DCOMの使用するポート135からコンピュータに侵入される危険性

　先日掲載した「Internet Explorer のDCOM脆弱性」であるが、正しくは脆弱性ではないことが判明した。以前よりポート139、445経由で、Windowsは侵入される危険性があることは知られていた。今回明らかとなったのは、ポート135が開いている場合にもIEなどのアプリケーシ

製品・サービス・業界動向

2002.7.8 Mon 12:00

　先日掲載した「Internet Explorer のDCOM脆弱性」であるが、正しくは脆弱性ではないことが判明した。以前よりポート139、445経由で、Windowsは侵入される危険性があることは知られていた。今回明らかとなったのは、ポート135が開いている場合にもIEなどのアプリケーションを外部からをリモートコントロールされるされるということである。

　WindowsNT/2000にはDCOMがインストールされ有効になっているが、ユーザはほとんどそのことには気付いていない。DCOMはポート135を使用して通信をしているため、ポート135は開いている。したがって、悪意のあるユーザがDCOMのサービスを利用することによって、そのコンピュータ上で動作するアプリケーション（Internet Explorerなど）をリモートコントロールすることが可能になる。
　しかし、これはある一定の条件下のみでの可能な方法となっている。一定の条件下とは、あらかじめユーザ名およびパスワードを入手していること。つまり、今回の危険性は「ポート135が開いており、なおかつ、ユーザ名およびパスワードが知られている状態であると、そのコンピュータ上で動作するアプリケーションをリモートコントロールされる可能性がある」ということである。

　これは前述のようにある一定条件下でのみ可能となることであるが、このDCOMを使ったリモートコントロールでは、HTTPSで暗号化されているはずのパスワードなども平文で取得することができる。つまり、クレジットカード番号の盗難などの危険性も出てくるのである。

　今回の問題点を発見し指摘したネットワークセキュリティ研究グループの SecurityFridayは、この件について

「ユーザー名とパスワードによる認証に頼っているWindowsにおいては、十分に安全なパスワードを使用していないとネットワークに接続することは危険であり、パスワードを再確認する必要があるだろう。」

とコメントしている。

　なお、今回の件はSecurityFriday様（ http://www.securityfriday.com ）よりご指摘を受け、以前の記事を修正しております。