検索
ニュース

DoS攻撃コードのうちにIISサーバーの早期対処を、HTTP.sysの脆弱性全世界的に攻撃数が増加

マイクロソフトが2015年4月15日に修正したHTTP.sysの脆弱性を狙い、DoS状態を引き起こす攻撃コードが早速確認された。IISを動かしている環境では早期の対応が必要だ。

Share
Tweet
LINE
Hatena

 2014年の大型連休直前、OpenSSLに発覚したHeartbleedの脆弱性やApache Strutsの脆弱性への緊急対応に追われたWebサーバー管理者は少なくなかっただろう。残念ながら2015年も、連休に入る前に対処する必要のある脆弱性が公表された。Windows上でInternet Information Services(IIS)を稼働している場合だけだが、この脆弱性を狙う攻撃コードが確認されており、早期の対応が必要だ。

 マイクロソフトは2015年4月15日、月例セキュリティパッチの一つとして、Windows OSのHTTPプロトコルスタック(HTTP.sys)に存在する脆弱性(MS15-034/CVE-2015-1635)を修正するセキュリティ更新プログラムを公開した。

 この脆弱性の影響を受けるのは、Windows 7/8/8.1ならびにWindows Server 2008 R2/Windows Server 2012/Windows Server 2012 R2でIIS Webサーバーを稼働している環境だ。細工を施したHTTP/HTTPSリクエストを受け取ると、リモートから任意のコードを実行される恐れのある、危険性の高い脆弱性である。

 脆弱性が公表された翌4月16日には、情報処理推進機構(IPA)や複数のセキュリティ企業が、CVE-2015-1635の脆弱性を突く攻撃コードが流通していることを確認した。このコードはWindows Server 2008 R2+IIS 7やWindows Server 2012+IIS 8の組み合わせに対し有効で、システムがクラッシュしてブルースクリーンが発生することを、トレンドマイクロやソフトバンク・テクノロジーが検証し、公表している。


ソフトバンク・テクノロジーでは、Windows Server 2008R2およびWindows Server 2012で、細工を施したHTTPリクエストを受信するとOSがダウンすることを確認した。HTTPS通信でも同様の事象が発生するという(ソフトバンク・テクノロジーのレポートより)

 またIBM Tokyo SOCが公表した情報では、4月16日10時以降、HTTP.sysを狙う攻撃数が急増していることが分かる。この攻撃の中には、セキュリティベンダーが調査目的で行っているものも含まれているというが、中国、アメリカ、ポルトガル、アルゼンチンなどに属する複数のIPアドレスから行われており、「攻撃対象の国や業種に明確な偏りが見られない」という。IBMではこのことを踏まえ、広く脆弱性の有無を調査する目的で攻撃が行われているのではないかと推測している。


日本を含むIBM SOC全体で検知したHTTP.sysへの攻撃件数(IBM Tokyo SOC Reportより)

 ただし、今のところ流通している攻撃コードは、対象サーバーをブルースクリーン状態にし、強制終了に追い込む(サービス拒否を発生させる)というものだ。業種によってはWebサーバーが停止に追い込まれるだけでも大きなダメージではあるが、任意のコード実行にまでつながる攻撃は確認されていない。

 だがソフトバンク・テクノロジーの辻伸弘氏は、「この攻撃コードが、今後、任意のコード実行を実現する攻撃コードにつながる可能性を考慮し、BSOD(ブルースクリーン・オブ・デス)のみの今のうちに対策のアクションプランを立ててほしい」と述べている。

CVE-2015-1635への対策は?

 CVE-2015-1635への対策は、マイクロソフトが公開したパッチを適用することだ。

 ただし、環境によってはすぐに適用できない場合もある。マイクロソフトではそうしたケースの回避策として「IIS 7の場合、IISカーネル キャッシュを無効にする」ことを挙げている。ただ、サービスによってはわずかなパフォーマンスの低下でも避けたい、という事情があるかもしれない。その場合は少なくとも、SnortをはじめとするIPSに、攻撃コードをブロックするルールを追加するなどして対処するべきである。つまり、

  • 自社のシステムが影響を受けるかどうかを確認する(nmap用ルールなどが公開されている)
  • 影響を受ける場合、マイクロソフトが公開したパッチを適用する
  • 今すぐそれが難しい場合、IISカーネル キャッシュを無効にする
  • いずれにせよ、IPSのルールを追加するなどして、攻撃コードに備える

となるだろう。辻氏は、「今すぐパッチを適用するのが無理でも、回避策の実施も考慮し、暫定対策をした上で、なるべく短い期間でパッチ適用のためのスケジュールを立ててほしい」と述べている。

Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. 米国/英国政府が勧告する25の脆弱性、活発に悪用されている9件のCVEとは、その対処法は? GreyNoise Intelligence調査
  2. セキュリティ担当者の54%が「脅威検知ツールのせいで仕事が増える」と回答、懸念の正体とは? Vectra AI調査
  3. セキュリティ専門家も「何かがおかしいけれど、攻撃とは言い切れない」と判断に迷う現象が急増 EGセキュアソリューションズ
  4. インサイダーが原因の情報漏えいを経験した国内企業が約3割の今、対策における「責任の所在」の誤解とは
  5. OpenAIの生成AIを悪用していた脅威アクターとは? OpenAIが脅威レポートの最新版を公開
  6. 約9割の経営層が「ランサムウェアは危ない」と認識、だが約4割は「問題解決は自分の役割ではない」と考えている Vade調査
  7. 人命を盾にする医療機関へのランサムウェア攻撃、身代金の平均支払額や損失額は? 主な手口と有効な対策とは? Microsoftがレポート
  8. AIチャットを全社活用している竹中工務店は生成AIの「ブレーキにはならない」インシデント対策を何からどう進めたのか
  9. 英国政府機関が取締役にサイバーリスクを「明確に伝える」ヒントを紹介
  10. MicrosoftがAD認証情報を盗むサイバー攻撃「Kerberoasting」を警告 検知/防御方法は?
ページトップに戻る