トピック
修正プログラムはどこから入手できますか? 背景 問題の説明 管理者は何をする必要がありますか? 脆弱性の影響を受けるコンピュータの検出 緩和策 感染したコンピュータでワームを駆除する方法 技術サポート
このホワイト ペーパーはシステム管理者および技術者がマイクロソフトのオペレーティング システムの RPC および DCOM のサブシステムの脆弱性の悪用によって発生する被害を防ぐために利用することができるものです。これらの脆弱性は、マイクロソフト セキュリティ情報 MS03-026 および MS03-039 で説明されています。この脆弱性は現在サポートされているマイクロソフトのほとんどのオペレーティング システムに影響を及ぼしますが、このホワイト ペーパーは、主に技術者を対象としています。コンシューマは https://www.microsoft.com/japan/athome/security/protect/ を参照し、記載されているステップに従い、この攻撃およびそのほかの脅威から自ら保護することを推奨します。
修正プログラムはどこから入手できますか?
マイクロソフトはこの問題の重要性を考慮し、お客様に必要な修正プログラムをできるだけ早期にインストールすることを強く推奨します。影響を受けるシステムが攻撃されるのを防ぐために実行できる緩和策がいくつかありますが、マイクロソフトは可能な限りすべてのシステムに修正プログラムを適用することを強く推奨いたします。修正プログラムは Windows Update (https://windowsupdate.microsoft.com) および以下のサイトからインストールすることができます。
ほとんどのお客様は 32-bit Editionのオペレーティング システムを使用しています。使用しているバージョンが不明の場合は、まず 32-bit Edition をお試しください。
背景
2003 年 7 月 16 日 (米国日付)、マイクロソフトは、マイクロソフト セキュリティ情報 MS03-026 にて、マイクロソフトのオペレーティング システムのいくつかで利用可能な Distributed Component Object Model (DCOM) サービスのコンポーネントに存在するバッファ オーバーフローに対する修正プログラムをリリースしました。2003 年 9 月 10 日、マイクロソフトは MS03-039 をリリースし、DCOM アクティブ化ルーチンの別のセキュリティ上の脆弱性に対する修正プログラムが入手可能になったことをお知らせしました。MS03-039 でリリースされた修正プログラムには MS03-026 でリリースされた修正プログラムが含まれ、それらのプログラムの代わりに使用する必要があります。MS03-026 でリリースされた修正プログラムが適用されたコンピュータは、MS03-039 で説明された脆弱性の影響を受ける可能性が依然として存在することにご注意ください。
この修正プログラムは、DCOM に存在する既知の脆弱性を全て排除する効果があります。マイクロソフトは、現在も多数のコンピューターにこの脆弱性の影響を回避する修正プログラムが適用されていない事に対し、非常に強い懸念を抱いております。2003 年 7 月 25 日、いくつかのハッカー組織が MS03-026 で説明された脆弱性を悪用するコードをインターネット上に公開しました。MS03-039 の修正プログラムのリリース直後、その脆弱性を悪用するサンプルの悪用コードが公開されると予想されていました。公に使用できる悪用コードにより、攻撃者が攻撃を実行するワームおよびほかの悪用コードを作成するのが非常に容易にできるようになります。そのため、この修正プログラムのインストールをさらに緊急に行う必要があります。この脆弱性を悪用するサンプル プログラムの多くは、実際には攻撃が行われないものか、またはローカル コンピュータを侵害するためのトロイの木馬で、任意のリモートの標的の代わりに実効される可能性があるものですが、中には広範囲な攻撃が行うツールがあります。このような攻撃が実行されるコードは、標的のコンピュータまたはネットワークを完全に侵害するために悪用されます。したがって、コンピュータをできるだけ早期に保護することが絶対的に必要です。
問題の説明
Microsoft Windows システムのリモート プロシージャ コール (RPC) サービスは、ローカルおよびリモートの両方のプロセスの間でシームレスな通信を提供するために使用されます。RPC は、プログラマからネットワークの実装の詳細を抽出するために使用され、これにより、プログラマはネットワークの詳細ではなく、プログラムの実装に焦点を当てることができます。RPC により、DCOM など、多くの異なるサービスに通信プラットフォームが提供されます。Windows のほとんどのバージョンの DCOM の実装に、バッファ オーバーフローの脆弱性が確認されました。具体的には、DCOM コンポーネントの RPCSS アクティブ化インターフェイスに脆弱性が存在します。これらのバッファ オーバーフローが悪用された場合、任意のコードが実行される恐れがあります。これらの悪用プログラムの記述は、一般的には、簡単ではありません。しかし現在、これらの脆弱性のうちの最低でも 1 つを悪用するコードのいくつかが公開されています。たとえば、Blaster ワームは、これらの脆弱性の 1 つが悪用されたものです。
バッファ オーバーフローとは何ですか?
