セキュリティ : Cisco IPS 4200 シリーズ センサー

Cisco Secure IDS の Nimda ウィルスへの対策方法

2002 年 10 月 29 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2006 年 1 月 19 日) | フィードバック

目次


概要

この文書では、Cisco Secure Intrusion Detection System(IDS)による Nimda ワーム(コンセプト ウィルスとしても有名)の識別と、Web サーバを攻撃から守る方法について説明します。ワームの動作に関する問題は、すでに他のサイトでも詳細に解説されているので、 この文書では取り扱っていません。Nimda ワームに関する最も技術的な説明の 1 つは、「CERT(R) Coordination Center's Nimda Advisorycisco.com 以外のサイトへ移動にあります。 

背景説明

Nimda ワームはハイブリッドな性質を持つワームあるいはウィルスで、インターネット上で猛威を振るっています。Nimda および Nimda の拡大を防ぐための Cisco IDS の機能について理解するには、次の 2 つの用語の定義が重要になります。

  • ワームとは、人間による操作なしに自動的に拡散する悪質なコードを意味します。
  • ウィルスとは、あるタイプの人間による操作を経て拡散する悪質なコードを意味します。この人間による操作には、電子メールを開く、感染している Web サイトを見る、または感染したファイルを手動で実行するなどがあります。

Nimda ワームは、実際にはワームとウィルスの両方の性質を持つハイブリッド型です。Nimda は複数の方法で感染しますが、多くの場合、それは人間による操作を必要とします。Cisco IDS Host Sensor では、Microsoft の Internet Information Server(IIS)の脆弱性を利用して拡散するワームのような感染方法を阻止します。しかし、Cisco IDS では、電子メールの添付ファイルを開く、感染した Web サイトを見る、感染したファイルを実行するなどの、手動によるウィルスのような感染方法は阻止できません。

Cisco IDS Host Sensor による Nimda の防御

Cisco IDS Host Sensor は、Nimda ワームにも使用されるディレクトリ トラバーサル攻撃を阻止します。Cisco IDS によって防御されている Web サーバをワームが攻撃すると、その攻撃は失敗し、サーバは被害を受けずに済みます。

Nimda ワームの感染は、次に示す Cisco IDS Host Sensor のルールによって防御で きます。

  • IIS ディレクトリ トラバーサル(4 ルール)
  • IIS ディレクトリ トラバーサルとコードの実行(4 ルール)
  • IIS Double Hex 符号化ディレクトリ トラバーサル(4 ルール)

Cisco IDS Host Sensor では Web コンテンツに対する非承認の変更も防ぐため、ワームが他のサーバへ拡散するために Web ページを書き換えるという被害も防ぐことができます。

Cisco IDS は、標準的なセキュリティの最も良い実施例に基づいて、Web サーバを Nimda から防御しています。これらの最も良い実施例には、実稼動用の Web サーバからは電子メールを開かない、Web ページを見ない、さらに、サーバ上でネットワーク共有をオープンにしないなどが含まれます。Cisco IDS Host Sensor は、HTTP や IIS の不正利用による攻撃から Web サーバを守ります。前述の最も良い実施例を使用することにより、Nimda ワームはある種の手動の操作によって Web サーバへ到達することができなくなります。

Cisco IDS Network Sensor による Nimda の識別

Cisco IDS Network Sensor は、Nimda ワームにも使用される Web アプリケーション攻撃を識別します。Network Sensor はワームの攻撃を識別し、感染、もしくは攻撃されたホストの詳細情報を使用して、Nimda の感染を切り離します。

次に示す Cisco IDS Network Sensor のアラームが発生します。

  • WWW WinNT cmd.exe Access(SigID 5081)
  • IIS CGI Double Decode(SigID 5124)
  • WWW IIS Unicode Attack(SigID 5114)
  • IIS Dot Dot Execute Attack(SigID 3215)
  • IIS Dot Dot Crash Attack(SigID 3216)

オペレータは、Nimda を名前で識別するアラームを確認するのではなく、Nimda が目標を攻撃するために別の不正方法を試行した場合に発生する、前述の一連のアラームを確認します。これらのアラームにより、攻撃を受けたためにネットワークから切り離され、ワームを除去され、パッチを必要とするホストの発信元アドレスが識別されます。

推奨措置

  1. Microsoftcisco.com 以外のサイトへ移動 から入手できる最新の Microsoft Outlook、Outlook Express、Internet Explorer、および IIS のアップデートを使用します。 
  2. 使用しているウィルス スキャン ソフトウェアを最新パッチでアップデートし、ウィルスの拡散を防ぎます。最新のウィルス パッチのダウンロードによって、PC への感染が防げるということに注目してください。使用している PC がすでに感染している場合、そのウィルス パッチによって PC のハードドライブを手動でスキャンし、PC からウィルスを除外することができます。
  3. Cisco IDS を導入して、脅威を軽減し、感染を抑え、サーバを保護してください。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 13871