IISの自動防御ツール「SecureIIS Web」がNimdaの変種にも有効と判明 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.09.24(日)

IISの自動防御ツール「SecureIIS Web」がNimdaの変種にも有効と判明

製品・サービス・業界動向 業界動向

 IISの自動防御ツールである「SecureIIS Web」。この製品は今回発生したNimdaの変種「W32.Nimda.E@mm」に対しても有効なのだろうか?同製品の総販売代理店である、住友金属システムソリューションズにコメントを頂いた。

──────────────

「W32.Nimda.E@mm」は、オリジナルのNimdaである「W32.Nimda.A@mm」の亜種です。

「W32.Nimda.E@mm」では、各種ウィルス対策製品によるチェックを回避する為に使用するファイル名を変更するなどの修正がおこなわれております。

 ただし、IIS Webサーバに対するこのワームの感染方法は、オリジナルのNimdaと同一です。つまり、IIS WebサーバのUnicodeデコードの脆弱性を利用したディレクトリ・トラバーサル攻撃となっているのです。

 したがって、Nimdaに対応した修正モジュールを適用したIIS Webサーバであれば、「W32.Nimda.E@mm」に対する新たな対策を講じる必要はありません(無論、修正モジュールを適用していない場合には感染する危険性があります)。

* 以下は、MicrosoftのNimdaに関する情報サイトです。*
http://www.microsoft.com/japan/technet/security/nimdaalrt.asp

「SecureIIS Web」では、以下の機能によってNimda(とその亜種)をブロックすることができます。

(1)ハイビット シェルコードに対する保護機能
(2)キーワード フィルタリング機能により、悪意あるキーワードを含むHTTPリクエストの拒否
(3)リモートから参照できるフォルダを制限することによるディレクトリ・トラバーサル攻撃からの保護

(1)について
「SecureIIS Web」では、標準の設定でハイビット・シェルコードからの保護機能が有効になっています。Nimdaとその亜種はIIS Webサーバを攻撃する際、Unicodeデコードの脆弱性を利用する為、ハイビット文字列を含む不正なGETリクエストをWebサーバーに送信します。
 この時、「SecureIIS Web」はGETリクエストの中のハイビット文字列を検知することができるため、Nimdaとその亜種による攻撃をその時点でブロックすることが可能となります。

(2)について
「SecureIIS Web」では、「system32」、「cmd.exe」というキーワードフィルタが標準で設定されています。
 Nimdaとその亜種による攻撃パターンには、こうした文字列が含まれています。したがって、標準のキーワード・フィルタの設定により、Nimdaとその亜種の攻撃をブロックすることができます。

(3)について
「SecureIIS Web」では、標準の設定でリモートから参照可能なディレクトリを適切なWebフォルダのみに制限します。
 Nimdaとその亜種による攻撃は、IIS WebサーバのUnicodeデコードの脆弱性を利用したディレクト・リトラバーサル攻撃であり、典型的にはWindowsのシステムフォルダに対するアクセスを行い、リモートから不正にコマンドを実行しようとするものです。
 しかし、「SecureIIS Web」が導入されている環境では、リモートから参照できるフォルダが、標準で適切なWeb仮想フォルダのみに制限されるため、Nimdaとその亜種によるリモートからのコマンド実行の試みは成功しません。

 上記のように「SecureIIS Web」は、IIS Webサーバに対して多重の防御を行います。
 また、「SecureIIS Web」はCHAMテクノロジを用いている為、ワーム等の特定の攻撃パターンに依存しない構造になっております。
 このため亜種のワームが登場しても、その攻撃からIIS Webサーバを保護することができます。

□関連情報

【SecureIIS Web(1)】〜IISへの攻撃を自動的にシャットアウト〜
(執筆:Port139 伊原秀明)(2001.10.4)
https://www.netsecurity.ne.jp/article/7/2964.html


(詳しくはScan Daily EXpressおよびScan 本誌をご覧下さい)
http://vagabond.co.jp/vv/m-sdex.htm
http://vagabond.co.jp/vv/m-sc.htm

《ScanNetSecurity》

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

製品・サービス・業界動向 カテゴリの人気記事 MONTHLY ランキング

  1. 次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

    次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

  2. 「サイバーセキュリティ関連で最もクールな4つの職種」を発表(マカフィー)

    「サイバーセキュリティ関連で最もクールな4つの職種」を発表(マカフィー)

  3. 30年度サイバーセキュリティ政府予算730億円、防衛省と厚労省が各45億円超(NISC)

    30年度サイバーセキュリティ政府予算730億円、防衛省と厚労省が各45億円超(NISC)

  4. 世界の大規模漏えい事故から、日本企業の「社外」にある情報資産を可視化(イード)

  5. 顔認証システムの現状、顔写真を使った「なりすまし」も3Dデータ照合で防ぐ

  6. 自分の利用しているサーバの状況を確認する方法 不正中継確認

  7. ルートゾーンKSKロールオーバーのプロセス開始、DNSパケットサイズに注意(JPRS)

  8. ルートゾーンKSKの情報更新など呼びかけ、期限は9月19日まで(総務省)

  9. アジア以外ではランサムウェアの検出数が前年の2倍に、脅威の進化も(チェック・ポイント)

  10. ディープラーニングを採用したイスラエルのエンドポイント保護製品を発売(アズジェント)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×