ホーム > mixiニュース > IT・インターネット > IT総合 > MSが“おきて破り”の緊急対応 今さらXPのパッチを出した深刻な脆弱性とは

MSが“おきて破り”の緊急対応 今さらXPのパッチを出した深刻な脆弱性とは

28

2019年05月21日 09:02  ITmediaエンタープライズ

  • チェックする
  • つぶやく
  • 日記を書く

ITmediaエンタープライズ

写真脆弱性「CVE-2019-0708」の対象になるとされた5つのOS
脆弱性「CVE-2019-0708」の対象になるとされた5つのOS

 サイバー空間の脅威の多くは、メールもしくはWebからやってきます。皆さんもご存じのように、そうした攻撃の大部分は、「クリックしてファイルを開く」「特定のファイルをダウンロードする」ユーザーの行動を引き金に発動するようにできています。



日本マイクロソフトが「CVE-2019-0708」に対してパッチを公開した様子の一部。深刻度は全て「緊急」に分類されています



 例えばメールの添付ファイルをユーザーが“クリック”するとマルウェアが発動するような仕組みや、細工をしたファイルを開けば、アプリの脆弱(ぜいじゃく)性を突いてマルウェアがインストールされる場合などは、その典型例でしょう。また、メールに細工を施したURLを記載し、巧みな文言でそれをクリックさせることで、マルウェアをインストールさせる場合もあります。



 このように、何らかの方法でユーザーにマルウェアをインストールさせ、ランサムウェアによる脅迫やデバイスの遠隔操作、仮想通貨の振り込みなどにつなげる攻撃は、詳しく集計したわけではありませんが、全体のほぼ9割くらいを占めるのではないでしょうか。最近はOSやアプリの開発者があらかじめセキュリティに配慮するようになったため、脆弱性そのものは比較的少なくなっています。そのため、ユーザーのアクションをきっかけに、いわば“侵入の余地”を作る攻撃が増えたようです。



 しかし今回私が取り上げたいのは、残りの1割――つまり、ユーザーが何のアクションを起こさなくても、ネットワーク経由で感染を続ける攻撃の方です。最近の例ではWannaCryが記憶に新しいですが、私自身、こういったタイプの攻撃はさすがにしばらく来ないだろうと思っていました。つい先週までは……。



●「CVE-2019-0708」とは? 名前だけでも覚えてほしい理由



  そんな望みを裏切る深刻な脆弱性情報が明らかになったは、2019年5月14日のことでした。Microsoftが緊急の更新プログラムと一緒に公開したのです。それが「CVE-2019-0708」。Windowsの一部の製品で発見され、早急な対応が必要な脆弱性です。



 JPCERTコーディネーションセンターも、同脆弱性について解説を公開しました。ここでは、こんな表現が使われています。



 本脆弱性を悪用することで、認証されていない遠隔の攻撃者がRDP(リモートデスクトッププロトコル)を使用して細工したリクエストを送信し、任意のコードを実行する可能性があるとのことです。



 Microsoftによると、本脆弱性の悪用はまだ確認されていないとのことですが、本脆弱性を悪用するマルウェアが今後開発されると、2017年に流行したランサムウェア「WannaCry」のように、脆弱な端末に感染が広がる可能性があると注意を促しています。



 結論からいうと、同脆弱性は「Windows 10」および「Windows 8」には当てはまりません。ただし、次に挙げるOSに存在し、今後“WannaCryのように”感染が広がる可能性があるといいます。



●対策1:自分の組織で該当OSを使っていないか、今すぐ確認すべし



 Microsoftによれば、CVE-2019-0708の脆弱性は次のOSに含まれます。



・Windows Server 2008 R2



・Windows Server 2008



・Windows Server 2003



・Windows 7



・Windows XP



 上記OSのうち「Windows XP」および「Windows Server 2003」は、既にサポート期間が終了したものです。そのため通常であれば、たとえセキュリティ関連であっても、Microsoftがパッチを提供することはありません。しかし、同社は今回の影響範囲を考えたのか、特別に緊急のセキュリティ更新プログラムを公開しました。