バッファ オーバーフローは、さまざまな問題から発生する可能性がある非常に一般的なプログラマのミスです。その名前が示すように、問題の中心は、プログラムがバッファに設計された以上の量のデータを格納しようとするということです。この共通のエラーは、様々な形式でおこる可能性があります。この種の問題を引き起こす構造の中には明らかなものがありますが、発見が非常に困難である場合もあります。
攻撃者がバッファ オーバーフローを悪用するには、標的となるコンピュータに、バッファに含むことができる量より多くのデータを送信する可能性があります。その結果、超過したデータにより、メモリのほかの部分が上書きされます。メモリ中のその部分に実行される命令が含まれている場合、コンピュータで、攻撃者が命令として送信したデータが翻訳され、実行される可能性があります。いくつかのケースで、実際に実行可能なプログラム コードであるデータが含まれるバッファに上書きし、コンピュータに任意のコードを実行させることは可能です。これは「悪用可能な」バッファ オーバーフローとして知られています。MS03-026 および MS03-039 の修正プログラムを適用したバッファ オーバーフローは悪用が可能なバッファ オーバーフローです。
テストされたシステムはどれですか?
マイクロソフトは、現在サポートされているすべてのオペレーティング システムで報告されているすべてのセキュリティ上の脆弱性のためのテストを行っています。以下のシステムがテスト済みです。
Windows Server 2003 Gold
Windows Server 2003 64-bit Edition
Windows 2000 Service Pack 4
Windows 2000 Service Pack 3
Windows 2000 Service Pack 2
Windows XP Service Pack 1
Windows XP 64-bit Edition, Version 2003
Windows XP 64-bit Edition, Version 2002
Windows XP Gold
Windows NT Server 4.0 Service Pack 6a
Windows NT Workstation 4.0 Service Pack 6a
Windows NT Server 4.0, Terminal Services Edition SP6
この場合、"Gold" は、Service Pack が適用されていない、製品の最初のリリース版を意味します。
Windows 2000 Service Pack 2 および Windows NT Workstation 4.0 Service Pack 6a はサポートが終了していることにご注意ください。しかし、この脆弱性の特性およびこの製品のサポートが終了したのがつい最近であり、また現在これらのシステムが使用されている数が多いという事実により、マイクロソフトはこの脆弱性に関し、Windows 2000 Service Pack 2 および Windows NT Workstation 4.0 Service Pack 6a のプラットフォーム向けに例外の措置をとることを決定しました。未知の脆弱性に関しては、今回のような措置は行う予定はありませんが、必要に応じ、修正プログラムを作成し、提供する権限を残しています。サポート対象外の製品に対する修正プログラムが必要なお客様は、サポート窓口からこれらの修正プログラムを入手できる場合があります。詳細は、マイクロソフト製品サポートにご連絡ください。未知の脆弱性からコンピュータを保護するためには、既存の Windows 2000 Service Pack 2 および Windows NT Workstation 4.0 Service Pack 6a をご使用のお客様は、できるだけ早期にサポート対象のプラットフォームにアップグレードすることを強く推奨します。
上記の製品のほかに、Windows Me のテストも行われ、この問題の影響を受けないことが確認されました。これにより、マイクロソフトのオペレーティング システムのサポートされているバージョンはすべてテストされたことになります。現在サポートされていないオペレーティング システムのバージョンのテストは行われていないため、それらのバージョンもこの脆弱性の影響を受ける可能性があります。マイクロソフトのサポート ポリシーに関する詳細は、Windows ライフ サイクルのページを参照してください。 https://www.microsoft.com/japan/windows/lifecycle/default.mspx
管理者は何をする必要がありますか?
使用しているコンピュータに修正プログラムを適用してください!
