PR

 先週末,米Microsoftの社内ネットワークへの不正侵入が明らかとなり,大変な騒ぎとなった。今回のコラムでは,まずこの事件について解説する。必要最低限の不正アクセス対策を怠ると,いかに危険なのかが分かるだろう。また,新規に公表されたセキュリティ・ホール情報は2件。いずれも影響は比較的小さい。

最低限の対策で防げたはずの不正侵入

 米Microsoftの社内ネットワークに不正な侵入があったとされる問題について,10月27日(現地時間),同社のWebサイト上にて報告された。ただし,情報は極めて少なく,以下の3点が記載されているに過ぎない。(1)「社内の内部ネットワークの一部に対して侵入行為があった」,(2)「我々の調査によると,Windows MeやWindows 2000,Officeといった主力製品のソース・コードに,侵入者がアクセスした形跡はなかった」,(3)「開発中の,次期製品関連のいくつかのソース・コードを,侵入者は明らかに閲覧できたが,調査の結果,あらゆるソース・コードには,改ざんがないことを確認した」。

 また,同日,米Computer Associates InternationalのWebサイトでは,侵入者は「Qaz.Trojan Worm」と呼ばれるハッキング・ツールを使って侵入した,との情報が公開された。「Qaz.Trojan Worm」とは,2000年7月ごろに発見された,ネットワーク・ワームの特性を持つサーバー/クライアント型のハッキング・ツールである。侵入者は,電子メールなどで,ターゲットのマシンへこのツールを送り込む。そして,このツールがマシン上で起動されると,侵入者は遠隔地からポート番号7597経由で,そのマシンをリモート操作できてしまう。

 もし,今回の侵入が「Qaz.Trojan Worm」によるものならば,(1)アンチウイルス・ソフトのパターン・ファイルを,2000年7月以降アップデートしていない,(2)社外ネットワークのファイアウオールのポート番号7597を開いている,という条件が最低でも重ならないと成立しないはずだ。

 つまり,最低限守るべきポイントである,(1)「アンチウイルス・ソフトのパターン・ファイルは,たえず最新のものを使用する」,(2)「ファイアウオールでは,最低限必要なポート以外はすべて閉じる」を守っていなかったということだ。必要最低限のセキュリティ確保を怠ると,それがいかに危険なのかを教えてくれた事件である。ぜひ教訓にしたいものだ。

新規のセキュリティ・ホール情報は2件,
Microsoft VMのセキュリティ・ホールが再び発覚

 新規のセキュリティ・ホール情報は2件。先週は,コラムでも紹介したように,IISとMicrosoft VMの最悪のセキュリティ・ホールが相次いで報告された。それらに比べれば影響は小さく,やや一段落といった感じだ。以下に10月27日時点の情報を,入手先ごとに整理した。 順に見ていこう。

 まず,「マイクロソフト セキュリティ情報」にて,Microsoft VMの3xxxシリーズと2xxxシリーズのビルド(Microsoft VMのバージョン番号)が影響を受ける(1)「VM のファイルの読み取り」のぜい弱性に対する対策が公開された。影響を受けるInternet Explorer 4.x/5.xで,ある仕掛けを施したWebページを閲覧すると,そのWebサイトの運営者に,パソコン内のファイルを読み取られる恐れがある。

 また,イントラネット内のパソコンから,悪意のあるWeb サイトにアクセスした場合,通常は外部から参照できないイントラネット内のWebコンテンツを,外部から閲覧できるようなJavaアプレットを送り込まれる可能性があるようだ。

 先週報告した(MS00-075)「Microsoft VM による ActiveX コンポーネントの制御」 のぜい弱性も同じくMicrosoft VMに関するセキュリティ・ホールであるが,今回のものとは異なる。そのため,「Microsoft VM による ActiveX コンポーネントの制御」 のセキュリティ・ホール は「ビルド 3318」で修正されたが,今回の「VM のファイルの読み取り」のセキュリティ・ホールは最新の「ビルド 3319」で修正されている。