 今回の脆弱性は、Windowsのリモートデスクトップサービスに関するもの。認証前の段階でも、攻撃者が特殊なリクエストを送ることで、第三者により任意の(悪意ある)プログラムを実行されたり、アカウントを作成される恐れがあります。これはユーザーに何もさせることなく実行できてしまう攻撃です。そのため、脆弱性に対処していないOSのままでネットワークにつながれていた場合、感染を止められません。



 幸いにも本稿執筆時点では、同脆弱性を使った被害は明らかになっていません。偶然にも、WannaCryが猛威を振るった当時、日本では、攻撃に利用されたSMBポート(TCPポート445番)がブロードバンドルーターで遮断されていたことで、国外に比べて被害は目立ちませんでした。ただし、それはあくまで“公表された被害”が少なかったにすぎない、という声もあります。



●対策2:早急に組織内でパッチを適用し、抜け漏れがないか確認すべし



 Microsoftは、同脆弱性について、早急な修正プログラム適用を強く推奨しています。今回のCVE-2019-0708に関しては、WannaCry同様「利用者の操作を一切必要としない」という点で、確かにWannaCry級の被害を引き起こす可能性を秘めています。それが現実になるかどうかは、私たちの“感度”にかかっているといえるでしょう。



 CVE-2019-0708が全世界に公開された米国時間の5月14日は、この記事が公開される1週間前でした。日本時間の5月15日には、ITmedia エンタープライズでも注意喚起の記事が公開され、ここでもしっかり「WannaCry型マルウェア再来」と表現されていました。この記事タイトルを見ただけで、対策に走ったシステム管理者も多いのではないでしょうか。



 今回、システム管理者が青ざめたのは、恐らく「Windows XPやWindows Server 2003にもパッチが出た」という点についてでしょう。これはまさに、システム管理者やユーザーに向けた、Microsoftからの“本気”を示すメッセージです。



 さて、ここからは時間との勝負です。上記の情報を受けて既に本気の対応を決めた組織の場合、影響範囲を把握してパッチ適用まで済んでいるかもしれません。もし今回の脆弱性をこのコラムで知ったという方も、「何も知らなかった」というステージを抜けられたのですから、今すぐに状況把握を進めてください。



 残念ながら、パッチ適用以外の有効な緩和策は、現時点で「ネットワークレベル認証を有効にする」くらいしかなく、それもごく限られた範囲にしか効かないようです。



●対策3:今後のため、今回の対策を「いつ」「どうやって」実行したか振り返るべし



 今回の脆弱性「CVE-2019-0708」は、即座に対応が必要なタイプのものでした。「あなたが今回の脆弱性にいつ気付き、対処の要否を見極めるために何をしたか」というタイムラインを、もう一度振り返ってみてください。まさに今、サイバー犯罪者は使える脆弱性を1つ手に入れ、それをどう攻撃に使うかを検討しています。そのスピードを上回らなければ、サイバー攻撃を防げないのです。



 ただし、今回の脆弱性については、1つだけ救いもあります。それは「最新のOSであれば影響がない」という点。恐らく、ほとんどの組織はWindows 10への移行を検討中か、もしくは移行済みではないかと思います。そのためCVE-2019-0708の最良の対策方法は「全てのデバイスを最新のOSに移行させる」ことかもしれません。



 とはいえ、例えばサポート終了が近いWindows 7を今使っている組織の場合、ある意味で「覚悟した上で使っている」はず。どうしてもWindows 7でしか動かない重要なシステムはいまだにたくさんあります。ただし、使い続ける「覚悟」とは、攻撃がいつ来るかとビクビクすることではなく、情報を的確に集め、対処が必要な脆弱性があるかどうかを即座に判断できることだと思います。それが今回できていたのかを判断するためにも、そのような組織にいるという方は、CVE-2019-0708をいつ知ったのか、正しく判断するための準備ができていたかどうかを振り返ってみてください。


このニュースに関するつぶやき

  • MSはいつまでbug入りの不良OSを有償販売し続けるのだろか? OSを無償、毎月のパッチは年額1ドルくらいで販売したら、中華劣化コピーも減る気もする。
    • イイネ!0
    • コメント 0件
  • セキリュティに新しい技術を導入することに異議は無い。 問題は、 な ん で U I を 新 し く し て し ま う の か ? という事だ。
    • イイネ!7
    • コメント 0件

つぶやき一覧へ(13件)

あなたにおすすめ

ニュース設定