Windows Serverに超ド級の脆弱性、米国土安全保障省が「緊急指令」を発した理由

https://xtech.nikkei.com/atcl/nxt/column/18/00001/04385/

『サーバー用OSのWindows Serverに危険な脆弱性が見つかった。悪用されるとコンピューターを乗っ取られる恐れなどがある。危険度を表す指標CVSSは最大値の10.0。米国土安全保障省(DHS)は政府機関に対策を命じる緊急指令を発令した。悪用した攻撃は未確認だが近いうちに出現する可能性は高い。攻撃が出回る前にセキュリティー更新プログラムや回避策を適用する必要がある。

17年前から存在する
 今回の脆弱性はWindows Serverに含まれるWindows DNS Serverに見つかった。Windows DNS Serverは米Microsoft(マイクロソフト)製のDNSサーバーソフト。発見者である米Check Point Software Technologies(チェック・ポイント・ソフトウェア・テクノロジーズ)によると17年前から存在するという。

同社によれば、Windows Server 2003から最新版のWindows Server 2019までが影響を受けるとしている。つまり全てのWindows Serverが対象になる。

 マイクロソフトはこの脆弱性を修正するセキュリティー更新プログラムを2020年7月14日(米国時間、以下同)に公開した。現在サポート期間中のWindows Serverに加え、2020年1月に延長サポートが終了しているWindows Server 2008および2008 R2に対しても更新プログラムを提供している。一方、それ以前の古いWindows Serverはサポート期間が終了しているため提供していない。

 今回の脆弱性はDNSのSIGレコードが関係する。このためチェック・ポイントは脆弱性を「SIGRed」と名付けた。細工が施されたデータを送信されるとバッファーオーバーフローが発生し、任意のプログラムを実行される恐れがある。その結果、コンピューターを乗っ取られたり、ウイルス(マルウエア)に感染させられたりする可能性がある。

 この脆弱性を修正するセキュリティー更新プログラムの公開を受けて、前述のようにDHSは7月16日に緊急指令を発令。政府機関に対策するよう命じた。

 緊急指令は法令で定められていて強制力がある。今までに3回しか発令されていない。初めて発令されたのは2019年1月。このときはDNSの改ざんが相次いだための対応だった。2度目は2020年1月。WindowsのRDPに見つかった脆弱性に関して発令された。そして今回が3度目である。

ワームに悪用される
 今回の脆弱性に対して緊急指令を発令したのは、まず第一に危険度が高いためだ。コンピューターを乗っ取られるだけではなく、ワームに悪用される恐れもある。ここでのワームとは、ネットワーク経由で勝手に感染を広げるウイルスのこと。今回の脆弱性を悪用すれば、人手を介することなく感染を拡大できる。このような脆弱性は「ワーム可能な(wormable)脆弱性」と呼ぶ。

 影響範囲も広い。前述のようにWindows Serverの全てのバージョンが影響を受ける。また、DHSのサイバーセキュリティー・インフラストラクチャー・セキュリティー庁(CISA)クリストファー・クレブスディレクターは7月16日付の公式ブログにおいて、政府機関の多くがWindows Serverを利用していると述べている。

緊急指令 20-03を解説するブログ
(出所:DHSのサイバーセキュリティー・インフラストラクチャー・セキュリティー庁)
[画像のクリックで拡大表示]


 脆弱性を悪用する攻撃が出現する可能性も高いとしている。セキュリティー組織の米SANS Institute(サンズインスティチュート)はセキュリティー更新プログラムの公開直後時点で、「DoSエクスプロイト(脆弱性を突いてコンピューターを正常に動作させなくするプログラム)」は確認したが、コンピューターを乗っ取るようなプログラムは未確認としていた。

 緊急指令の発令時点でCISAも悪用を認識していないとしているが、公開されているセキュリティー更新プログラムをリバースエンジニアリングすることで脆弱性の詳細は明らかにされるだろうとしている。

 前出のクレブスディレクターも「今のところ出現していないが、今回の脆弱性を悪用するプログラム(エクスプロイト)が現れるのは時間の問題」と公式ブログで強調する。

国内でもすぐに対策を
 もう1点気になるのが、今回の脆弱性はサーバーOSが対象であることだ。クライアントに比べて台数は少ないものの、セキュリティー更新プログラムの自動更新を有効にしていない可能性が高い。「セキュリティー更新プログラムは事前に検証したうえで適用する」という運用にしている組織は、今回のセキュリティー更新プログラムをまだ適用していない恐れがある。

 DNSの緊急指令は米国政府機関向けだが、当然のごとく対岸の火事ではない。国内でも対策が急務だ。今回の脆弱性対策としては、セキュリティー更新プログラムの適用のほかに、レジストリーを変更するという回避策がある。セキュリティー更新プログラムをすぐに適用できない組織は回避策でしのごう。

 詳細はマイクロソフトの情報(https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2020-1350)などを参照してほしい。攻撃が出回ってからでは遅い。』