Windows（Windows 2000、Windows XP、Windows Server 2003）のプラグ・アンド・プレイ・サービスに未チェックのバッファがあるために、リモート・コードが実行されたり、特権の昇格を許したりしてしまう、MS05-039の脆弱性を悪用したワーム「Zotob（ゾトブ）」が発生し、一部で被害が広がった。8月16日付けのHotFix Briefings ALERTでお知らせしたとおり、MS05-039の脆弱性は、Windows 2000のみ匿名のリモート攻撃が可能であることから、主にWindows 2000が被害を受けた。Zotobは感染すると、ftpを利用してほかのコンピュータにワームの感染を広げる。場合によっては、コンピュータが再起動を繰り返すなどの症状が発生する場合もある。すでにZotobの複数の亜種が確認されている（シマンテック社によれば、原稿執筆時点で10種類）。感染被害は収束に向かう方向にあるようだが、楽観せずにパッチ適用と感染防止対策を実施しよう。

• プラグ アンド プレイの脆弱性により、リモートでコードが実行され、特権の昇格が行なわれる（マイクロソフト・セキュリティ・アドバイザリ 899588）

Hotfix Briefings ALERT MS05-039

　なおZotobは、Windows 2000のプラグ・アンド・プレイ・サービスの脆弱性を悪用して感染を広げているが、SymantecではWindows XPで「簡易ファイルの共有」機能を有効にしている場合、Zotobと同様の攻撃を受ける可能性があることを報告している。これは、「簡易ファイルの共有」機能が、guestアカウントを有効にするため、Windows XPでプラグ・アンド・プレイ・サービスの脆弱性を悪用する条件となる「有効なログオン資格」を容易に得ることが可能なためだ。現在、感染を広げているZotobは、Windows XP を攻撃のターゲットとしていない。しかし今後、「簡易ファイルの共有」機能を有効にしているWindows XPをターゲットとするような亜種の登場も懸念される。Windows XPを利用している場合でも、至急、パッチを適用した方がよい。

• 簡易ファイルの共有および ForceGuest についての説明（マイクロソフト・セキュリティ・アドバイザリ 906574）

　Zotob（初期版のZotob.A）は、次の手順で感染を広げる。

1. 感染元コンピュータでFTPサーバを動かす。

2. ランダムなIPアドレスに対し、TCPのポート445番へのSYNパケットを送信する。

3. TCPのポート445番をリッスンしていて（SYNパケットに対する応答があるかどうかで判断できる）、MS05-039の脆弱性があるなら、これを悪用してシェル・コードを送り込み、2pac.txtという名前のFTPスクリプトをそのコンピュータ（感染先コンピュータ）に作成する。

4. 感染先でFTP.EXEを実行し、感染元のFTPサーバからワーム・コードをダウンロードする。この際、TCPのポート33333番を使用する。ワーム・コードのファイル名はhaha.exe。

　通信ポートやスクリプト・ファイル、ワーム・コード・ファイルの名前などは亜種によって異なる。

　感染を抜本的に回避するには、マイクロソフトが提供しているMS05-039のパッチを適用する。根本的な解決法ではないが、WindowsファイアウォールなどでTCP 139／445番ポートを適切にブロックすることでZotobの感染を回避できる。何らかの理由でパッチの早期展開が困難な場合には、この方法で感染を予防すること。

　マイクロソフトは、主要なウイルス／ワーム・プログラムの感染確認と削除を実施する無償ツール「悪意のあるソフトウェアの削除ツール」のVer.1.7AにてZotobに対応した。Windows Update／Microsoft Updateやダウンロード・センターから入手できる。

• Microsoft Windows 悪意のあるソフトウェアの削除ツール（KB890830）

　また、ウイルス対策ソフト・ベンダなどが提供している以下のツールも利用できる。

• W32.Zotob 駆除ツール（シマンテック）
• W32/Zotob 駆除方法（ソフォス）
• AVERTウイルス駆除ツール（マカフィー）
• システムクリーナー（トレンドマイクロ）

　上記の削除ツールは単体のマシンでしか駆除／検出作業を行えないという制限があるが、セキュリティ・ベンダ各社が用意した以下のような無償のスキャナを使えば、台数（あるいはIPアドレス数）に制限のあるものの、ネットワーク上のマシンをリモートでスキャンすることなどが可能である。

• Retina UMPNP Scanner［eEye Digital Security］
• MS05-039 Scan v1.0［Foundstone］

■関連情報

• プラグ アンド プレイ の脆弱性により、リモートでコードが実行され、特権の昇格が行なわれる (899588) (MS05-039)

