TOP設計・移行・活用> Windowsの脆弱性と悪用するウイルス
アンチウイルスソリューション
1億円の企業ダメージを回避するウイルス対策ソリューション

第2回:WindowsとLinuxのセキュリティホール
 著者:トレンドマイクロ  黒木 直樹   2005/8/24
前のページ  1  2  3   4  次のページ
Windowsの脆弱性と悪用するウイルス

   まずは、非常に多くのユーザがいるWindowsの脆弱性から考察してみる。

   Windowsの脆弱性に関してはマイクロソフトが毎月レポートを発行しているが、一例としてWindowsXP Professionalで発見された最近1年の脆弱性は、"緊急"が21個、"重要"が19個、"警告"が5個、"注意"が0個である。これらの脆弱性は他のサーバ系OSにも発見されている場合がある。

   マイクロソフトの定義によると、それぞれ以下のようになっている
緊急(Critical)
この脆弱性が悪用された場合、インターネットワームがユーザの操作なしで蔓延する可能性がある

重要(Important)
この脆弱性が悪用された場合、ユーザのデータの機密性、完全性またはアベイラビリティが侵害される可能性がある。または、処理中のリソースの完全性またはアベイラビリティが侵害される可能性がある

警告(Moderate)
この脆弱性が悪用された場合、既定の構成、監査または悪用が困難であることなどの要素により、悪用される可能性は大幅に緩和される

注意(Low)
この脆弱性の悪用は非常に困難、または影響はわずかである
   "緊急"と"重要"を合わせると、最近の1年で40個のセキュリティホールが発見され、それに対応したパッチがリリースされている。

   一例として、2003年の夏に登場したWindowsの脆弱性(バッファオーバーフロー)を悪用するワーム、「WORM_MSBLAST」(エムエスブラスト)を解説する。
バッファオーバーフローを悪用するワーム「WORM_MSBLAST」

   ワームはTFTPを利用して感染元から感染先に転送後、自動実行される。ただし、Windowsのセキュリティホールが存在しなければ侵入されることはない。

   まずワームはランダムなIPアドレスのポート135番にアクセスし、Windowsのセキュリティホール「MS03-026:RPC DCOMバッファオーバーフロー」を攻撃する。対象のIPアドレスにセキュリティホールのあるコンピュータが存在した場合、ワームがフルアクセスの権限でコンピュータ上のファイルを実行できるようになる。権限が得られた場合、ワームは以下の手順で自身のコピーを転送する。

  1. 感染先コンピュータ上でポート4444番を使用したリモートシェルを起動し、外部からコマンド実行できるように設定する
  2. リモートシェルにコマンドを送信し、自身のコピーである"MSBLAST.EXE"を感染先コンピュータにダウンロードさせる。ダウンロードされた"MSBLAST.EXE"はWindowsのシステムフォルダに作成される
  3. リモートシェルにコマンドを送信し、転送された自身のコピーを実行する
  4. これにより、感染先コンピュータでワームが活動を開始する
Linuxの脆弱性と悪用するウイルス

   一般的にいわれてきたことであるが、ウイルスの作者は愉快犯であるとされ、攻撃のターゲットが広範囲であればあるほど好む傾向が強かった。そのためPCクライアント市場のシェアとしてWindowsがLinuxやUNIXに大きく勝っていたことが、Windowsのウイルスが圧倒的に多かった最大の要因である。

   必ずしもWindowsに比べLinuxに脆弱性が少なく、構造的にセキュリティレベルが高いことを証明している訳ではない。前述のバッファオーバーフローなどの脆弱性はLinuxのOS、アプリケーションでも発見されてきた。

   またLinuxには非常に多くのディスリビューションが存在する。主なディストリビューションだけでもRed Hat Linux、TurboLinux、MIRACLE LINUX、SUSE LINUXなどがある。

   同様にセキュリティホールも、いくつかのディストリビューションで共通するものから、特定のディストリビューションだけで発生するものと様々である。

   Linuxのデスクトップ向けOSも市販化され徐々に浸透してきているようだが、一般消費者から見た場合、まだまだ中上級者向けのマイナーなOSであることは否めない。やはりLinuxが現時点で利用されているのは、企業内のメール、Web、ファイルサーバなどの用途が中心である。

   したがって、現存のLinuxを感染対象にするウイルスもほとんどがこれらのサーバをターゲットにしたプログラムである。特にHTTP、SMTP、FTPなどゲートウェイのアプリケーションやサービスの脆弱性を悪用してワーム活動を行うパターンが多い。この類のウイルスに感染すると、情報漏えいや公開Webが改竄される恐れがあった。

   また、Linuxサーバが感染対象でなくあくまでウイルスの「経路」に利用されてしまう点も見逃せない。例えば、社内のファイル共有サーバをSambaで運用していてウイルス対策を施していない場合には、共有フォルダにウイルスプログラムが保管されていても放置され、社内にウイルスを拡散させる危険性を持つことになる。Sambaサーバ自体は感染せずともLinuxサーバがWindowsを攻撃するウイルスの温床になるわけである。

Linux環境とウイルス
図4:Linux環境とウイルス

   一例として、Linuxで発見されたフォーマット・ストリング・バグ、バッファオーバーフローのそれぞれを悪用したワーム、「ELF_RAMEN」と「ELF_LION」を解説する。
前のページ  1  2  3   4  次のページ

トレンドマイクロ株式会社 黒木 直樹
 著者プロフィール
トレンドマイクロ株式会社  黒木 直樹
トレンドマイクロ株式会社 上級セキュリティエキスパート
1996年トレンドマイクロ株式会社入社。
ウイルス対策ソフト「ServerProtect」をはじめとする法人向け製品のプロダクトマーケティングを経て、製品開発部の部長代行に就任(2000年)。個人・法人向け全製品の開発においてリーダーを務め、同社のビジネスを支える主力製品へと成長させる。アウトソーシングサービス事業の立ち上げた後(2001年)、2002年にコンサルティングSEグループ兼インテグレーショングループ部長に就任。営業支援のシステムエンジニア、テクニカルコンサルタントを率い、情報セキュリティ全般にわたりプロジェクトを推進する。
INDEX
第2回:WindowsとLinuxのセキュリティホール
  ウイルス/ワームが狙うセキュリティホールは?
  どのような「セキュリティホール」が発見されているか?
Windowsの脆弱性と悪用するウイルス
  フォーマット・ストリング・バグを悪用するワーム「ELF_RAMEN」