［米国］
パッチが公開されたばかりのWindows脆弱性を突く攻撃コードが出現

OS標準のコンポーネントにかかわるTCP/IP脆弱性で、MS08-001パッチ適用が急務

（2008年01月18日）

　パッチ「MS08-001」が先週公開されたWindowsのTCP/IP脆弱性を突く形でWindowsマシンをクラッシュさせる攻撃コードが現れた。1月17日に存在が明らかになったこのコードは、米国Immunityのセキュリティ検査ソフトウェア「Canvas」を使用するセキュリティ専門家向けに作成されたもようだ。

　新たに発見された攻撃コードは、Windowsをクラッシュさせるが、攻撃者がこのコードを使って問題の脆弱性が修正されていないシステム上で悪意あるソフトウェアを実行させることはできないという。

　問題となっているWindowsの脆弱性は2つの点でたちが悪い。第1に、この脆弱性は、デフォルトで有効な広く使われているWindowsコンポーネントに影響する。しかも、この脆弱性に起因する不正な動作は、ユーザーの操作を介さずに発生するため、この脆弱性は、自己増殖するワームの攻撃に悪用されるおそれがある。

　この脆弱性は、WindowsがIGMP（Internet Group Management Protocol）とMLD（Multicast Listener Discovery）プロトコルによるネットワーク・トラフィックを処理する方法の実装に起因する。これらのプロトコルは、メッセージング、Web会議、ソフトウェア配布など、幅広いアプリケーションに使われている。

　攻撃者がこの脆弱性を突いてワーム攻撃を行うには、特殊なパケットを標的のマシンに送信し、マシン上で不正なコードを実行できる状態を発生させる必要がある。それが成功すると、ワームがLAN上でコンピュータからコンピュータへと拡散する。だが一般に、ほかのネットワークへの拡散はファイアウォールに妨げられる。しかし、確実に動作する攻撃コードと悪意あるボットネット・ソフトウェアを組み合わせることで、攻撃者が感染コンピュータのネットワークの規模を拡大するおそれがある。

　米国Microsoftは、Windows XPおよびVista上でのこの脆弱性の深刻度を「緊急」と評価している。同社は先週、脆弱性を修正するMS08-001パッチを公開したが、企業ユーザーがこのパッチをテストし、適用するにはまだ時間がかかる。

　米国ImmunityのCTO（最高技術責任者）、デーブ・アイテル（Dave Aitel）氏は、電子メールでの取材に応え、「このコードは確かにWindowsマシンをクラッシュさせる。実際、われわれのプリンタ・サーバはブルースクリーン状態におちいってしまった。これは、いわゆるブロードキャスト攻撃だ」と語った。また、この件に関してセキュリティ専門家は、問題の脆弱性の調査が進み、より危険な攻撃が近いうちに発生するのではないかと懸念している。

　Microsoftは、パッチの公開後に発表した技術情報文書で、攻撃者がこの脆弱性を悪用するのは難しいだろうという見解を示している。しかし、ImmunityのAitel氏は、Microsoftは、確実に動作する攻撃コードを作成する難しさを過大に評価した可能性があると考えている。「この脆弱性を突く攻撃コードは、ネットワーク上で非常に高速に拡散するため、手間をかけても作るに値する。多くの優秀な人々が挑戦しているのは確かだ」（Aitel氏）

　今回の件について、米国Verizon Businessのシニア・ネットワーク・コンサルタント、ラス・クーパー（Russ Cooper）氏は次のようにコメントしている。「問題の一因は、ITスタッフが、こうしたマルチキャスト・プロトコルが社内でいかに広く使われているかを知らないことだろう。人々が危険な現状を自覚していないために、トラブルが発生するのではないかと、私は非常に心配している」

(Robert McMillan／IDG News Service サンフランシスコ支局)