(#006)

復刻「ツボによく利くJAVA & DB」

復刻シリーズ 第56弾!!

━━━━━━━━━━━━━━━━━━━━━━ 2001.08.08 Vol.389 ━━━━━
 □■□
 ■□■  日刊「WEBのツボ」 〜次世代WEBマーケティングを読む〜
 □■□                      http://www.soho-union.com/
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
                          配信部数 2339部

【○】本日のお題 「ツボによく利くJAVA & DB」(#006) ━━━━━━━━━━
                                                           福井修@Fsys
▽ 〔番外〕Code Red 情報

ちょっと「Code Red」の嵐が吹き荒れているので、これについて見てみましょう。

<<< JPCERT/CC Alert 2001-08-06 >>>"Code Red" Worm の変種に関する注意喚起
New Variant of "Code Red" Worm
http://www.jpcert.or.jp/at/2001/at010019.txt

CodeRed(及び亜種)に感染したと思われる IIS マシンからのアタックが急増し
ています。
私のWebServerのlogにも次の文字列が散見されます。私は、IISを外向けにさらす
ことは(セキュリティの維持が大変そうなので)していないので助かりましたが。
GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%
u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b0
0%u531b%u53ff%u0078%u0000%u00=a

大阪女子大の橋本先生が、情報を整理・翻訳して公開されています。
■ Code Red II についての警告
http://www.reasoning.org/jp/security_alerts/hashsa-2001-02.html

CERT Incident Note IN-2001-09の和訳
http://www.reasoning.org/jp/cert/incident_notes/in-2001-09-j.htmlシマンテックの情報 CodeRed III
http://www.symantec.com/region/jp/sarcj/data/c/codered.v3.html

詳しくは、これらのサイトを読んでいただければよいのですが、要するに
「IISの脆弱さを突かれ、管理のおろそかなサイトが、書き換えられ、加害者
  になってアタックを繰り返す」という構図ですね。

無頓着な管理者の IIS サーバが 感染する訳ですが、もともと無頓着なところは、
餌食になって感染していることすら気づかないで、延々と有害なパケットを流し
つづける状況がしばらくありそうです。

結局、感染後の対策は、再インストールのみなので、対策にはコストも必要ですし
駆逐され、沈静化するには相当時間がかかりそうです。

1) 脆弱性の問題については、日常茶飯事になっていて よほど専任管理者がいて
   厳重な管理体制でないと、いちいち対応していられない。
2) バッファオーバーフローを利用した弱点攻撃には、もろい。
3) 直接的には見えにくい(Logを見ないと表面的にはわからない)ので気づきにく
   い。
という状況を突いて
「 完全に再インストールして駆除しない限り攻撃・感染を繰り返す。」
相当悪質な Worm ですね。亜種はいろいろありそうで、対処のマイクロソフトの
パッチといたちごっこでしょう。

IISだけでなく CISCOYAMAHAのルータにも影響があるようです。
YAMAHAのルータRT80i、RTA50iの一部に脆弱性
http://www.rtpro.yamaha.co.jp/RT/FAQ/TCPIP/www-server-vulnerability.html

「セキュリティの維持には、コストがかかる」ことを肝に銘じないといけませんね。

「管理者がきちんと管理しないとサイトは、維持できない」と。

ウィルスや Worm は今後も無くなりはしないのだから、ちゃんとサイトを守ること
にエネルギーを注がざるを得ません。

おまけ
Ruby は、言語仕様としてバッファオーバーフローがないし、セキュリティチェック
機能が充実していますね。

【プロフィール】
福井 修 ( FUKUI Osamu )o-fukui@po.iijnet.or.jp fukui@fsys.net
福井システムリサーチ http://fsys.net/  主幹。システム構築歴25年。
Linux+JSP+PostgreSQLでの郵便番号簿 検索 http://fsys.net/post/
日本リヌクス協会、神戸商工会議所情報処理学会 会員
関西ソーホ・デジタルコンテンツ事業協同組合流通科学大学 委託SE http://www.umds.ac.jp/