ADサーバ利用企業は要注意！ 深刻度の高い脆弱性Zerologonとは

　Zerologon（CVE-2020-1472）は、マイクロソフトが提供する「Netlogon Remote Protocol」 （MS-NRPC）というプロトコルに発見された脆弱性の呼び名だ。

　MS-NRPCはリモートでプロセスを呼び出したり通信したりする機能を持つ。ADサーバは認証機能のため、ドメインコントローラー（DC）とセキュアなチャネルを確立するためにMS-NRPCを利用している。

　認証手順において、サーバからの確認要求に対してクライアントが特定の値を返すのだが（チャレンジ・レスポンスという）、このときオールゼロの値を返すと、元のチャレンジの値によってはログインが成功してしまう値の組み合わせが存在する。この脆弱性がZerologonだ。もちろん、ゼロ応答をすれば必ずログインできるという単純なものではないが、この方法で侵入が可能であることの確認はされている。

　Zerologonを利用した攻撃で想定される被害は、ADサーバのドメインコントローラーの管理者権限奪取と任意コードの実行といったものだ。管理者権限が奪われるということは、イントラネット内のリソースアクセスをすべて掌握される可能性がある。そのため、脆弱性の影響度を表す指数（CVSS）は「9」という高いレベルになっている。

　CVSSは、その脆弱性を突かれて被害が発生したときのインパクトを示すが、9.0～10は深刻度最大の「緊急」という扱いだ。深刻度が高いからといって、すべての企業が同じレベルで危険ということではないが、ADサーバを利用している企業は優先度を上げて取り組むべき脆弱性であると言える。

プロトコルにかかわる脆弱性のためパッチは2段階

　2017年のJIPDECの調査によれば、従業員50人以上の国内企業におけるADサーバ導入率はおよそ4割となっている。従業員数が100名以上となると、おそらくADサーバ（かLDAPなどその他の認証サーバ）なしでは業務は成立しないだろう。Zerologonは、それだけ多くの企業が導入している認証システムにかかわる脆弱性なのだ。


　しかし、専門家が懸念するのはこれだけではない。プロトコルにかかわる脆弱性のため、根本的な対策が非常に困難なものという点もある。緊急パッチはリリースされているものの、脆弱性そのものをなくすことは困難だ。9月に公開されたパッチは、2段階で提供されるもののうち最初のパッチであり、当面の場当たり的な対策として出されたものだ。

　より確実な対策は第2弾のパッチを待たなければならない。第2弾となるパッチは、RPC（リモートプロセス）にかかわるライブラリやデバイスドライバにセキュアな手続きを強制するようにするための手が加えられるが、この作業は簡単ではない。2020年10月の時点で第2弾はリリースされておらず、2021年2月になるといわれている。

　懸念はまだある。この脆弱性の原理はシンプルであり、すでにPoC（Proof of Concept：攻撃コードの実装サンプル）が公開されているのだ。

【次ページ】脆弱性攻撃ツールをまとめた「エクスプロイトキット」にも実装された