TechNet セキュリティ > マイクロソフト セキュリティ アドバイザリ

マイクロソフト セキュリティ アドバイザリ (899588)

プラグ アンド プレイの脆弱性により、リモートでコードが実行され、特権の昇格が行なわれる

公開日: 2005年8月15日 | 最終更新日: 2005年8月18日

Zotob は Windows 2000 ベースのコンピュータを標的にしたワームであり、マイクロソフト セキュリティ情報 MS05-039 で解決されたセキュリティ問題を悪用します。このワームおよびその変種は悪意のあるソフトウェアをインストールし、次に感染させる他のコンピュータを捜します。

すでに、セキュリティ情報 MS05-039 と共に公開したセキュリティ更新プログラムをインストールしている場合は、Zotob およびその変種から保護されています。 また、Windows 2000 以外の サポートされているバージョンの Windows を使っている場合も、Zotob およびその変種による脅威はありません。 ソフトウェアのセキュリティ インシデント対応プロセスの一環として、マイクロソフトの調査では、少数のお客様が影響を受けたと判断しました。そしてマイクロソフトのセキュリティ プロフェッショナルがお客様に直接対応しております。 インターネット上で、影響が拡大したという兆候は得ておりません。 攻撃を受けていると確信するお客様は、法的機関までご連絡下さい。 米国以外のお客様は、お客様の国内の警察当局へご連絡ください。

これらのワームの詳細情報、これらのワームに感染しているかどうかの確認、およびこれらのワームに感染している場合にコンピュータを修復する方法の説明については、Zotob に関する情報 および Microsoft Virus Encyclopedia (英語情報) をご覧ください。Microsoft Virus Encyclopedia の参照情報については「概要」セクションをご覧ください。Microsoft Windows 悪意のあるソフトウェアの削除ツール を使用してハード ドライブから Zotob ワームおよびその変種を検索し、削除することもできます。

Windows XP Service Pack 2 および Windows Server 2003 などのそのほかの Windows のバージョンは、既にそのほかの悪意のあるソフトウェアに侵害されていない限り、「Worm:Win32/Zotob.A」、その変種および Windows のプラグ アンド プレイの脆弱性を悪用しようとする類似したワームの影響を受けません。お客様は、直ちにマイクロソフト セキュリティ情報 MS05-039 で提供されたセキュリティ更新プログラムをインストールすることにより、この脆弱性を悪用しようとする攻撃に対する保護を行うことができます。MS05-039 のセキュリティ情報は、MS05-039 をご覧ください。

マイクロソフトは特定のセキュリティ リサーチャーが、脆弱性のデータを更新プログラムのリリースまで公開しないという一般的に受け入れられている業界の慣行に違反し、エクスプロイト コードを公開し、コンピュータ ユーザーに損害を及ぼす可能性をもたらしたことを残念に思っています。マイクロソフトは、セキュリティ リサーチャーが、ソフトウェアの脆弱性が悪用される犯罪行為に結果的に手を貸すことにならないように、脆弱性に関する情報を責任を伴う方法で公開し、お客様が更新プログラムを適用する時間を確保できるようにすることを強く求め続けます。

問題を緩和する要素:

Windows 2000 コンピュータが、主にこの脆弱性による危険にさらされます。MS05-039 のセキュリティ更新プログラムをインストールしている Windows 2000 のお客様はこの脆弱性による影響は受けません。管理者が RestrictAnonymous レジストリ キーの既定の設定を 2 の値に変更して匿名接続を無効にした場合、Windows 2000 システムはリモートで匿名ユーザーから影響を受けません。しかし、多数のアプリケーションとの互換性に危険が及ぶ可能性があるため、各環境にて広範囲なテストを行わない限り、この設定を運用環境にて有効にすることをお客様に推奨しません。 詳細については、マイクロソフト ヘルプとサポート のWeb サイトで RestrictAnonymous を検索してください。

現在、これらの攻撃の標的となっていませんが、Windows XP Service Pack 2 および Windows Server 2003 で、この脆弱性が悪用されるには、有効なログオン資格情報を所有し、ローカルでログオンできることが攻撃者にとっての必要条件であることに注意することが重要です。この脆弱性は Windows XP Service Pack 2 または Windows Server 2003 で、匿名ユーザーまたは標準のユーザー アカウントを持つユーザーによりリモートで悪用されることはないと考えられます。これは影響を受けるコンポーネントに直接組み込まれている、強化されたセキュリティによるものです。 管理者が RestrictAnonymous レジストリ キーの既定の設定を変更することにより匿名接続を有効にしたとしても、Windows XP Service Pack 2 および Windows Server 2003 はリモートの匿名ユーザーによって、または標準のユーザー アカウントを持つユーザーによってリモートで影響を受けません。しかし、この影響を受けるコンポーネントは、管理権限を持つユーザーがリモートで利用できます。