• Handler's Diary August 17th 2005［英語］（SANS）

• 新種ワーム「W32/Zotob」に関する情報（IPA）

• MS05-039 を悪用した Zotob （ゾトブ） ワームに関する情報（マイクロソフト）

■セキュリティBBS関連スレッド

• MS05-039［緊急］：プラグ アンド プレイ の脆弱性により、リモートでコードが実行され、特権の昇格が行なわれる（HotFix Report BBS）

• MS05-039を利用するワーム「Zotob.A」が発生（HotFix Report BBS）

　マイクロソフトは、「msdds.dll」（Microsoft DDS Library Shape Control）というCOMコンポーネントに脆弱性があり、攻撃用WebページをIEで参照させ、IEからこのCOMコンポーネントにアクセスさせることで、リモート・コードを実行したり、IEを異常終了させたりできることを公表した。msdds.dllは、データベース・オブジェクトをビジュアル化するために利用するCOMコンポーネントで、Visual Studio .NETやAccessなどに含まれている。Windowsのデフォルトの状態ではインストールされない。

• COM オブジェクト (Msdds.dll) により Internet Explorer が予期なく終了する可能性がある（マイクロソフト・セキュリティ・アドバイザリ 906267）

　この脆弱性の影響を受ける環境は限定的である。上記セキュリティ・アドバイザリから要点をまとめると次のようになる。

■今回の脆弱性の影響を受ける環境

• 脆弱性が存在するmsdds.dllのバージョンは7.0.9064.9112と7.0.9446.0の2種類。それより新しいバージョン（7.0.9955.0や7.10.3077.0、またはそれ以上のバージョン）には脆弱性はない

• Visual Studio 2002 SP未適用（SP1を適用すれば影響を回避できる）

• Office XP SP3のユーザーで、msdds.dllがインストールされており、さらにmsvcr70.dllとmsvscp70.dllの2つのファイルがIEからアクセス可能な場合（これらのファイルがmsdds.dllと同一フォルダに存在する、または%windir%￥system32ディレクトリに存在するなど）

■脆弱性の影響を受けない環境

• Office 2003

• Access 2003

• Office XP SP3／Access 2002 SP3をデフォルト状態で使用している場合（例外は上記）

• Visual Studio 2003

• Visual Studio 2002 SP1

　ただし別の追加アプリケーションによって脆弱性のあるmsdds.dllがインストールされている可能性は否定できないので、確認と対策は必要である。

　マイクロソフトは、この脆弱性を解消する修正プログラムを発表していない。すでに実証コードが公開されているので、脆弱性のあるmsdds.dllがインストールされているなら、早急に回避策を実施すべきだ。回避策には以下の手段がある。

1. IEの「インターネット」「イントラネット」のセキュリティゾーン設定を「高」にする。

2. IEの「インターネット」「イントラネット」ゾーンで、ActiveXコントロールの実行を不可にするか、実行前にダイアログを表示するようにする。

3. msdds.dll COMオブジェクトを無効にする（killbitを設定する）。これにはレジストリの編集が必要。詳細はすぐ次で述べる。

4. msdds.dllをアンインストールする。コマンド・プロンプトで　regsvr32 /u msdds.dll　を実行（こちらも詳細後述）。

5. msdds.dllをEveryoneでは実行不能にする（詳細はアドバイザリの「回避策」を参照）。

　3．の対策を実行するには、レジストリ・エディタ（regedit.exe）で次のレジストリ・キーのDWORD型のデータを「0x00000400」に変更する。

　4．の対策を実行するには、コマンド・プロンプトから次のコマンドを実行する。

■セキュリティBBS関連スレッド

• IE6 SP2 に 0day 攻撃?（HotFix Report BBS）

　Adobe Acrobat／Readerのプラグインの一部にバッファ・オーバーフローの脆弱性が存在する。細工されたPDFファイルを開くことにより、ソフトウェアが異常終了したり、リモートで任意のコードを実行されたりする危険性がある。

　対象ソフトウェアのメジャー・バージョンに対し、Update Managerや修正プログラムを利用して更新することで、この脆弱性に対処できる。

• Acrobat／Adobe Reader プラグインのバッファオーバーフローの脆弱性に関するセキュリティ情報

■セキュリティBBS関連スレッド

• Adobe Acrobat／Readerにバッファ オーバーフローの脆弱性（HotFix Report BBS）

　2005年8月の月例セキュリティ修正の1つとして公開された緊急レベルの修正プログラム、MS05-038の脆弱性の1つ（COMオブジェクトのインスタンス化のメモリ破損の脆弱性：CAN-2005-1990）を攻撃するための実証コードがFrSIRTから公開された。

