-----BEGIN PGP SIGNED MESSAGE-----

======================================================================
                                                   JPCERT-AT-2001-0014
                                                             JPCERT/CC

緊急報告  - Microsoft IIS の脆弱性を使って伝播するワーム

初  版: 2001/07/25
======================================================================

  JPCERT/CC では、2001年7月中旬より Code Red ワームに関するインシデン
ト報告を多数受け付けています。

  本文書ではこのワームに感染したかどうか、もしくは攻撃されたかどうかの
確認方法とワームに対する対処方法を説明します。このワームには亜種がいく
つか存在するので、確認方法や対処方法としてはこのドキュメントにある内容
だけでは十分ではない可能性もあることをあらかじめご了承下さい。


I. Code Red ワームとは?

  Code Red ワームは 2001年 6月に報告された、Microsoft IIS の Indexing
Service に含まれる DLL の脆弱性を使って伝播するワームです。対象となる
のは下記の組み合わせで稼働しているサーバーです。

   Windows NT 4.0  + IIS + Index Server 2.0
   Windows 2000    + IIS + Indexing Server
   Windows XP Beta + IIS + Indexing Server

また Web による制御を実現するために内部で IIS を使用している以下の 
Cisco製品も、このワームによる影響を受ける可能性があります。

    * Cisco CallManager 
    * Cisco Unity Server 
    * Cisco uOne 
    * Cisco ICS7750 
    * Cisco Building Broadband Service Manager
    * Cisco Network Management 製品

この脆弱性に関する詳細については下記の URL を参照して下さい。

  Microsoft IIS Index Server に含まれる脆弱性に関する注意喚起
      http://www.jpcert.or.jp/at/2001/at010010.txt

  このワームは、まず増殖先を探すためにランダムに選んだ他のホストの80番
ポートをスキャンします。そしてポートへの接続に成功すると Microsoft IIS 
の脆弱性を悪用するための HTTP GET 要求を攻撃対象のホストへ送信します。

  攻撃に成功すると、ワームはホストのシステムクロックを調べて、以下のよ
うなスケジュールで活動します。

  (1) 毎月 1日～ 19日

    侵入に成功したホストの Web ページを書き換えたり、そのホストから更
    に他のホストへの侵入を試みます。その際にシステム負荷が増大する可能
    性があります。

  (2) 毎月 20日～ 27日

    特定の IP アドレス (198.137.240.91) へ向けて DoS 攻撃を行ないます。

  (3) 毎月 28日～月末

    活動を休止します。

  このように、このワームに侵入されたホストは、Webページを改竄されたり、
システム負荷が増大するといった被害を受けるだけでなく、他のシステムに対
してワームを侵入させたり、DoS 攻撃を行なう加害者になる可能性があります。

  このワームの詳細に関しては以下の URL で示されるページをご覧ください。

  JPCERT/CC Alert 2001-07-19
    Microsoft IIS サーバの脆弱性を使って伝播する Worm に関する注意喚起
      http://www.jpcert.or.jp/at/2001/at010013.txt

  CERT Advisory CA-2001-19
    "Code Red" Worm Exploiting Buffer Overflow In IIS Indexing Service DLL
      http://www.cert.org/advisories/CA-2001-19.html

  CIAC Bulletin L-117
    The Code Red Worm
      http://www.ciac.org/ciac/bulletins/l-117.shtml

  CIAC Bulletin L-120
    Cisco "Code Red" Worm Impact
      http://www.ciac.org/ciac/bulletins/l-120.shtml

  Cisco Security Advisory
    "Code Red" Worm - Customer Impact
      http://www.cisco.com/warp/public/707/cisco-code-red-worm-pub.shtml


II. 確認方法

  Code Red ワームが侵入を試みたホスト上で稼動している Web サーバプログ
ラムのログには以下のような記録が残ることがあります (実際は一行です)。


    GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
    NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
    NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
    NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u685
    8%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u
    9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a

この記録はワームが侵入を試みたことを示すだけであり、侵入に成功したこと
を示しているのではないということに注意してください。

  ワームが侵入に成功していて、且つ現在の日付が 1日から 19日の間である
場合は、他のホストに対して侵入を試みる活動をしています。その活動を確認
するために、まず Web ブラウザなどのアプリケーションが起動されていない
状態であることを確認した上で、コマンドプロンプトにおいて netstat -an 
コマンドを実行してください。そこで表示された結果として以下のような記述
が多数存在する場合はワームに侵入された可能性が極めて高いと判断できます。

    TCP   自ホストのIPアドレス:数字   他のホストのIPアドレス:80

  またワームが侵入に成功したホストの OS が英語版の Windows である場合
は、そのホスト上の Web ページの内容が赤い文字で

    HELLO! Welcome to http://www.worm.com! Hacked By Chinese!

という内容に改竄されることがあります。日本語版の Windows が侵入された
場合で、このようなページの改竄が行なわれたという報告はありません。


III. 対処方法

  Code Red ワームは侵入に成功したホストのメモリのみに感染するので、シ
ステムを再起動することでワーム本体、および改竄された Web ページを取り
除くことができます。しかしながら、このワームが侵入先を選択する際に用い
る乱数発生システムの性質上、一度ワームに侵入されたホストは再びワームに
よる侵入の攻撃を受ける可能性があります。したがって、このワームによる攻
撃からホストを守るための抜本的な解決法としては、ベンダの提供するパッチ
を適用して IIS の脆弱性を修復することが強く推奨されています。

  パッチ情報の詳細については下記の URL を参照して下さい。

  Microsoft Security Bulletin(MS01-033)
  [日本語版]
      http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS01-033

  [英語版]
      http://www.microsoft.com/technet/security/bulletin/ms01-033.asp


IV. 参考

  現在、実用的に使われているソフトウェアは、どれも複雑で大規模なものに
なっているため、未知のセキュリティホールが含まれる可能性はどのシステム
であっても否定できません。また、対策が明らかになっている既知のセキュリ
ティホールであっても、対策が広く実施されていない間はやはり脅威となりま
す。このような状況では、

・常にセキュリティ関連の情報収集を行なう。 
・セキュリティホールが利用されるまえに、パッチの適用やバージョンアップ 
  を行なう。 
・本当に必要なネットワークサービスだけを運用し、必要がないネットワーク 
  サービスは停止する。

などの対応を推奨いたします。

  各サイトにおかれましては、緊急時の連絡体制につき再確認頂くと共に、い
ま一度、セキュリティ対策の実施状況の確認をお勧めします。また、不審なア
クセスの監視を継続されることをお勧めします。

  対応一般につきましては以下の資料もご覧ください。

   コンピュータセキュリティインシデントへの対応
        http://www.jpcert.or.jp/ed/2000/ed000007.txt

   関係サイトとの情報交換
        http://www.jpcert.or.jp/ed/2000/ed000006.txt


以上。

-----BEGIN PGP SIGNATURE-----
Version: 2.6.3ia
Charset: noconv

iQCVAwUBO16D/Ix1ay4slNTtAQFroAQAssaRDG46ibE3ud9ZRgY4ZVyzthHB8xbh
sFQK6tD/wD86R4ea8scMewj8L3l6j7cRWoZglNAobiEm3BphgTlS6YMyN1hwg0ix
c+Rs4M2SBWVHDiBbbFY4me3RHxtxYeekjr2/0fKehtgtUF4JWCaX/gKBrk0jGzvE
8PAYBLfzwWc=
=7JfQ
-----END PGP SIGNATURE-----