 英語版用のパッチはリリースされたが,日本語版はまだである。英語版用のパッチの一部は,日本語版にも適用できる可能性が高いが,日本法人からは正式アナウンスされていないので,自己責任で適用する必要がある。なお,Windows 2000用のパッチについては,明らかに日本語版Windows 2000には適用できないので注意が必要だ。残念ながら,今回のセキュリティ・ホールでは,パッチの適用以外の回避方法はない。十分な回避方法ではないが,怪しいWebサイトには近づかないという,セキュリティの基本を守ろう。

 また,Windows 2000に含まれるIIS 5.0とWindows NT 4.0用の最新版であるIIS 4.0が影響を受ける(2)「セッションIDクッキーのマーキング」のぜい弱性に対する対策が公開された。このぜい弱性を悪用すれば,特定の制限された状況下で,悪意のあるユーザーにセキュリティで保護されたWebセッション(SSLセッション)を “ハイジャック”される可能性がある。

 この問題については,日本語版IIS 4.0のパッチ(AT互換機用のみ)はリリースされたが,日本語版IIS 5.0用はまだである。ただし,このセキュリティ・ホールを悪用するには,非常に厳しい条件を満たす必要があるので,危険度は低いと考えてよいだろう。

日本語版レポート4件と日本語対応パッチ1件が公開

 「Microsoft Security Bulletin」のレポートが次々と日本語化され公開された。(1)「NetMeeting リモート デスクトップ共有」のぜい弱性,(2)「WebTV for Windows のサービス拒否」 のぜい弱性,(3)「不正な IPX NMPI パケット」 のぜい弱性,(4)「共有レベルのアクセス制限パスワード」のぜい弱性,以上4件に対する対策だ。残念ながら,日本語版パッチは公開されていない。影響度や回避方法は,過去の「今週のSecurity Check [Windows編]」でお知らせしている通りだ。なお,「共有レベルのアクセス制限パスワード」問題は危険度が大きいので,内容をもう一度チェックしておこう([関連コラム]へ)。

 また,「Windows 2000 Telnet クライアントの NTLM 認証」のぜい弱性に対する対策が,日本語版パッチ情報を追加して再公開された。先週のコラムで報告したように,ダウンロード用ページ中の,本来はMS00-067へのリンクになっているべき部分が,相変わらずMS00-050へのリンクとなったままだ。注意が必要である。

 ■米Microsoftが公開した,不正侵入事件に関する情報(October 27, 2000)

 ■米Computer Associates Internationalが公開した,不正侵入事件に関する情報(October 27, 2000)

マイクロソフト セキュリティ情報

 ■(MS00-081)「VM のファイルの読み取り」のぜい弱性に対する対策(日本語解説公開:2000年10月27日)

 ■(MS00-080)「セッション ID クッキーのマーキング」のぜい弱性に対する対策(日本語版パッチ一部公開:2000年10月26日)

 ■(MS00-077)「NetMeeting リモート デスクトップ共有」のぜい弱性に対する対策(日本語解説公開:2000年10月23日)

 ■(MS00-074) 「WebTV for Windows のサービス拒否」のぜい弱性に対する対策(日本語解説公開:2000年10月25日)

 ■(MS00-073)「不正な IPX NMPI パケット」のぜい弱性に対する対策(日本語解説公開:2000年10月25日)

 ■(MS00-072)「共有レベルのアクセス制限パスワード」のぜい弱性に対する対策(日本語解説公開:2000年10月26日)

 ■(MS00-067)「Windows 2000 Telnet クライアントの NTLM 認証」のぜい弱性に対する対策(日本語版パッチ正式公開:2000年10月23日)


山下 眞一郎(Shinichiro Yamashita)
株式会社 富士通南九州システムエンジニアリング
第二ソリューション事業部システムサービス部 プロジェクト課長
yama@bears.ad.jp


 「今週のSecurity Check [Windows編]」は,IT Proセキュリティ・サイトが提供する週刊コラムです。Windows関連のセキュリティに精通し,「Winセキュリティ虎の穴」を運営する山下眞一郎氏に,Windowsセキュリティのニュースや動向を分かりやすく解説していただきます。(IT Pro編集部)