開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

  • 会員限定
  • 2020/10/26

「Zerologon」とは何か? 深刻度の高い脆弱性、ADサーバを利用しているなら緊急対策を

NTTドコモやゆうちょの不正出金騒ぎに埋もれた形になっているが、多くの企業に関係する脆弱性「Zerologon」が密かに問題となっている。マイクロソフトのActive Directoryサーバ(ADサーバ)のNetlogonプロトコルに関する脆弱性だが、管理者権限を奪われるという。応急のパッチを当てる以外、緩和策・対策がない。PoCも公開されているため、すでに攻撃が発生している可能性もある。

フリーランスライター 中尾真二

フリーランスライター 中尾真二

フリーランスライター、エディター。アスキーの書籍編集から、オライリー・ジャパンを経て、翻訳や執筆、取材などを紙、Webを問わずこなす。IT系が多いが、たまに自動車関連の媒体で執筆することもある。インターネット(とは言わなかったが)はUUCPのころから使っている。

photo
Zerologonの危険性を侮るなかれ
(Photo/Getty Images)

ADサーバ利用企業は要注意! 深刻度の高い脆弱性Zerologonとは

 Zerologon(CVE-2020-1472)は、マイクロソフトが提供する「Netlogon Remote Protocol」 (MS-NRPC)というプロトコルに発見された脆弱性の呼び名だ。

 MS-NRPCはリモートでプロセスを呼び出したり通信したりする機能を持つ。ADサーバは認証機能のため、ドメインコントローラー(DC)とセキュアなチャネルを確立するためにMS-NRPCを利用している。

 認証手順において、サーバからの確認要求に対してクライアントが特定の値を返すのだが(チャレンジ・レスポンスという)、このときオールゼロの値を返すと、元のチャレンジの値によってはログインが成功してしまう値の組み合わせが存在する。この脆弱性がZerologonだ。もちろん、ゼロ応答をすれば必ずログインできるという単純なものではないが、この方法で侵入が可能であることの確認はされている。

 Zerologonを利用した攻撃で想定される被害は、ADサーバのドメインコントローラーの管理者権限奪取と任意コードの実行といったものだ。管理者権限が奪われるということは、イントラネット内のリソースアクセスをすべて掌握される可能性がある。そのため、脆弱性の影響度を表す指数(CVSS)は「9」という高いレベルになっている。

 CVSSは、その脆弱性を突かれて被害が発生したときのインパクトを示すが、9.0~10は深刻度最大の「緊急」という扱いだ。深刻度が高いからといって、すべての企業が同じレベルで危険ということではないが、ADサーバを利用している企業は優先度を上げて取り組むべき脆弱性であると言える。


プロトコルにかかわる脆弱性のためパッチは2段階

 2017年のJIPDECの調査によれば、従業員50人以上の国内企業におけるADサーバ導入率はおよそ4割となっている。従業員数が100名以上となると、おそらくADサーバ(かLDAPなどその他の認証サーバ)なしでは業務は成立しないだろう。Zerologonは、それだけ多くの企業が導入している認証システムにかかわる脆弱性なのだ。

画像
ADサーバを利用している組織はパッチと点検を
(Photo/Getty Images)

 しかし、専門家が懸念するのはこれだけではない。プロトコルにかかわる脆弱性のため、根本的な対策が非常に困難なものという点もある。緊急パッチはリリースされているものの、脆弱性そのものをなくすことは困難だ。9月に公開されたパッチは、2段階で提供されるもののうち最初のパッチであり、当面の場当たり的な対策として出されたものだ。

 より確実な対策は第2弾のパッチを待たなければならない。第2弾となるパッチは、RPC(リモートプロセス)にかかわるライブラリやデバイスドライバにセキュアな手続きを強制するようにするための手が加えられるが、この作業は簡単ではない。2020年10月の時点で第2弾はリリースされておらず、2021年2月になるといわれている。

 懸念はまだある。この脆弱性の原理はシンプルであり、すでにPoC(Proof of Concept:攻撃コードの実装サンプル)が公開されているのだ。

【次ページ】脆弱性攻撃ツールをまとめた「エクスプロイトキット」にも実装された

情報漏えい対策 ジャンルのセミナー

情報漏えい対策 ジャンルのトピックス

情報漏えい対策 ジャンルのIT導入支援情報

PR

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!