Code Redが残した教訓 小川　誉久 2001/08/18

　昼となく夜となく、通りという通りを暴走族が我が物顔で走り回っている。自己防衛によって、族の自宅への侵入は阻止できるが、彼らが通りを占拠することに対し、あなたにはなす術がない。あなたにできることは、じっと我慢して、彼らがなりを潜めるのを待つだけである。

　現在のインターネットを例えると、こんなふうになるだろうか。そう。IISのセキュリティ・ホールを巧妙に突いて繁殖するコンピュータ・ワーム、Code Redの影響だ（Code Redの詳細については別稿の「緊急リポート：Code Redワームの正体とその対策［改訂版］」を参照）。

　このワームは、IISのセキュリティ・ホールを突いてシステムの内部に侵入し、自身のコピーをインターネット中にばらまく。Code Redに感染し、インターネットにワームをまき散らす犯人は、当該セキュリティ・ホールをふさぐための対策用パッチを適用していないIISサーバである。騒ぎの最大の責任が、このようなセキュリティ・ホール付きのIISを提供したマイクロソフトにあることは改めて論じるまでもない。しかし一部メディアの記事や、ネット掲示板などの発言を見ていると、「悪者はIIS」とか「うちはWindows＋IISなんか使っていないから大丈夫」といった、魔女狩り的論調や、対岸の火事的な意見が少なくない。

　ネットワーク管理者にとって大切なことは、将来、自社（あるいは自宅）のシステムが、コンピュータ・ワームやコンピュータ・ウイルスといった不正なプログラムの被害者にも、加害者にもならないように、今回のCode Redを教訓として活かすことだ。今回は、Code Red問題がインターネット・セキュリティについて投げ掛けた問題について考えてみよう。

過去ではなく、未来に向けたマイクロソフトの最大の課題である

　後にも先にも、マイクロソフトは、今回のCode Red事件の原因を世に送り出し、今なおインターネットという公共のネットワークに無駄なトラフィックを発生させている責任を真摯に受け止め、再び同じような惨禍を招くことがないように、開発体制やテスト体制、セキュリティ情報の告知体制など、あらゆる部分で早急な対策を講じなければならない。

　今回の原因となったセキュリティ・ホールの第一報は、2001年の6月9日に公開されている。このセキュリティ情報「Index Server ISAPI エクステンションの未チェックのバッファにより Web サーバーが攻撃される (MS01-033)」を見ると、「すべてのWebサーバ管理者に修正プログラムを直ちに適用することを強く推奨」と表記され、よく読むとそれが重大なセキュリティ・ホールであることが分かる。しかし、マイクロソフトが発信するセキュリティ情報や修正パッチの数はあまりに多く、イソップの狼少年のような気持ちになっている管理者は少なくない。こうした背景を考えると、くだんのセキュリティ情報は事の重大性を十分にはアピールできておらず、結果として初期の警告は埋もれてしまった。

　Code Redがインターネットに対してこれだけ深刻な影響を与えたことは、いみじくもIISを使って構築されたインターネットWebサーバがいかに大量に存在しているかを裏付けたし、またその管理者たちに対して、セキュリティ情報の告知がいかに無力だったかを物語っている。もはやインターネットにおけるWebサーバは、相応の環境と技術を持つ管理者だけが公開できる特別なものではなく、中小企業の駆け出し管理者や、個人ユーザーが、常時接続を使って気軽に公開するものとなった。こうしたWebサーバ管理者にとって、Windows NTやWindows 2000とセットで手に入るIISは、最もとっつきやすく手軽なWebサーバ環境なのだ。

　パーソナルOSを提供するマイクロソフトとしては、自社の製品ラインアップ（サーバ向け製品か、クライアント向け製品か）はさておき、こうした初心者ユーザーが、それと知らずにインターネットで危険を犯したり、他人に迷惑をかけたりすることのないように、具体的な対策を講じる必要がある。全般的には、「高機能だがセキュリティ対策はユーザーまかせ」という方針から、「初期状態ではセキュリティ対策上機能を大幅に制限しておき、必要ならユーザーのリスクで機能を有効にできる」という方針に切り替えるべきだろう。

