09 CodeRedとNimda -狙われるMicrosoft製Webサーバ-
えー、最近立て続けにワームが大活躍しています。
これらについて、ここではあまり詳しく語りません。知りたい方はこのへんとかこのへんを読んでいただけるとあれかも。
ここでちょっと言っておきたかったのは、この2つのメジャーな(そして被害規模も相当な)ワームが、どちらもMicrosoft Internet Information Service(以下IIS)を標的にしているということです。
IISはMicrosoft製のWebサービスです。
まぁ簡単に言うと、Windowsをインターネット用のサーバにしてホームページを提供するには、このサービスソフトをインストールしなきゃならないってことですね。もっと言っちゃうと、Windows2000などをインストールすると、ふつー勝手にいっしょに入っちゃいます。
CodeRedやNimdaは、このIISのセキュリティホールを狙って感染します。
実は、これらのセキュリティホールは、すでにMicrosoftからホール埋めのパッチが提供されています。
Nimda用は2001/08/15、 CodeRed用は2001/06/18に 提供されているんですね。
また、各ワクチンメーカーからは判定/駆除ツールも無償で提供されています。
なのになぜ、未だに猛威を振るっているのか。
たとえば、企業で社内サーバの構築/保守を担当されている方。
ネットワークやインターネットのプロならともかく、一般企業(特に人数控えめの)で社内ネット環境を構築しようとすると、本来全然別の職務なのに任命されたりなんかするケースも多いよぅです。
こうなると、けっこぅつらいものがあります。今まで自分の興味のあるところだけを好きな分だけかじっていればよかったのが、いきなり構築に必要なあらゆる情報を入手し活用しなければならなくなっちゃうんですから。
泣きそぅな思いでしゃにむに勉強して失敗して試行錯誤を繰り返して、よぅやくなんとか業務に使えそうなところまで構築完了。
こーいぅいきさつの方の場合、必ずしもセキュリティホールの存在やその対処法を認識できるチャンスがあるとは限らないでしょうね。
あるいは、それは知ってはいるけれども、過去Microsoftのパッチは当てたが故に出るバグなんかもあったので、やみくもに「パッチさえ当てればOK」とは信じられない。かといって、そのパッチが安全かどぅかのウラ取りをする手段を持っているわけでもない。なんて方も割といらっしゃるでしょうし。
たとえば、自宅でWindows2000マシンを使ってインターネット接続をできるよぅにしている方。
自分のマシンにIISがインストールされているかどぅかを知らない方が大半なんではないでしょうか。
あるいは、インストールされているかどぅかを調べる方法をご存じではない方も。
さらにあるいは、インターネットに接続している時の自分のマシンが持つIPアドレスがローカルなのかグローバルなのかを認識していない方も。
私としては、正直この状況の出口が見えません。
Microsoftは、「より便利な機能をより簡単に、できるだけ多くの人に」といぅポリシーでこーいぅ提供のしかたをしているんだと思います。セキュリティホールだってわざとではないでしょうし、戦略的な意味合いもあって今後IISのインストールをデフォルトから外すことはまず考えられません。
(個人的には、IEはともかくOutlook Expressがインストール選択できない、アンインストールもできない構成にされてしまっているのがちょっとツラいんですが。)
また、Webサーバ管理者や、個人でWinマシンを持っている一般の方々の無頓着さを責めることもできません。やれ、と言ったってこれは無理です。
しかし、これらのワームは被害者になった(感染した)とたんに加害者(他のマシンに攻撃を始める)ものです。「知りませんでした」では済まないくらいの被害を他人に与えてしまいます。
(初代CodeRedなんか、ホワイトハウスに向かって攻撃を始めるよぅに作られているんですよ。)
とりあえず、自衛策はあります。
まず、IISをアンインストールしちゃう。
スタートボタンから[設定]-[コントロールパネル]とたどって[アプリケーションの追加と削除]を起動し、[Windowsコンポーネントの追加と削除]をクリックすると、[Windowsコンポーネント]ダイアログが表示されます。この中から「インターネット インフォメーション サービス(IIS)」の項目を探し、チェックを外して[次へ]ボタンをクリックすると、構成の再構築が始まります。→IISが外れます。
また、直接インターネットへ接続しない。
ファイアウォールを立てるかルータをカマすかして、自分のマシンはローカルなIPアドレスを持つように設定する。
…これ、ちょっとお金がかかりますし、専門的な知識も必要なので、やるんであればパソコンに詳しいお友達に相談してください。でなければ、インターネットの相談を受けてくれるパソコンの販売店に相談してみてください。
しかし。
IISはWindowsXP以降、OSの一部ともいぅべき基幹機能となるのはすでに決定されています。ので、今年末からもぅIISをアンインストするなんてのはナンセンスな話になってしまうと思います。
(私は、未だ「IISは不要だ」と思っているんですけどね…。)
また、前述の通りインターネットの向こう側からアタックを受けないような構成にするにはお金も知識も必要ですので、万人にお勧めできる方法でもないんです。
2001.11.30 修正
実際にWinXPをインストールしてみたところ、標準ではIISはインストールされませんでした!
Win2000では標準でインストールされていたのに…。まぁWebサーバでも立てない限り当座さほど必要のないものであることは確かなんですが。
でもこのIIS、.netでWebサービスを立ち上げるのにはふつー必要になる位置付けになるはずのもんなんですが…?いつまたいつのまにかインストされてしまう事態になるかはわかりませんが、今のところWinXPマシンを購入 →何も調整せずに使用している方々でも、本稿の被害にはまず遭わないと考えておいていいよぅです。
Microsoftは「提供するパッチを半自動で、なるべく簡単に行えるよう」にいろんな手段を講じていますが、それも一般化するほどの普及には当分至らないでしょうし。
まだしばらく、混乱した状況が続きそぅです…。
ついでに。WinXPと.netが拍車をかけそぅな気が…。