三輪 信雄氏 ラック 常務 コンピュータセキュリティ研究所長
嶋倉 茜氏 ラック コンピュータセキュリティ研究所 研究員
HTTPリクエストを悪用するCodeRed
CodeRedは,無作為にIPアドレスを作成し,HTTPリクエストを使って自身のプログラム・コードをインターネット上にある他のサーバーへ送り込む。このため,HTTP通信で使う80番のポートを遮断しない限り,CodeRedの侵入は防げない。つまり,HTTP通信をせざるを得ない外部公開用のWebサーバーは,ファイアウォールでは守れないのだ。A社の場合は,ファイアウォールによって外部公開用Webサーバーとイントラネット向けのWebサーバーを異なるセグメントに設置していた。しかし,ファイアウォールでHTTPポートを閉じていなかったため,イントラネット向けWebサーバーが感染してしまったのである。
IISには,Index Server/Index Service機能を呼び出すISAPIエクステンションに起因するセキュリティ・ホールがある。外部からの任意のコードの実行を許し,バッファ・オーバーフロー攻撃を受けてしまうのだ。CodeRedはIISが抱えていたこの問題を悪用し,他のWebサーバーにCodeRed自身のコピーを送りつける。
しかし,一般にサーバー・ソフトのセキュリティ・ホールを突く攻撃は,既知のセキュリティ・ホールを悪用したものばかり。IISのIndex Server/Index Service機能に関するセキュリティ・ホール情報も,マイクロソフトが2001年6月18日に「MS01-033」という名称で公表していた。つまり,A社のサーバー管理者が修正パッチをきちんと適用していれば,CodeRedに感染する可能性はなかったのだ。