現在、これらの攻撃の標的となっていませんが、Windows XP Service Pack 1 で、この脆弱性が悪用されるには、有効なログオン資格情報を所有していることが攻撃者にとっての必要条件であることに注意することが重要です。匿名ユーザーにより、リモートでこの脆弱性が悪用されることはないと考えられます。しかし、影響を受けるコンポーネントは Windows XP Service Pack 1 で標準のユーザー アカウントを持つユーザーにリモートで利用可能です。既存の攻撃はこれらのオペレーティング システムでこの問題が悪用されるにあたり必要となる認証を提供するよう設計されていません。管理者が RestrictAnonymous レジストリ キーの既定の設定を変更することにより匿名接続を有効にしたとしても、Windows XP Service Pack 1 システムは匿名ユーザーによってリモートで影響を受けません。

この問題は Windows 98、Windows 98 SE または Windows Millennium Edition には影響を及ぼしません。

詳細

概要

アドバイザリの目的: お客様環境への攻撃方法、およびこの潜在的な脅威に対する保護の手助けとなるセキュリティ更新プログラムが利用可能となったことをお知らせします。

アドバイザリの状況: アドバイザリを公開しました。この問題は既にセキュリティ情報 MS05-039 のセキュリティ更新プログラムで解決されているため、追加の更新プログラムは必要ありません。

推奨事項: お客様は Microsoft Windows 悪意のあるソフトウェアの削除ツール を使用して Zotob による感染を確認および削除し、MS05-039 のセキュリティ更新プログラムをインストールしてこの脆弱性に対する保護を行ってください。


参照情報番号
脆弱性の参照情報 

CVE リファレンス

CAN-2005-1983

セキュリティ情報

MS05-039

エクスプロイトおよびワームの詳細 

Zotob に関する情報

Web サイト

悪意のあるソフトウェアの削除ツール

Web サイト

Microsoft Virus Encyclopedia (英語情報)

Worm:Win32/Zotob.AWorm:Win32/Zotob.BWorm:Win32/Zotob.CWorm:Win32/Zotob.D
Worm:Win32/Zotob.EWorm:Win32/Esbot.AWorm:Win32/Rbot.MAWorm:Win32/Rbot.MB
Worm:Win32/Rbot.MCBobax.O

Symantec (英語情報)

W32.Zotob.AW32.Zotob.BW32.Zotob.DW32.Zotob.EW32.Zotob.G

F-Secure (英語情報)

Zotob.AZotob.BZotob.CBozori.ABozori.BBozori.C

McAfee (英語情報)

W32/Zotob.wormW32/Zotob.worm.bW32/Zotob.worm.cW32/Bozori.worm.b
W32/IRCbot.worm!MS05-039W32/Sdbot.worm!MS05-039W32/Sdbot.worm!51326

: 今後確認される変種が既存の変種と比べて著しく異なる場合でない限り、このアドバイザリを更新する予定はありません。

このアドバイザリは次のソフトウェアについて説明しています。

関連するソフトウェア

Microsoft Windows 2000 Service Pack 4

Microsoft Windows XP Service Pack 1

Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium)

Microsoft Windows XP Service Pack 2

Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium)

Microsoft Windows XP Professional x64 Edition

Microsoft Windows Server 2003

Microsoft Windows Server 2003 for Itanium-based Systems

Microsoft Windows Server 2003 Service Pack 1

Microsoft Windows Server 2003 with SP1 for Itanium-based Systems

Microsoft Windows Server 2003 x64 Edition

Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE), および Microsoft Windows Millennium Edition (ME)

Top of sectionTop of section

よく寄せられる質問

このアドバイザリの目的は何ですか?
Zotob は Windows 2000 ベースのコンピュータを標的にしたワームであり、マイクロソフト セキュリティ情報 MS05-039 で解決されたセキュリティ問題を悪用します。 このワームおよびその変種は悪意のあるソフトウェアをインストールし、その後他のコンピュータを感染させるため探索します。すでに、セキュリティ情報 MS05-039 と共に公開したセキュリティ更新プログラムをインストールしている場合は、Zotob.A およびその変種から保護されています。 また、Windows 2000 以外の サポートされているバージョンの Windows を使っている場合も、Zotob.A およびその変種による脅威はありません。

これはマイクロソフトが新たな更新プログラムをリリースする必要があるセキュリティ上の脆弱性ですか?
いいえ。MS05-039 のセキュリティ更新プログラムをインストールしているお客様はこの脆弱性による影響は受けません。

何が原因で起こりますか?
プラグ アンド プレイ サービスに未チェックのバッファが含まれるため、この脆弱性が起こります。脆弱性の詳細については、マイクロソフト セキュリティ情報 MS05-039 をご覧ください。

