IEの新たなバグ･脆弱性が発覚 - これの何が怖いのか: 2012年9月

気になったITニュースに絡めて、思うことをつらつらと書いて見ます。
2012年9月18日
IEに新たな脆弱性が発覚、当面は別ブラウザの利用を - ITmedia ニュース
マイクロソフト セキュリティ アドバイザリ (2757760): Internet Explorer の脆弱性により、リモートでコードが実行される
　　　追記:この問題は9月22日に修正パッチが配布されます
　　　マイクロソフト セキュリティ情報の事前通知 - 2012 年 9 月

IEの脆弱性は毎月のように発見され警鐘が鳴らされ、今更のような気もするけど。
IEだけじゃなく、様々なブラウザ･OS･Webサーバーアプリでも毎月のように脆弱性が発見され、様々な機関から報告されるのだけれど。
「こういうのって本当に怖いんだなあ」と今更の様に実感するようになったのでメモ。

なにが怖いのか

• 何が怖いって、今年5～6月に発生したcgi版phpの脆弱性を突かれる問題があったので、今世界中にバックドアが開いてしまったWebサイトが無数にある事が怖い。
  
• 日本国内では、ロリポップ･さくら･ヘテムルなど、多くの共有レンタルサーバーがcgi版phpを採用している。これらのサーバーでWordPressやMovableTypeやXoopsなどでphpを走らせているサイトは標的にされやすかった。
• 脆弱性そのものの修正は、5～6月に各レン鯖管理会社が行っている。
  なのでもうバックドアが開いたサイトが爆発的に増えることは無いだろう。
  これはもうほとんど心配ない。
  
• しかし修正が行われても、既に仕込まれたバックドアは開いたまま。
  ここから再び攻撃者がサイトに侵入し、Webサイトを改ざんすると、そこから簡単にIEの脆弱性を突いた攻撃が可能になる。
  
  • 国内でも、既にバックドアを仕込まれているサイトは無数にあるはず。
  • 今、国内の「レンタルサーバーで公開されている」普通のWebページも、結構キケンな状態になっているのだ。
  • Web公開しているユーザー自身がこの危険性に気が付いて、各自がチェック･削除しなければならない。

「昨日まではごく普通の、一般ユーザーの趣味のWebサイトだったはずなのに、それがいきなり攻撃サイトに変身しちゃう可能性がある」ってのが怖い。

今回の「IEの新たな脆弱性」に限らず、こういうのが発見されるたびに「バックドアの開いたサイト」は攻撃や実験の対象となってしまいます。私の管理サイトも、今年8月頃のJAVAの脆弱性が発見された時、その実験対象にされました。(脅威は小さく被害も出なかったものの)ウイルス仕込まれていました。

　

サイト運営者はちょっとコレ読んで

このサイトもcgi版phpの修正は早々に行っていたものの、バックドアを完全に塞いだのはつい先日、9月14日の事。私も「phpの脆弱性はもう無いから」と、油断していたのだ。

• ぼくんちのTVがハッキングされ、ウィルス仕込まれてました><
• cgi版phpの脆弱性を突かれサーバーにウイルス仕込まれた後、取った行動メモ
  (裏ブログ)

「どんな風にウィルス仕込まれていたか」「その後、どうやってバックドアとウイルスを探すのか」などが書いてあります。
サーバーの知識が殆ど無くても、全ファイルをローカル(Windows PCなど)にダウンロードし、そこで検出する事も可能です。

▲私の管理サイトに仕込まれていたウイルス。
　・Webサイトを全てローカルにダウンロードし、ウイルスチェックしてみよう。
　・ウイルスや攻撃コードは、Windowsのセキュリティソフトでも検知可能。
　・バックドアは、ファイル名やタイムスタンプでソート･検索して探す。
　・念のため、今年5月頃のタイムスタンプのあるファイルは全部削除する。

バックドアが開いているサイトは、本当にやりたい放題に改ざんが可能な状態になっています。危険性はウイルス仕込まれるだけじゃありません。大規模なDDos攻撃の加担者になっちゃう可能性もあります。

このことに気付いているレン鯖ユーザーは何割くらいだろう？

自分が当事者になる可能性がデカかっただけに、巡回している大好きなサイトも対象になっている可能性も大きいので、今回の脆弱性の問題は怖くて怖くて仕方が無いです。