この問題に対応するため最も重要なのは、できるだけ早期にご使用の環境の影響を受けるすべてのコンピュータに修正プログラムを適用することです。多くの緩和策が利用可能ですが、修正プログラムのインストールの代わりになる方法はありません。コンピュータがインターネットに直接接続されていない場合でも、信頼さ れたコンピュータによる攻撃から、この脆弱性の影響を受ける可能性は依然としてあります。それらのコンピュータには、企業イントラネット上のほかのホスト、VPN またはダイヤルインによって組織的なネットワークにダイヤルされたホスト、およびインターネットからネットワークを保護するファイアウォールの背後に配置することができる他のホストが含まれます。また、RPC および (または) イントラネット上の DCOM を無効に設定することなどの対応策により、ほかの多くの機能に影響が及び、コンピュータのある部分で正常の動作が行われなくなる場合があります。そのため、この問題に取り組むためのよりよいアプローチは、できるだけ早期にすべてのコンピュータに修正プログラムを適用することになります。利用可能な修正プログラムに関する詳細は、「修正プログラムはどこから入手することができますか?」のセクションを参照してください。しかし、修正プログラムがインストールできない場合、または修正プログラムが適用される前に攻撃を受けたコンピュータの場合、「緩和策」の部分をご覧ください。
脆弱性の影響を受けるコンピュータの検出
コンピュータに修正プログラムが適用されたかどうかを検知するいくつかの方法があります。単一のコンピュータでチェックする最も単純な方法はWindows Update (https://windowsupdate.microsoft.com) を使用することです。しかし、複数のシステムでインストールを行うお客様は、そのほかの方法が便利です。ネットワーク管理インフラストラクチュアが存在する大きなネットワーク上では、管理者は以下のレジストリ キーを確認することにより、修正プログラムを検知することができます。
Windows Server 2003
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP1\KB824146
Windows XP Gold
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP1\KB824146
Windows XP SP1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\KB824146
Windows 2000 SP3 and SP4
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB824146
Windows NT Server 4.0 SP6a
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\Hotfix\Q824146
Windows NT Server 4.0, Terminal Services Edition, SP6
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\Hotfix\Q824146
脆弱性の影響を受けるコンピュータのスキャン
ネットワーク管理者は、KB824146scan.exe のスキャン ツールを使用して、ネットワーク上で 823980 (MS03-026) または 824146 (MS03-039) のセキュリティ修正プログラムがインストールされていないホストコンピュータを識別することができます。このツールについての詳細および、ツールのダウンロードに関しては、マイクロソフト サポート技術情報 827363 を参照ください。 https://support.microsoft.com/kb/827363/ja
マイクロソフトは KB823980scan.exe ツールをリリースしています。このツールは MS03-026 の修正プログラムが適用されていないコンピュータのみをスキャンするツールで、MS03-039 がインストールされたコンピュータに MS03-026 がインストールされていないという誤ったリポートが行なわれます。更新された KB824146scan.exe ツールを使用し、これらの脆弱性の影響を受けるシステムをスキャンしてください。
KB824146scan.exe ツールでは、認証なしリモート ホスト コンピュータのスキャンを行うことができます。(つまり、リモート ホストコンピュータに有効な資格情報を入力する必要がありません。)Windows Server 2003 ベース、Windows XP ベース、またはWindows 2000 ベースのコンピュータから KB824146scan.exe のツールを使用することができます。このツールは、修正プログラムのためのレジストリまたはファイル情報を確認するのではなく、対象のコンピュータと RPC セッションを確立し、そのコンピュータの状態 (修正プログラム適用済み、未適用、または非確認) を推測します。しかし、このツールにより、MS03-026 または MS03-039 で説明されている DCOM の脆弱は悪用されません。したがって、このツールにより、対象となるコンピュータが不安定になることはありません。
このツールは、以下のサイトからインストールすることができます。 https://www.microsoft.com/download/details.aspx?FamilyId=13AE421B-7BAB-41A2-843B-FAD838FE472E&displaylang=en
また、ウイルス対策ソフトウェアベンダーのインターネット セキュリティ システムズ株式会社からツールが提供されています。このツールを使用するとネットワーク上で 824146 (MS03-039) のセキュリティ修正プログラムがインストールされていないホストコンピュータを識別することができます。詳細については以下のサイトをご覧ください。
