大が,8月4日ごろからセキュリティ関連のメーリング・リストなどで報告されている。IIS(Internet Information Sever/Services)のセキュリティ・ホールを突いてサーバーに侵入し,感染を広げる点は,オリジナル(Code Red ワーム)と同じであるが,外部から対象マシンの操作を可能にするプログラム,いわゆる「トロイの木馬」を仕掛ける点が異なる。

 加えて,より多数のIPアドレスに対して同時に侵入を試みるなど,オリジナルよりもさらに悪質になっている模様である。詳細については未確認の部分もあるが,十分警戒が必要である。また,IIS を内蔵していなくても CodeRed の影響を受けるネットワーク製品(例えば,ヤマハの「RT80i」など)が報告されている。こちらについても要注意だ。

より悪質な「Code Red II」

 Code Red II は,オリジナルの Code Red を参考にしているものの,改めて作成されたものとみられる。オリジナルを「Code Red v.1」,その一部を改変したものを「Code Red v.2」とし,今回の新種を「Code Red v.3」と呼んでいるケースもある。

 セキュリティ関連のメーリング・リスト(例えば,「INCIDENTS mailing list」)やシマンテックなどの情報によると,Code Red II の特徴は,侵入した IIS サーバーにトロイの木馬を仕掛けること。トロイの木馬にアクセスすることで,外部からそのサーバー上で任意のコマンドを実行できるようになる。オリジナルと同様,侵入したワーム本体はメモリーに常駐するため,マシンをリブートすれば消失する。しかし,トロイの木馬は独立したプログラムなので消えることはない。当然,マイクロソフトが公開するパッチを適用しても削除できないので,個別に削除する必要がある。

 トロイの木馬の実体は,Windows のコマンド・インタプリタ「cmd.exe」。ワームはcmd.exe を「root.exe」と名前を変えて,外部からアクセス可能な,IIS の公開フォルダ内にコピーする *。そのため,HTTPリクエストとして root.exe に任意のコマンド名を送信すれば,IIS サーバー上で実行されてしまう。

* 厳密には,実際の公開フォルダ下にコピーするのではなく,ワームが勝手に作成したフォルダの下にコピーする。そして,別のトロイの木馬がそのフォルダを公開フォルダにマッピングする。

 さらに,オリジナルと比較するとより多数のIPアドレスに対して,同時に侵入を試みるようだ。オリジナルでは,ワームは侵入のためのスレッドを同時に100個生成する。そして,それぞれのスレッドが別々のIPアドレスに対して侵入を試みる。しかし,Code Red II ワームは,侵入したサーバーのOS が中国語版の場合には 600,それ以外では 300個のスレッドを生成するという。

 侵入を試みるIPアドレスも異なる。オリジナルはまったくランダムに選択したのに対して,Code Red II は現在侵入しているサーバーの“近くの”IPアドレスを標的とする。枯渇が心配されているIPアドレスではあるが,実際に使用されているアドレス・ブロックには偏りがある。そのため,侵入に成功したマシンのアドレス近くを狙ったほうが,稼働しているマシンにヒットする可能性は高いと考えられる。

Code Red II の侵入を許した場合,上記のトロイの木馬を仕掛けられる以外に,レジストリ・キーなども改変されるといわれている。シマンテックなどのウイルス対策ソフトでは,このトロイの木馬を検出できるとしているが,それ以外の影響を考えると,システムを再インストールする必要があると考えられる。

ヤマハのルーターも影響

 オリジナルの Code Red が広まった際,IIS を内蔵していないにもかかわらず,影響を受けるネットワーク製品が存在した。例えば,米Cisco Systems の「Cisco 600シリーズ DSLルータ」などである。同様に,ヤマハのルーター「RT80i」や「RTA50i」も影響を受けることが明らかにされた。Code Red(および Code Red II)からアクセスされると,そのリクエストによりルーターがリスタートしてしまうという。対象となるのは,RT80i の初期出荷 から Rev.3.00.45 まで,および RTA50i の Rev.3.02/3.03/3.04 のすべて。対策はファームウエアをバージョン・アップするか,HTTP によるアクセスを禁止する。

 上記以外のネットワーク製品の影響についても,一部では話題になっている。Webサーバー機能を持つ(HTTPアクセスを受け付ける)ネットワーク製品を使用している場合には,(1)ベンダーに問い合わせる,あるいは(2)HTTP によるアクセスを禁止する---などして注意を払ったほうが良い。

【8月6日追記】コンピュータ緊急対応センター(JPCERT/CC)は8月6日,Code Red の変種について警告した

【8月7日追記】トレンドマイクロは8月7日,Code Red II ワーム(同社は「CODERED.C」と呼んでいる)の自動駆除ツールを公開した。メモリーを検索してワームが活動しているかどうかを調べ,活動している場合には停止させる。そして,ワームが仕掛けるトロイの木馬「EXPLORER.EXE」を削除するとともに,レジストリを修復する。同社によれば,CODERED.C はWindows 2000マシンのみに侵入するので,同ツールはWindows 2000専用であるという。

◎参照資料
CodeRed.v3(シマンテック)
Trojan.VirtualRoot(シマンテック)
RTシリーズのTCP/IPに関するFAQ「WWWサーバ機能の脆弱性(ぜいじゃくせい)」(ヤマハ)
■(MS01-033)「Index Server ISAPI エクステンションの未チェックのバッファによりWeb サーバーが攻撃される」(マイクロソフト)

(勝村 幸博=IT Pro編集)