この脆弱性を悪用することにより、攻撃者は何を行う可能性がありますか?
攻撃者によりこの脆弱性が悪用された場合、影響を受けるコンピュータが完全に制御される可能性があります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、または完全なユーザー権限を持つ新たなアカウントを作成する可能性があります。

Top of sectionTop of section

推奨するアクション

Zotob による感染を確認し、削除してください。

Microsoft Windows 悪意のあるソフトウェアの削除ツール を使用してハード ドライブから Zotob ワームおよびその変種を検索し、削除することもできます。

お客様はMS05-039のセキュリティ更新プログラムをインストールし、この脆弱性に対する保護を行ってください。

Windows 2000 コンピュータが、主にこの脆弱性による危険にさらされます。MS05-039のセキュリティ更新プログラムをインストールしているお客様はこの脆弱性による影響は受けません。

このワームまたはその変種に感染している場合、コンピュータから除去してください。

このワームまたはその変種に感染しているかどうかの確認、およびこのワームに感染している場合にコンピュータを修復する方法の説明については、Zotob に関する情報 または Microsoft Virus Encyclopedia (英語情報) をご覧ください。Microsoft Virus Encyclopedia の参照情報については「概要」セクションをご覧ください。

影響を受けている可能性があるとお考えのお客様で、セキュリティ更新の問題またはウイルスに関するサポートを要請する場合は、ホーム ユーザー向けセキュリティ ヘルプおよびサポートで、ウイルスに関するサポートのお問い合わせ先を確認できます (無料)。

すべてのお客様は、マイクロソフトからリリースされる最新のセキュリティ更新プログラムを適用し、悪用に対しコンピュータを保護する必要があります。自動更新を有効にされたお客様は、自動的にすべての Windows の更新プログラムが提供されます。セキュリティ更新プログラムに関する詳細情報については、マイクロソフト セキュリティの Web サイトをご覧ください。

あなたの PC を守るために

マイクロソフトは引き続きお客様に、ファイアウォールを有効にする、ソフトウェアの更新を入手する、ウイルス対策ソフトウェアをインストールするなどのマイクロソフトの Protect Your PC ガイダンスに従うことを推奨します。これらのステップについては、Protect Your PC Web サイトをご覧下さい。

Windows を更新された状態に保つ

すべての Windows ユーザーは、最新のマイクロソフトのセキュリティ更新プログラムを適用してください。これは、ユーザーのコンピュータが可能な限り保護されることを手助けするものです。ご使用のソフトウェアが最新のものかどうか定かでない場合、Windows Update で、利用可能な更新プログラムがあるかどうかコンピュータをスキャンし、提供されている優先度の高い更新プログラムをインストールして下さい。自動更新を有効にした場合は、更新プログラムがリリースされると配信されますが、インストールしたことを確認しなければなりません。

Top of sectionTop of section

リソース :

US マイクロソフト セキュリティ アドバイザリ (899588)
http://www.microsoft.com/technet/security/advisory/899588.mspx

テクニカル サポートならびに利用可能なサポート オプションに関する詳細については、マイクロソフト サポート オンラインをご覧下さい。

セキュリティ関連、およびセキュリティ更新プログラムに関するご質問や、ご不明な点などありましたら、マイクロソフト セキュリティ情報センターまでご連絡下さい。 利用可能なサポート オプションに関する詳細については、マイクロソフト サポート オンラインをご覧下さい。

その他、製品に関するご質問は、マイクロソフト プロダクト サポートへの連絡方法はこちらをご覧ください。

Microsoft TechNet セキュリティ センターでは、製品に関するセキュリティ情報を提供しています。

免責:

この文書に含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。

更新履歴: 

2005/08/15: このアドバイザリを公開しました。

2005/08/15: マイクロソフトは、「Worm:Win32/Zotob.A」として特定された悪質なワームに関して積極的に分析およびガイダンスの提供を行っていることをお客様にお知らせするためにこのアドバイザリを更新しました。

2005/08/16: Worm:Win32/Zotob.A の追加の変種について説明するためこのアドバイザリを更新しました。また、RestrictAnonymous レジストリ キーの影響についての情報を説明するためこのアドバイザリを更新しました。

2005/08/18: Worm:Win32/Zotob.A の変種についての追加情報および進行中の調査についての追加情報を説明するためこのアドバイザリを更新しました。

2005/08/18: Worm:Win32/Zotob.A の追加の変種について説明するためこのアドバイザリを更新しました。また、これらの攻撃に対処する手助けとなる、Microsoft Windows 悪意のあるソフトウェアの削除ツールの改訂されたバージョンが利用可能なことをお知らせしました。


ページのトップへページのトップへ