インターネット セキュリティ システムズ株式会社 セキュリティ管理者向けツール MS03-039 RPCSS サービスの脆弱性を検査する「Xfrpcss」 https://www.isskk.co.jp/security\_center/152/ms03-039rpc.html.gif)
.gif)](https://www.isskk.co.jp/security%5C_center/152/ms03-039rpc.html!%5B%5D(images/Dd362794.leave-ms(ja-jp,TechNet.10).gif)){kind=link}
また、Microsoft Baseline Security Analyzer (MBSA) を使用して、MS03-039 やほかの修正プログラムが適用されていないコンピュータのためにスキャンを行うことができます。MBSA は、対象のコンピュータ上での管理者権限が必要ですが、KB824146scan.exe ツールでは管理者権限が必要ではありません。マイクロソフトは MBSA を使用して、ネットワークの全体的な修正プログラムの状態を評価することを強く推奨しますが、MS03-039 の修正プログラムがインストールされているかを確認するには、以下のテーブルを使用し、どのツールが適切かを決定してください。
| MBSA | KB824146scan.exe |
|---|---|
| 824146 (MS03-039) のスキャン | 可 |
| 823980 (MS03-026) のスキャン | 可 |
| 対象のコンピュータの管理者権限なしでのスキャンの実行 | 不可 |
| 824146 および 823980 以外の問題のスキャン | 可 |
| セキュリティ構成上の問題のスキャン | 可 |
| 強度の低いパスワードのスキャン | 可 |
DCOM を無効にしたいコンピュータ名を<ホスト名>に変更します。ローカル コンピュータで DCOM を無効に設定したい場合、“localhost” を使用してください。(ダブル クオーテーションは必要ありません)
Dcomcnfg.exe を使用する
Dcomcnfg.exe を実行します。
Windows XP または Windows Server 2003 を実行している場合は、次の手順を追加で実行します。
[コンソール ルート] の下の [コンポーネント サービス] ノードをクリックします。
[コンピュータ] フォルダを開きます。
ローカル コンピュータの場合は、[マイ コンピュータ] を右クリックし、[プロパティ] をクリックします。
リモート コンピュータの場合は、[コンピュータ] フォルダを右クリックし、[新規作成] をポイントし、[コンピュータ] をクリックします。
コンピュータ名を入力します。
コンピュータ名を右クリックし、[プロパティ] をクリックします。
[既定のプロパティ] タブをクリックします。
[このコンピュータ上で分散 COM を有効にする] (または [このコンピュータ上で分散 COM を使う]) チェック ボックスをオン (またはオフ) にします。
コンピュータに対して他にもプロパティの設定を行う場合は、[適用] をクリックして DCOM を有効 (または無効) にします。設定を終了する場合は、[OK] をクリックして変更を適用し、Dcomcnfg.exe を終了します。
オペレーティング システムを再起動して、変更を適用します。
Windows 2000 上で、DCOM を無効にするためには、Windows 2000 Service Pack 3 以降のバージョンを実行する必要があることにご注意ください。DCOM を無効にする方法に関する詳細は、マイクロソフト サポート技術情報 825750 をご覧ください。
https://support.microsoft.com/kb/825750
RPC Over HTTP を必要とし、DCOM を必要としないコンピュータを保護する
いくつかの環境では、RPC over HTTP を使用し、ファイアウォールの外のクライアントに Exchange 2003 サーバーを発行する場合など、DCOM が必要な場合があります。そのような場合でも、TCPポート 593 へのアクセスをブロックし、DCOM を介する攻撃からこのようなコンピュータを保護することができます。詳細は、マイクロソフト サポート技術情報 836382 に記載されているステップにしたがってください。
感染したコンピュータでワームを駆除する方法
ワームまたは他の攻撃のすべての場合に、既知の正常な状態のバックアップからコンピュータを再構築することが常に望ましいといえます。MSBlast ワームおよびその亜種の場合、ワーム自体によりコンピュータに別のバックドアは作成されないため、ワームを削除することができます。しかし、コンピュータが MSBlast に感染している場合、同じ脆弱性を介して、復旧できない方法でそのコンピュータを侵害したツールで、攻撃が行われていた可能性があります。しかし、このような攻撃が行われていないと確信できる場合、いくつかのウイルス対策ソフトウェア ベンダからリリースされている駆除ツールを使用し、ワームを削除することができます。
他の攻撃が行われたかどうかに関して、懸念がある場合、コンピュータを既知の正常な状態の媒体によって再構築する必要があります。
ワームの攻撃が行われている際のシステムの修正