　今回公開された実証コードのうち１つは、以前に公開されたJavaprxy.dllではなく、MS05-038で新たに解消された「blnmgr.dll」のインスタンス化を使うものである。詳細は不明だが、もう1つはファイルのダウンロードを可能にするもののようだ。なおWebsenseによれば、スウェーデンにホスティングされているWebサイトがMS05-038の脆弱性を悪用しているのを発見したという。まだMS05-038の修正を適用していないなら、できるだけ早期に適用を実施しよう。

• FrSIRT（Microsoft Internet Explorer COM Objects Instantiation Exploit (MS05-038)）

• FrSIRT（Microsoft Internet Explorer COM Objects File Download Exploit (MS05-038)）

• Malicious Website / Malicious Code: Exploits of MS05-038 in the wild［英文］（Websense）

　マイクロソフトは、Windowsの標準機能だけでできる企業内での情報漏えい対策法をまとめた技術文書「情報漏えい対策ガイド」を公開した。具体的には、

（1）リムーバブル・ストレージの使用制限
（2）暗号化ファイルシステム（EFS）の活用
（3）Active Directoryに格納されている個人情報の隠蔽

について解説している。

• 情報漏えい対策ガイド (Windows 編)

　マイクロソフトは、MBSA（Microsoft Baseline Security Analyzer）でのスキャン結果を、Visioで視覚化できる無償ツール「Microsoft Office Visio 2003 Connector for the Microsoft Baseline Security Analyzer (MBSA) 2.0」を公開した。従来からMBSA 1.2.1に対応したものは公開されていたが、今回公開されたバージョンでは、1.2.1に加え、新しいMBSA 2.0に対応している。

• Microsoft Office Visio 2003 Connector for the Microsoft Baseline Security Analyzer (MBSA) 2.0（マイクロソフト）

　マイクロソフトは、日本語版の「Internet Explorer 7 Beta 1技術概要」（Word文書）を公開した。IE 7は、現行版IE 6の次期バージョンで、まもなく正式公開が予定されている。Beta 1は、Windows Vista Beta1とともに、MSDNサブスクリプション会員向けに2005年8月3日から公開されている。このうち「技術概要」では、IE 7で追加、拡充されたセキュリティ関連機能、インターフェイスの拡充、RSSフィード対応などについて、スクリーン・ショットを交えて解説されている。

• Internet Explorer 7 Beta 1 技術概要
• アンチフィッシィング (Anti-phishing) ホワイト ペーパー

• サポート技術情報 905226（Windows XP または Windows 2000 Professional の確認時に Windows Genuine Advantage (正規 Windows 推奨プログラム) の確認処理が完了しない）：［Windows 2000］［Windows XP］

• サポート技術情報 905215（セキュリティ更新プログラム 896358 のインストール後、HTML ヘルプ ActiveX コントロールのパラメータで URL スキームを使用するときに、一部の URL スキームが無視される）：［Windows 98／98SE／Me］［Windows 2000］［Windows XP］［Windows Server 2003］
  ＃MS05-026の修正プログラムの適用による仕様変更と回避策が提示されている

• サポート技術情報 832219（Windows 2000 のサーバーに Service Pack、更新プログラムのロールアップまたはプリンタの修正プログラムをインストールした後、印刷できない）：［Windows 2000］

• サポート技術情報 903265（Windows XP Service Pack 2 ベースのコンピュータが休止状態から再開した後、システムの動作が Shift キーを押しているときと同じ動作になる）：［Windows XP SP2］

• サポート技術情報 905419（変更履歴の機能を有効にした Word 2002 文書を印刷すると、すべての校閲者による変更内容が印刷される）：［Word 2002］

• サポート技術情報 905897（URL にダブルクォーテーションと MBCS 文字が含まれるリクエストで HTTP 400 Bad Request が返される）：［IIS 6.0］

• Microsoft XML Parser (MSXML) 3.0 Service Pack 7 (SP7)
  ＃Windows Server 2003 SP1やMDAC 2.8 SP1、SQL Server 2000 SP4などに含まれたMSXML 3.0 SP7を単独で提供開始

• サポート技術情報822219（ファイル サーバー上のファイルの操作時に、ファイル サーバーのパフォーマンスが低下し遅延が発生する）：［Windows OS］