ホーム > 情報セキュリティ > MS05-039とZotobに関するサマリー

MS05-039とZotobに関するサマリー


先週のマイクロソフト8月の月例パッチリリース以降、短期間の間に関連するエクスプロイトが多数公開され、これを利用した様々なボットの亜種が感染を広げるという事件が発生した。この一連の出来事についてDominic White氏がブログ上に整理していたものを、本人の了解を得た上で日本語に訳したのでここに掲載する。

MS05-039 and the Zotob summary(Dominic White, 2005/8/18)

MS05-039とZotobに関するサマリー(Dominic White氏, 2005/8/18)

Japanese Translation(Keiji Takeda, 2005/8/20)
日本語翻訳:(武田圭史, 2005/8/20)

ここ数日の間に様々な事態が発生していたが、本当に重要な出来事とメディアによるデマが入り混じり、我々は“Chief”にこの件について騒ぎたてるように頼まれた。このサマリーでは、この事件に関する情報からデマを取り除き、何らかの重要な教訓または理論を得ることができないかを調査した。

タイムライン

ディスカッション

現在、事態は収まっており、分析にとりかかりたい。今回の事件は「脆弱性の公開からウィルスの発生までの最短の周期だ」と主張する人々がいた。最初、この主張は事実だと思われたが実際にはそうではない。Sasserはエクスプロイトがリリースされた翌日に出現しているが、脆弱性自体は16日前に公開されている。しかし、wittyワームはeEyeによる脆弱性の公開から36時間後に出現している。したがって今回の事件は、脆弱性公開からエクスプロイト、エクスプロイトからウィルス、脆弱性公開からワーム出現のいずれの期間についても最短ということはない。

ZytobはMytobの子孫でありトルコの同じ作者によって作成されたと見られている。

複合的な脅威が問題を大きくしているようだ。新たな脆弱性が公開されると既存のワームがそれをアタックベクターとして使用するようにアップグレードされる。これはまさに今回の事件で我々が目にしたものであり、今後さらにこの傾向が強まるものと思われる。これらを支配する単一のワームはもはや存在しない。

事件中盤でのVeritasとAppleのパッチに関するエクスプロイトは、いくらかの人々にとって大きな問題となった。標準化に関するjoatの主張は、垂直統合を最小化することによっていくらかのメリットを得られることを言っている。例えばLinuxをデスクトップとサーバの両方に利用する場合でも、それぞれの設定は異なったものにしておき、水平レベルでは標準化するというアプローチである。

考察

パッチマネジメント・メーリングリストにおける投稿が問題をうまくまとめている。この企業は、分析から完全な対策の展開まで、20日のテストサイクルを使用していた。Sasserの事件があってから、彼らは7日のテストサイクルを導入した。しかしながら、今回の事件は、0-dayは無理としても3日のテストサイクルが必要であることを示した。各種対応についてはマネジメントの承認が必要である。パッチを3日であてるのはほぼ不可能に近い、通常そのような短期間でパッチをあてることはできない。他の問題としては、現在のIEの0-day攻撃等によってパッチング・ポリシーが非現実的な競争に追い込まれている。

この状況に対して、我々は緩和戦略をとらざるを得ない。パッチを当てることなく、このようなマルウェアをブロックするいくつかの方法が存在する(いずれにしろ最終的にはパッチを当てるのが望ましいが)。これは短期的な対応と、アーキテクチャの変更など長期的な対応の2つからなる。

短期的な対応

  • 該当するサービスについてファイアウォールをプロキシとして使用するかサービスを停止する
  • 推奨される緩和戦略を適用する(この場合NULLセッションを無効化する)。
  • snortシグネチャを更新し、不審なトラフィックをブロックする。これはいくらかのフォールスポジティブをもたらすかもしれないが、ワームへの感染に比べれば対応が容易である。フォールスポジティブはコミュニティがシグネチャを改善する助けにもなる。
  • そのマルウェアをブロックするようにウィルス対策シグネチャを更新する(常に有効とは限らない)。

長期的な対応

  • ポータブルデバイス(例:Wifiデバイス、ラップトップ、PDA)を特別なサブネットに隔離し、外部ネットワークのように取り扱う。これによりマルウェアが内部に持ち込まれるのを防止できる。
  • マルウェアがトンネルされるのを防ぐためVPNアクセスを制限する。単純なWebアプリケーションのレベルで十分なアクセスを提供できる場合がある。
  • ルーティングのホワイトリストを実装し、イグレスフィルタリングを行う。ユーザのデスクトップは特定のサーバにさえ接続できれば良いケースも多い。これによって、組織内での感染速度を遅らせ、サーバのパッチ当てにより多くの時間を使うことができる。
  • 環境によっては実行ホワイトリストの利用が有効である(Axel Ebelに感謝)。Windows のDEPにより署名付バイナリによる制御が可能である。
  • セキュリティ情報、特にSANS ISC InfoCon脅威レベルに注意する。最小限のテストで即座にパッチを当てなければならないこともある。

これらによりパッチをテストし展開する時間を稼ぐことができる。我々はいまだに、Morrisワーム事件の際、Bill Cheswickこのペーパーで「柔らかい中心を包む殻」と表現したものが必要なのだ。

結論

結論として、今回の件は大して重要ではない多くのノイズのようにも見えるが、実際に全く何もなかったというわけではない。デマもパッチ当てや脅威管理ポリシーのアップデートには使うことができるのである。

更新:体裁を整え、微修正を行った。

更新:おっと、wittyワームはZotobより早かった。

更新:実行ホワイトリストを追加。SANS ISCからエントリーのレビューを受けOKをもらう。

Posted by Dominic White in Masters at 01:21
© Dominic White 2005
somerights20.gif
Original content in this work is licensed under a Creative Commons License.
このコンテンツはクリエイティブ・コモンズ・ライセンスの下でライセンスされています。

Thanks to Dominic for his insightful work and for his approval of translation for Japanese readers. -Keiji

カテゴリー: 情報セキュリティ タグ:
  1. 2005 年 8 月 21 日 01:26 | #1

    MS05-039 and the Zotob summary

    Quite a lot has happened in the last few days, some of it is significant and s…

  1. トラックバックはまだありません。

CAPTCHA