　これらの対策は、過去や現在に対してだけでなく、マイクロソフトの未来に対してより重要な意味を持っている。マイクロソフトは、Microsoft .NETテクノロジやHailStormによって、将来はネットワーク・サービス企業への脱皮を図るとしている。しかしこれらがWindowsのように大衆に受け入れられるためには、何よりも、利用者が個人情報を安心して預けられる「信用」を勝ち得なければならない。Code Redを始めとするセキュリティ問題への対応は、この「信用」をかけた重要な未来への布石であるはずだ。

マイクロソフト製品でなければ安心、とお考えの方へ

　Code Redに感染してこれをバラまくのはIISだが、そうしたCode Redワームによる攻撃の影響を受けたのはIISばかりではなかった。例えば「東京めたりっく通信」は、ADSLサービスでレンタルしているルータがCode Redの攻撃によってハングアップしてしまったし、ヤマハのダイヤルアップ・ルータや、シスコのルータも、一部の機種でCode Red攻撃によって誤動作することが確認されている。このほかにも、Code Redの不正なアクセスを受けて影響を受けたネットワーク機器は多数存在している。

　Code Redによるアタックでは、バッファをオーバーフローさせるために、通常ではありえないような長いHTTPリクエストを送りつけている（4Kbytes程度）。そしてこのリクエスト中に含まれるある特定のデータが、ワームをキック（起動）するプログラム・コードになっている。

　Code Redに感染しないものの、アタックによって、つまり巨大なHTTPリクエストによって誤動作したネットワーク機器は、バッファ・オーバーフロー・エラーを起こさないような対策が施されていなかったということになる。つまり、Code RedはIIS向けにプログラムされていたために感染しなかっただけで、その機器をターゲットとするプログラム・コードなら、ワームに感染してもおかしくなかったわけだ。

　どのような機器を使っているにせよ、インターネットに常時接続されたコンピュータを管理している限り、Code Redは対岸の火事ではない、と肝に銘じる必要がある。

Code Redが残した教訓

　今回のCode Redが残した教訓をまとめるとすれば、次のようになるだろう。

• インターネットは、誰もが分け隔てなく使うことができるネットワークである。もちろんそれはすばらしいことだが、これを悪用しようとするクラッカーも分け隔てなく使える点を忘れないこと。インターネットに接続した日から、システムは誰もがアクセス可能な通りに面することになる。スキあらば侵入してやろうというクラッカーが、いつも通りから覗いている、という意識を持つこと。

• 誕生のきっかけがそうであったように、インターネットは今なお、実験ネットワークとしての性格を持っている。それを構成するハードウェアやソフトウェアは常に発展途上にあり、「万全」な製品などないという意識を持つ必要がある。しっかりと鍵をかけたつもりでも、予想もしなかったところに侵入ルートが隠れているかもしれない。備えあれば憂いなし、なのだが、ことインターネットについては、「備え」が時間とともに変化するので、最新のセキュリティ情報に常に敏感でいること。

• そして何より、インターネットを支えるネットワーク・テクロジ、TCP/IPや各種のネットワーク・プロトコルについて理解を深めること。今回のCode Redにおいても、筆者にとって最も役立ったのは、その感染と繁殖のしくみを教えてくれる技術解説だった。あまたあるセキュリティ情報に振り回されることなく、不正アクセスの被害を未然に防ぎ、万一の場合でも被害を最小限に留めるための最良の備えは、ネットについて深く理解することだと再認識させられた。やはり「知は力」なのである。

小川　誉久（おがわ　よしひさ）
株式会社デジタルアドバンテージ 代表取締役社長。東京農工大学 工学部 材料システム工学科卒。'86年 カシオ計算機株式会社 入社、オフコン向けのBASICインタープリタの開発、Cコンパイラのメンテナンスなどを行う。'89年 株式会社アスキー 出版局 第一書籍編集部入社、書籍編集者を経て、月刊スーパーアスキーの創刊に参画。'94年月刊スーパーアスキー デスク、'95年 同副編集長、'97年 同編集長に就任。'98年 月刊スーパーアスキーの休刊を機に株式会社アスキーを退職、デジタルアドバンテージを設立した。現Windows 2000 Insider編集長。

「Opinion」