小野寺です。
**DNS の脆弱性について
**さて、まずは DNS 関係から触れたいと思います。7/9 に DNS の脆弱性に対処するために MS08-037 を公開しました。この段階で具体的な攻撃手法は発見者の協力と、世界中の CERT (CERT/CC や JPCERT/CC) を通じた DNS を実装する他のベンダーとの調整により、伏せられてきました。 8 月上旬のセキュリティカンファレンスで発見者が発表するという話にはなっていましたが、ひと月間の適用猶予が存在したはずでした・・・・
ですが、この脆弱性の詳細が、事故なのか、意図的なのかはわかりませんが、とあるブログサイトに書かれてしまいました。 その後は、アッと言う間に情報が拡散しています。 自分が使っている普段 DNS サーバーや他の階層の DNS に未対策なものがあれば、この脆弱性が悪用され、DNS から返される IP アドレスが信頼できないものとなります。 これは、正規の URL で不正なサイトに誘導されたり、本来不可能な筈の攻撃を容易にするという問題もありますが、攻撃が行われている事に気づくことが比較的難しいという事も言えます。今日はブログで書いていますが近いうちにもう少し広くアナウンスしようかとも考えています。
今日はまず、自分自身の環境を再度、見直して欲しい!
Windows を使っている人は、MS08-037 がクライアントとサーバーの両方に適用されているかを確認。(DNS サーバーの有無に関係なく適用が必要)
Windows DNS 以外を使っている人は、その DNS が対策済みなのか、提供元や納品元に確認する必要があります。
Zone Alerm を使っている場合、MS08-037 の適用により Zone Alerm の問題が顕在化し、サイトに接続できなくなる等の現象が確認されています。この場合は、チェックポイント 社から提供されている更新を適用する必要があります。
また、この件に特化したわけではありませんが、改めて、自分自身を守る方法を確認することをお勧めしたい。 多くの関係者が利用者の安全の為に動いていますが、利用者自身も安全に使うための最低限の知識を身につけておくことが大切なのだと改めて感じています。
**Microsoft Update を妨害するワーム
**この DNS の問題の他に、自動更新 (Windows Update) を OFF にする様なワームがまた目に付くようになっています。 最近だと Vundo ファミリー辺りが多い様です。 通常、ウイルス対策ソフトを入れていれば、駆除できている筈ですが、導入していない場合は、 Live Onecare PC Safety 等で、一度検査する事をお勧めします。
自動更新が、OFF になれば、セキュリティセンターが警告して入れますが、対応せずにいるとセキュリティ更新が自動的に適用されなくなります。その場合は、まずはワーム等を駆除、次に設定の回復が必要です。この現象にあたっている場合、自動更新や Microsoft Update のサイトで、エラー 1058 や エラー 0x8DDD0018 が表示される事が多い様です。
以下に、設定を既定の推奨設定に戻すコマンドとレジストリファイルを手順と共にをサンプルとして載せておきます。
1. OneCare Live PC Safety でウイルス検査
駆除できないものがある場合は、セキュリティ情報センターに相談
感染していたワームが駆除てきた場合は、2 へ
自動更新の設定の回復
以下の内容をメモ帳等に張り付けて、“au.reg"等のファイル名で、デスクトップに保存し、au.reg をダブルクリックする。
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WindowsUpdate]
“DisableWindowsUpdateAccess”=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
“NoAutoUpdate”=dword:00000000
“AUOptions”=dword:00000004
“ScheduledInstallDay”=dword:00000000
“ScheduledInstallTime”=dword:00000003
3. 自動更新の実行
以下の内容をメモ帳等に張り付けて、“au.cmd"等のファイル名で、デスクトップに保存し、au.cmd をダブルクリックする。Windows Vista の場合は、“sc config BITS start= demand” を “sc config BITS start= delayed-auto”に変更しておくと、完全に既定の設定です。
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\WindowsUpdate /v DisableWindowsUpdateAccess /f
reg delete HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU /v NoAutoUpdate /f
reg delete HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU /v AUOptions /t REG_DWORD /d 4 /f
reg delete HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU /v ScheduledInstallDay /t REG_DWORD /d 0 /f
reg delete HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU /v ScheduledInstallTime /t REG_DWORD /d 3 /freg add “HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update” /v AUOptions /t REG_DWORD /d 4 /f
reg add “HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update” /v ScheduledInstallDay /t REG_DWORD /d 0 /f
reg add “HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update” /v ScheduledInstallTime /t REG_DWORD /d 3 /fsc config BITS start= demand
sc config wuauserv start= auto
sc start wuauserv4. ウイルス対策ソフトが未導入なら導入する
Microsoft からは、Windows Defender(スパイウェア対策、無償) や、OneCare (総合セキュリティ対策ソフト) を提供しています。
また、各 ISP から、色々なセキュリティサービスを提供していますので、自分の加入している ISP のサイトをみてみると良いでしょう
2008/07/29: 対応方法を変更