PR

 ついに,マイクロソフトがWindows NT 4.0の次期修正モジュール群である「NT 4.0 Service Pack 7」の提供中止を表明した([関連記事])。何度もこのコラムで示唆してきた通りの展開であり,非常に困った事態である。NT 4.0は多くのWebサイトで使用されており,まだまだ現役のOSであるからだ。Service Pack 7を提供しないのならば,現在未公開の日本語版パッチ(修正モジュール)を一刻も早く公開して,英語版のリリース状況と一致するようにしてもらいたい。

疑わしい,Service Pack 6a以降の日本語パッチ提供

 冒頭の関連記事には,「SP7の提供は中止するものの,1999年12月に出たService Pack 6a以降のセキュリティ関連修正モジュールをまとめて提供するという。英語版は,2001年第3四半期の提供を予定している。日本語版の提供開始時期は未定」という記述があるが,英語版と同じレベルで日本語版が提供されるかどうかは,非常に怪しい状況である。

 なぜならば,これまでマイクロソフトは,英語版パッチが存在するものの日本語版が存在しないパッチについては,Service Packで“一括救済”するというパターンを繰り返してきたからである。つまり,Service Pack 6a以降のセキュリティ関連パッチをまとめて提供するとは言っても,正式なService Packでない以上,現在も日本語版パッチが提供されていない10件あまりのセキュリティ・ホールは放置される可能性が高いのである。

 また,日本語版Windows NT 4.0 Service Pack 6a には,暗号化強度が128 ビットのInternet Explorerをインストールしている環境に適用できないという問題がある。具体的には,「Internet Explorer 高度暗号化パック」,「Internet Explorer 5.01 Service Pack 1 以降」および「Internet Explorer 5.5」をインストールした環境が影響を受ける。この問題も放置される可能性がある。

 Windows NT 4.0では,システム・モジュールを入れ替えるような構成変更を行った場合には,Service Packを再適用することが必須である。しかし,Internet Explorerを128 ビットにアップグレードした環境では,再適用できなくなってしまうのだ。これは日本語版だけの問題である。英語版では「Windows NT 4.0 Service Pack 6a - High Encryption」という名称の128ビット暗号に対応したSevice Packを用意して問題を回避している。「マイクロソフト サポート技術情報」には「高度暗号化の IE があると Service Pack 6a をインストールできない 」として回避方法を紹介しているとはいえ,それで済む問題ではない。

 NT 4.0 Service Pack 7の提供中止はいろいろな事情があって仕方のないことかもしれないが,せめて英語版と同じレベルで日本語版パッチを提供するとともに,128 ビット暗号対応のService Pack 6a をリリースしてほしい。

新規のセキュリティ・ホール情報が2件

 上記以外のWindows関連セキュリティ・トピックス(2001年4月20日時点分)を整理する。「マイクロソフト セキュリティ情報」では,新規のセキュリティ・ホール情報が2件公開された。

 まず, Windows 95/98/98 Second Edition/Me/NT 4.0/2000 が影響を受ける(1)「WebDAV Service Provider によりスクリプトがユーザーとしてリクエストを行う」が公開された。あるスクリプトを含む Web ページやHTML 形式の電子メールを開くと,そのスクリプトによってユーザーが意図しない形で Web ベースのリソースにアクセスさせられる可能性がある。

 これは,Microsoft Data Access Component Internet Publishing Provider の実装ミスが原因である。Microsoft Data Access Component Internet Publishing Provider はインターネット経由の WebDAV リソースへのアクセスを提供するコンポーネントである。ユーザーによるリクエストと,ブラウザ上で実行されているスクリプトのリクエストは区別する仕様になっているが,実装上のミスにより,すべてのリクエストがユーザーのセキュリティ コンテキストで処理されてしまう。

 影響を受けるのは,バージョン番号が「8.102.1403.0」,「8.103.2402.0」,「8.103.2519.0」いずれかの「msdaipp.dll」を持つシステム(msdaipp.dll のバージョン番号は「プロパティ」で表示される)。Internet Explorerの「セキュリティ ゾーン」でアクティブ スクリプトを無効にしておけば影響を受けないが,すべての言語バージョンに使用可能なパッチが公開されているので,念のために適用しておこう。

 ただし,日本語レポートには記載されていないが,英語のレポートにはパッチ適用の前提条件が記載されているので注意が必要だ。それによると,NT 4.0の場合には Service Pack 6a を事前に適用しておく必要がある。

 次に,Microsoft ISA Server 2000 が影響を受ける(2)「Web 公開時に異常なリクエストによって Web Proxy サービスが停止する」が公開された。これは,あるWeb リクエストを送信するとWeb Proxy サービスが停止してしまうというものである。すなわち,ISA Server に対して DoS(Denial of Service)攻撃を行うことが可能になる。ISA Server の Web Proxy サービスが,ある特定の条件を満たした Web リクエストを正しく処理できないことが原因である。

 インターネットからこのセキュリティ・ホールに関して影響を受けるのは,Web 公開の機能を有効にしている場合だけである。デフォルトではこの機能は無効になっているので,影響を受けるケースは少ないであろう。すべての言語バージョンに使用可能な修正パッチが公開されているので,影響を受ける場合には適用しよう。