MSBlast ワームなど、広がる速度が速いワームの動きがまだ遅い期間に、コンピュータに修正プログラムを適用する前に攻撃されてしまうということがよく起こる可能性があります。このような攻撃では、実際にコンピュータが侵害されることはないこともありますが、それにより、コンピュータが不安定になったり、クラッシュする可能性があります。たとえば、MSBlast ワームにより、Windows 2000 および Windows XP の 2 種類のコンピュータの攻撃が行われます。MSBlast ワームがコンピュータを感染し始めると、2 つの攻撃の 1 つが無作為に選択されます。たとえば、Windows 2000 の攻撃は、Windows 2000 システムを感染させますが、脆弱性の影響を受けるほかのコンピュータに対して悪用された場合、それらのコンピュータはすべてクラッシュします。ワームの活動が最も盛んな時に、非常に短時間でこのクラッシュが起こり、その前に修正プログラムを適用するのが不可能になる可能性があります。この状態が起こるほかのケースは、ウィルス スキャナがインストールされている場合に起こります。ウィルス スキャナにより、ワームがコンピュータを実際に感染するのが阻止されます。しかし、ウィルス スキャナによりワームの感染が阻止されても、その攻撃自体により、RPC サブシステムがクラッシュし、システムが再起動します。ウィルス スキャナにより、攻撃を阻止することはできません。できるのは感染を食い止めることのみです。したがって、コンピュータが攻撃される前に修正プログラムを適用するのは非常に困難となります。
このようなコンピュータに、修正プログラムを適用する 3 つの方法があります。それらはすべて、コンピュータに修正プログラムを適用するまでの期間、一時的にコンピュータを保護するための方法です。以下のステップに従ってください。
ネットワーク ケーブルを外します。ワイアレス ネットワークを使用している場合、ネットワーク インターフェイス カードを外すか、またはワイアレス ネットワークを無効にします。この操作は、ネットワーク コントロール パネルから行うことができます。
コンピュータを再起動します。
管理者としてログオンします。コンピュータがワーク グループのメンバか、またはキャッシュされた資格情報カウントが既定値の 10 から変更されている場合、ログオンするコンピュータのローカルの資格情報が必要となります。
以下の 4 つの方法の中の 1 つに従ってください。
Windows 2000、Windows XP、Windows Server 2003 システムの場合
Windows 2000 またはそれ以降のバージョンでは、修正プログラムのダウンロードの際に、一時的に IPSec ポリシーを使用して、攻撃を阻止することができます。IPSec ツールのダウンロードのポリシーは、この目的で使用することができます。詳細は、「IPSec を使用し、攻撃を阻止」のセクションをご覧ください。IPSec ポリシーが適用されると、ネットワーク ケーブルを再度接続し、修正プログラムをダウンロードおよびインストールすることができます。その前にコンピュータを再起動する必要はありません。
Windows XP および Windows Server 2003 システムの場合
Windows XP および Windows Server 2003 には、ICF が含まれており、それにより既定の構成で、これらの脆弱性が悪用される可能性があるすべてのトラフィックがブロックされます。このアプローチを使用するためには、「ホストベースのファイアウォール」のセクションの操作手順に従ってください。ファイアウォールが有効にされると、ネットワーク ケーブルに再び接続し、修正プログラムをダウンロードおよびインストールすることができます。その前にコンピュータを再起動する必要はありません。
影響を受けるすべてのコンピュータ
Windows NT 4.0 には IPSec およびファイアウォールが含まれていません。したがって、Windows NT 4.0 システムでは、保護されたコンピュータに修正プログラムをダウンロードし、それをリムーバブル メディアに保存し、次にそれを使用して、この脆弱性の影響を受けるホストにインストールする必要があります。この方法は、もちろん影響を受けるほかのコンピュータのすべてに使用することができますが、Windows NT 4.0 では、必須となります。
影響を受けるすべてのコンピュータ
「DCOM を無効に設定する」のセクションの操作手順に従って、DCOM を無効に設定します。DCOM を無効にする場合、変更を有効にする前にはシステムを再起動する必要があることにご注意ください、この修正プログラムのインストール後、DCOM サービスを再び使用する前に、そのコンピュータ上で DCOM をローカルに再度有効にする必要があります。
これらの操作手順は、攻撃者によって、これらの脆弱性が悪用されておらず、コンピュータが侵害されていないと確信できる場合にのみこの方法を行ってください。コンピュータが侵害されている場合、修正プログラムを適用しても、コンピュータを回復することはできません。その場合、コンピュータのハード ドライブの再フォーマットを行い、既知の正常なバックアップにより復元するのが唯一の方法です。
技術サポート
ウィルスの識別または駆除に関するサポートは、ウイルス対策ソフトウェア ベンダに連絡をお取りください。ウィルスに関連する問題に関するサポートを必要とする場合は、マイクロソフト プロダクト サポート (PSS) に連絡をお取りください。マイクロソフトは現在非常に多くのお問い合わせをいただいており、お答えできるまでに時間をいただいていることに関し、大変申し訳なく思っております。
合衆国およびカナダからマイクロソフト PSS に連絡される場合は、フリーダイアル (866) PCSafety (727-2338) におかけください。
日本からマイクロソフトに連絡される場合は、マイクロソフトセキュリティ情報センター をご確認のうえ、ご連絡をください。
ワールドワイドのサポートに関しては、お近くのマイクロソフトのオフィスまでご連絡ください。
MSBlast ワームの影響を受けるかどうかについて、あるいは他のワームおよびウィルスに関してのご質問は、マイクロソフトセキュリティ情報センター あるいはお近くのマイクロソフトまでご連絡ください。セキュリティに関連するサポートは常に無料です。