| タイトル | Windowsサーバを侵食するCode RedはMacのサーバやルータにも影響する | カテゴリー | ネットワーク, サーバー製品, サーバ |
| 作成日 | 2001/8/9 17:18:45 | 作成者 | 新居雅行 |
| 先月来、ウィルス騒ぎが大きくなっていることは、よく御存じだとは思う。そのうち、Code Redと呼ばれるワームは、Windows標準のWebサーバであるIIS(正確にはIISに含まれるインデックスサーバ)の機能不全部分をうまくついたワームとして報道されているため、Macintoshを使っている人は対岸の火事としか思っていないかもしれない。しかしながら、MacintoshサーバあるいはUNIXサーバを使っている場合には影響があるかもしれない。さらに、サーバを立てていないとしても常時接続を行っているのであれば、このワームの影響を受ける可能性があるので注意が必要だ。つまり、Windowsに関係なく、このワームは危険なのである。 ◇「Code Red ワームに関する情報」新種の Code Red II に注意を http://www.ipa.go.jp/security/ciadr/vul/20010727codered.html Code Redはあるサーバに感染をすると、さらに別のサーバに感染を起こすために、HTTPのリクエストを大量に別のサーバに送る。その大量のリクエストはIISに対して起こすというよりも、やみくもにリクエストを送るといった様相を示している。感染するのはIISだが、IISあるいはWindows以外のサーバに対してもアタックは試みるのである。公開しているWebサーバを持っている人は、Webのログを見てもらいたい。ちなみに、以下のものは、筆者が管理しているUNIXサーバのログにあったものだ。こんなGETリクエストがやってくる。 GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a もちろん、default.idaファイルWebサーバにない場合にはウィルス感染は行われないが、まずはこうしたリクエストが大量にやってくることやあるいは処理上の問題で、ルータがハングアップしたりするといった症状は十分に考えられるし、実際、そうした被害は機種によっては出ているようだ。これについては対応となると、ルータの開発元にたよるしかない。たとえば、Yamahaの古いルータだとCode Redからのアクセスによってルータが落ちることがあるようだが、ファームウエアのアップデートで対応している。 ◇RTシリーズのTCP/IPに関するFAQ http://www.rtpro.yamaha.co.jp/RT/FAQ/TCPIP/www-server-vulnerability.html 一方、Webサーバの方ではあるが、WebSTARやQuid Pro Quoなどで、URLリクエストが長いことから起因するエラーが発生し、サーバが落ちてしまうことがある。WebSTARのサポートを行っているアイ・ツゥからは「Code Red/Code Red IIに関して」として注意を促すメッセージが公開されている。また、WebSTARなどを含む、W*API対応のWebサーバでこうしたリクエストによる不具合が発生しないようにするプラグイン「Code Red Killer plug-in」がKen Maezono氏によって公開されている。Macintoshでサーバ運用をしている人は、こうした情報をチェックする必要があるだろう。なお、WebSTARなどではCode Redに感染するわけではない。攻撃を受けたサーバが落ちるといった問題に直面するのである。だから、WebSTARがこれが原因で落ちていても、「マシンからフォーマットして…」という必要はない。とりあえず前記の対策プラグインを入れるだけでほとんど問題は回避できるだろう。 ◇Code Red/Code Red IIに関して http://www.i2j.com/news/01Aug.html#Aug02 ◇Code Red Killer plug-in http://www.synapse.ne.jp/~kmaezono/CodeRed/ Apacheサーバについては、Code Redの攻撃があっても単にリクエストエラーになるだけで、障害は発生しないようだ(もっとも、ログが異様に増えるのは困ったものだが…)。 すでにCode Redの被害に会っている方は多いと思うが、このワームの威力はかなりのもので、今後も続く可能性は十分に考えられる。今は大丈夫でも、安心はしない方がいいと思われる。 | |
| 関連リンク | |