日本語版パッチが新規に1件

 「マイクロソフト セキュリティ情報」のレポートがアップデートされ,1件の日本語版パッチが公開された。「『不完全な TCP/IP パケット』の脆弱性に対する対策」に関するWindows NT 4.0用日本語版パッチである。Windows 95/98/98 Second Edition/Me用の対処策と英語版Windows NT 4.0用パッチはリリースされていたが,日本語版Windows NT 4.0用パッチは未公開であった。

 Windows NT 4.0,Windows 95/98/98 Second Edition/Meが影響を受ける「『不完全な TCP/IP パケット』のぜい弱性に対する対策」は,過去のコラムで紹介済みである。このセキュリティ・ホールを悪用すると,ターゲットとしたマシンのネットワーク・サービスの提供を一時的に妨げたり,応答を完全に停止させたりすることが可能となる。

 しかし,レポートにも記載されている通り,TCP ポート139 を開いている場合にだけ,このセキュリティ・ホールによる影響を受ける。そのため,サーバー・サービスならびにファイルや印刷の共有を無効としている場合には影響はない。

 通常,TCP ポート139(念のために,ポート番号135/137/138/139/445のTCPおよびUDP両方)は外部から遮断するということがWindowsセキュリティのセオリーなので,外部から影響を受けるケースは少ないであろう。必要性に応じてパッチを適用しよう。なお,Windows 2000は影響を受けない。

「TechNet Online - Security」ではドキュメントが7件公開

 「TechNet Online - Security」では,ドキュメントが7件公開された。まず,セキュリティ対策と計画関連のドキュメントとして,(1)DDoSなどのネットワーク攻撃から Web サイトを保護する手順を具体的に説明した「ネットワーク上の攻撃に対するセキュリティの考察」,(2)Microsoft 製品に関連するモバイル・コードの種類やそれらの危険性,そしてそれらの危険からユーザーを保護するために Microsoft が提供するツールやテクノロジについて説明した「Microsoft テクノロジによるモバイル コードの管理」の2件が公開された。

 次に,Internet Information Service関連のドキュメントとして,(3)クライアント証明書のマッピングやIP アドレスの制限,SSL サーバーのバインドおよびWeb アクセス許可など, IIS 4.0 で誤解されがちなセキュリティ機能や構成の最適化を解説した「Web セキュリティのしくみ : IIS セキュリティの活用」と,(4)Microsoft Certificate Serverのセットアップと構成の方法等を手順ごとに説明した「IIS 4.0 の認証の構成」

 そして,Windows 2000関連のドキュメントとして,(5)Syskey および EFS の暗号化システムを破るツールの危険性を分析し,データの安全性を保証する措置を検討している「Windows 2000 Syskey および暗号化ファイル システムにおいて噂されている脆弱性の分析」,(6)Internet Engineering Task Force (IETF) によって定義された IP セキュリティ プロトコルの概要を解説した「Windows 2000 Server の IP セキュリティ」,(7)米国を含む各国政府が1998 年後半に採用した「情報技術セキュリティ評価に関する共通基準(Common Criteria for Information Technology Security Evaluation:CCITSE)」と呼ばれる新しいセキュリティ評価体系とWindows 2000の評価に関して解説した「新共通基準セキュリティ評価体系(CCITSE)と Windows 2000 に関する評価」の3件が公開された。

 特に,(1)の「ネットワーク上の攻撃に対するセキュリティの考察」は,DDoS攻撃を防ぐために有用なドキュメントであるため,ぜひチェックしておこう。



マイクロソフト セキュリティ情報

 ■(MS01-022)WebDAV Service Provider によりスクリプトがユーザーとしてリクエストを行う(2001年4月19日:日本語解説,および該当するプラットフォームのすべての言語バージョンに使用可能なパッチ公開)

 ■(MS01-021)Web 公開時に異常なリクエストによって Web Proxy サービスが停止する(2001年4月17日:日本語解説,及び全ての言語バージョンに使用可能なパッチ公開)

 ■(MS00-091)「不完全な TCP/IP パケット」の脆弱性に対する対策(2001年4月20日:Windows NT 4.0用の日本語版パッチ公開)

TechNet Online 目的別インデックス(セキュリティ情報)

 ■ネットワーク上の攻撃に対するセキュリティの考察(2001年4月18日:日本語訳公開)

 ■Microsoft テクノロジによるモバイル コードの管理(2001年4月19日:日本語訳公開)

 ■Web セキュリティのしくみ : IIS セキュリティの活用(2001年4月17日:日本語訳公開)

 ■IIS 4.0 の認証の構成(2001年4月17日:日本語訳公開)

 ■Windows 2000 Syskey および暗号化ファイル システムにおいて噂されている脆弱性の分析(2001年4月17日:日本語訳公開)

 ■Windows 2000 Server の IP セキュリティ(2001年4月18日:日本語訳公開)

 ■新共通基準セキュリティ評価体系(CCITSE)と Windows 2000 に関する評価(2001年4月18日:日本語訳公開)


山下 眞一郎(Shinichiro Yamashita)
株式会社 富士通南九州システムエンジニアリング
第二ソリューション事業部システムサービス部 プロジェクト課長
yama@bears.ad.jp


 「今週のSecurity Check [Windows編]」は,IT Proセキュリティ・サイトが提供する週刊コラムです。Windows関連のセキュリティに精通し,「Winセキュリティ虎の穴」を運営する山下眞一郎氏に,Windowsセキュリティのニュースや動向を分かりやすく解説していただきます。(IT Pro編集部)