PR

 2001年2月から始まった,日本のWebサイトへの集中的なアタックに,マイクロソフトも対応に動いた。IIS(Internet Information Server/Services)の防御ドキュメントと,そのFAQの公開である。併せて,無償サポート窓口を用意し,電話での質問を受け付け始めた。積極的に活用して,クラッキングからIISを防御しよう。

「分かりやすいドキュメント」と「電話によるサポート」でユーザーを支援

 大規模なWebサーバーに対するクラッキング発生に伴い,マイクロソフトから,2001年2月27日,IISをアタックから守るためのドキュメントが公開された。「Internet Information Server をご利用いただいているお客様へ Web コンテンツの改ざんに対する防御策についての説明」という表題で,既に公開している「IIS向けのセキュリティ・チェックリスト」から,重要な項目を抜粋して再構成した内容となっている。

 「Webコンテンツの改ざんに対する防御策についての説明」では,IIS 5.0とIIS 4.0との場合に分けて,対策を説明している。さらに「Step 1」から「Step 5」まで,段階別に作業項目を分けている。そのため,非常に分かりやすい。IIS防御に,最低限必要な設定を示したドキュメントとしては,最高の内容といえよう。また,そのFAQである「Web コンテンツの改ざんに対する防御策についての説明 よくある質問とその回答」も充実している。ぜひ参考にして,アタックに備えてほしい。

 なお,前回の「今週のSecurity Check」でも,Windowsサーバーの防御策をまとめている。そちらも併せて参考にしてほしい。

 上記ドキュメントの公開に加えて,無償サポート窓口である「マイクロソフト IIS セキュリティ情報センター」を開設した。電話による質問対応や,技術的な情報の提供が目的である。

 今回のマイクロソフトの対応は,ドキュメントを公開するだけではなく,それをサポートする窓口も並行して設置するという,万全のものだ。ユーザーは積極的に活用しよう。

新規のセキュリティ・ホール情報は2件

 次に,上記以外の,Windows関連のセキュリティ・トピックス(2001年3月2日時点分)を整理する。「マイクロソフト セキュリティ情報」では,新規のセキュリティ・ホール情報が2件公開された。

 まず,IIS 5.0またはExchange 2000が影響を受ける (1)「不正な URL により IIS 5.0 および Exchange 2000 のサービスにエラーが発生する」が公開された。特定のURLが,繰り返しIIS 5.0のWebサイトに送信された場合,メモリ割り当てエラーが発生して,DoS攻撃が成立する可能性がある。特定のURLに対する,IIS 5.0の処理方法に,不具合があることが原因である。英語版パッチは公開されたが,残念ながら,日本語版パッチは公開されていない。

 Exchange 2000にも同様の不具合があり,このセキュリティ・ホールの影響を受ける。しかしながら,Webベースのメール・クライアントが,Exchangeを使用することを妨害される可能性はあるものの,Outlookのような,MAPIベースのメール・クライアントがExchangeを使用できなくなるようなことはない。そのため,IISの場合に比べれば,影響は比較的小さいと考えられる。

 また,IISおよびExchangeいずれの場合でも,このセキュリティ・ホールを突いた攻撃により,攻撃者に管理者権限を盗まれたり,サーバー上のデータを変更されるようなことはない。エラーが発生すると,そのサービスは自動的に再起動する。そのため,影響は小さいと考えられる。

 次に,Windows 2000 Professional/Server/Advanced Server/Datacenter Server が影響を受ける(2)「Windows 2000 イベント ビューアが問題のあるバッファを含む」が公開された。ある特定のデータを含むイベント・レコードを,イベント・ビューアが表示しようとすると異常終了し,さらに,バッファ・オーバーフローにより,攻撃者の選択したコードが実行されてしまう可能性がある。英語版パッチは公開されたが,日本語版パッチは公開されていない。

 これは,Windows 2000 のイベント・ビューア・スナップインの,イベント・レコードの詳細を表示するプログラムが,問題のあるバッファを含んでいることが原因である。そのため,ログ内のイベント一覧を見るだけでは,このセキュリティ・ホールの影響を受けない。ユーザーが,特定のデータを含むレコードを開き,さらに,イベントの詳細を表示する場合のみ,影響を受ける。

 イベントの詳細を表示しない限り,影響を受けないので,攻撃を受ける可能性は小さいように思える。しかしながら,攻撃者が選択したコードを実行される可能性があるので,危険度は高い。「マイクロソフト セキュリティ情報」ではアナウンスされていないものの,「Microsoft ダウンロード センター」ではパッチが公開されているので,ぜひ適用しておこう。

新規の日本語版パッチが1件と,アナウンス前のパッチが1件

 「マイクロソフト セキュリティ情報」のレポートがアップデートされ,日本語版パッチが新たに1件公開された。「『NTLMSSP のアクセス権の昇格』のぜい弱性に対する対策」に関する,Windows NT 4.0用日本語版パッチである。

 既に過去のコラムで紹介しているように,このセキュリティ・ホールは,NTLMSSP(NTLM Security Support Provider)サービスの不具合が原因である。ローカルでログオンしているユーザーに,管理者レベルのアクセス権を取得される可能性がある。

 ただし,このセキュリティ・ホールを悪用するには,ターゲット・マシンに対話的ログオンをする必要がある。また,高い権限を持たないユーザーには,重要なサーバーへは対話的にログオンさせないことがセキュリティ上のセオリーであるため,実質的な影響は小さいだろう。そのため,パッチの適用は必須(ひっす)ではない。それぞれの利用環境により,パッチ適用を判断しよう。

 「Microsoft ダウンロード センター」では,「マイクロソフト セキュリティ情報」でまだアナウンスされていない,セキュリティ関連のパッチ情報が1件公開されている。今回お知らせした「Windows 2000 イベント ビューアが問題のあるバッファを含む」に関するWindows 2000用の日本語版パッチである。繰り返しになるが,ぜひ適用しておこう。



 ■Internet Information Server をご利用いただいているお客様へ Web コンテンツの改ざんに対する防御策についての説明(マイクロソフト:2001年3月1日)

 ■Web コンテンツの改ざんに対する防御策についての説明 よくある質問とその回答(マイクロソフト:2001年3月1日)

 ■Internet Information Services 5 セキュリティのチェックリスト(マイクロソフト)

 ■Internet Information Server 4.0 セキュリティ チェックリスト(マイクロソフト)


マイクロソフト セキュリティ情報

 ■(MS01-014) 不正な URL により IIS 5.0 および Exchange 2000 のサービスにエラーが発生する(2001年3月2日:日本語解説公開)

 ■(MS01-013) Windows 2000 イベント ビューアが問題のあるバッファを含む(2001年2月27日:日本語解説公開)

 ■(MS01-008) 「NTLMSSP のアクセス権の昇格」のぜい弱性に対する対策(2001年2月27日:Windows NT 4.0用日本語パッチ公開)


Microsoft ダウンロード センター

 ■(MS01-013) Windows 2000 イベント ビューアが問題のあるバッファを含む
 □Windows 2000用の日本語版パッチ(2001年2月27日)


山下 眞一郎(Shinichiro Yamashita)
株式会社 富士通南九州システムエンジニアリング
第二ソリューション事業部システムサービス部 プロジェクト課長
yama@bears.ad.jp


 「今週のSecurity Check [Windows編]」は,IT Proセキュリティ・サイトが提供する週刊コラムです。Windows関連のセキュリティに精通し,「Winセキュリティ虎の穴」を運営する山下眞一郎氏に,Windowsセキュリティのニュースや動向を分かりやすく解説していただきます。(IT Pro編集部)