(#006)
復刻シリーズ 第56弾!!
━━━━━━━━━━━━━━━━━━━━━━ 2001.08.08 Vol.389 ━━━━━ □■□ ■□■ 日刊「WEBのツボ」 〜次世代WEBマーケティングを読む〜 □■□ http://www.soho-union.com/ ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 配信部数 2339部 【○】本日のお題 「ツボによく利くJAVA & DB」(#006) ━━━━━━━━━━ 福井修@Fsys ▽ 〔番外〕Code Red 情報 ちょっと「Code Red」の嵐が吹き荒れているので、これについて見てみましょう。 <<< JPCERT/CC Alert 2001-08-06 >>>"Code Red" Worm の変種に関する注意喚起 New Variant of "Code Red" Worm http://www.jpcert.or.jp/at/2001/at010019.txt CodeRed(及び亜種)に感染したと思われる IIS マシンからのアタックが急増し ています。 私のWebServerのlogにも次の文字列が散見されます。私は、IISを外向けにさらす ことは(セキュリティの維持が大変そうなので)していないので助かりましたが。 GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801% u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b0 0%u531b%u53ff%u0078%u0000%u00=a 大阪女子大の橋本先生が、情報を整理・翻訳して公開されています。 ■ Code Red II についての警告 http://www.reasoning.org/jp/security_alerts/hashsa-2001-02.html CERT Incident Note IN-2001-09の和訳 http://www.reasoning.org/jp/cert/incident_notes/in-2001-09-j.html ■ シマンテックの情報 CodeRed III http://www.symantec.com/region/jp/sarcj/data/c/codered.v3.html 詳しくは、これらのサイトを読んでいただければよいのですが、要するに 「IISの脆弱さを突かれ、管理のおろそかなサイトが、書き換えられ、加害者 になってアタックを繰り返す」という構図ですね。 無頓着な管理者の IIS サーバが 感染する訳ですが、もともと無頓着なところは、 餌食になって感染していることすら気づかないで、延々と有害なパケットを流し つづける状況がしばらくありそうです。 結局、感染後の対策は、再インストールのみなので、対策にはコストも必要ですし 駆逐され、沈静化するには相当時間がかかりそうです。 1) 脆弱性の問題については、日常茶飯事になっていて よほど専任管理者がいて 厳重な管理体制でないと、いちいち対応していられない。 2) バッファオーバーフローを利用した弱点攻撃には、もろい。 3) 直接的には見えにくい(Logを見ないと表面的にはわからない)ので気づきにく い。 という状況を突いて 「 完全に再インストールして駆除しない限り攻撃・感染を繰り返す。」 相当悪質な Worm ですね。亜種はいろいろありそうで、対処のマイクロソフトの パッチといたちごっこでしょう。 IISだけでなく CISCOやYAMAHAのルータにも影響があるようです。 YAMAHAのルータRT80i、RTA50iの一部に脆弱性 http://www.rtpro.yamaha.co.jp/RT/FAQ/TCPIP/www-server-vulnerability.html 「セキュリティの維持には、コストがかかる」ことを肝に銘じないといけませんね。 「管理者がきちんと管理しないとサイトは、維持できない」と。 ウィルスや Worm は今後も無くなりはしないのだから、ちゃんとサイトを守ること にエネルギーを注がざるを得ません。 おまけ Ruby は、言語仕様としてバッファオーバーフローがないし、セキュリティチェック 機能が充実していますね。 【プロフィール】 福井 修 ( FUKUI Osamu )o-fukui@po.iijnet.or.jp fukui@fsys.net 福井システムリサーチ http://fsys.net/ 主幹。システム構築歴25年。 Linux+JSP+PostgreSQLでの郵便番号簿 検索 http://fsys.net/post/ 日本リヌクス協会、神戸商工会議所、情報処理学会 会員 関西ソーホ・デジタルコンテンツ事業協同組合員 流通科学大学 委託SE http://www.umds.ac.jp/