PR

 マイクロソフトは10月26日,Windows OSやInternet Explorer(IE),Internet Information Server/Services(IIS)のパッチ適用状況をチェックするツール「HFNetChk(Microsoft Network Security Hotfix Checker)」の日本語版を公開した。英語版は米Microsoftから8月15日に公開されており,日本語化が切望されていたツールの一つである。使用上の注意点がいくつかあるものの,うまく使えばセキュリティを高める手助けとなる。ぜひ活用したい。

他のツールに先行して公開された「HFNetChk」日本語版

 マイクロソフトは,Windows製品のセキュリティを高めるツールである「HFNetChk」,「IIS Lockdown Tool」,「URL Scan」の日本語版やドキュメントなどを収録した「Microsoft Security Tool Kit」日本語版を,10月22日から同社のWebサイトで公開することを表明していた([関連記事])。実際には,ドキュメント類は期日どおりに公開されたが,ツールに関しては遅れていた。今回,まず「HFNetChk」日本語版が他のツールに先行して公開された。

 HFNetChk とは,修正パッチの適用状況をチェックするツールであり,チェック対象は,Windows NT 4.0/2000/XP および IIS 4.0/5.0,SQL Server 7.0/2000,IE 5.01とそれ以降である。

 HFNetChkは,コマンド・プロンプトから実行する,単独のプログラムであり,ローカル・マシンだけではなく,マシン名やIPアドレスを指定すればネットワーク上の別のマシンもチェック可能である。ツールと同時に公開されたドキュメント「Readme.txt」に使用方法が記述されているが,詳細なオペランド(オプション・スイッチなどの使用方法や文法)については,英語のドキュメント「Microsoft Network Security Hotfix Checker (Hfnetchk.exe) Tool Is Available」を参照しよう。

 このツールの英語版は,「Code Red II」ワームが多大な影響を与えたことを受けて,米Shavlik Technologies社の支援のもとに,米Microsoftが8月15日に公開した。しかし,そのまま日本語版システムへ適用することはできなかった。動作はするが,チェックの結果が正確ではなかった。というのも,チェックには言語ごとに作成されたXML形式のデータベース・ファイルが必要であるからだ。

 逆にいえば,HFNetChk の“エンジン”は英語版でも,XMLデータベースさえ日本語版システムに対応していれば使用可能なのである。そして今回公開されたのは,XMLデータベースの日本語版である。HFNetChk自体は英語版を使用する。そのため,出力結果などはすべて英語である。

チェック中はセキュリティ上は望ましくない状態に

 基本的な機能や動作は英語版と同じだが,いくつか異なる点もあるので注意したい。そもそもHFNetChkは,(1)レジストリ・キー,および(2)DLLなどのファイルのバージョンとチェックサム---をチェックして,パッチが適用されているかどうかを判断する。ところが,英語版以外のシステムをチェックする場合には,チェックサムを検証できない。これは,英語版以外のXML データベースにはチェックサムの情報が含まれていないためである。そのため,HFNetChkを英語版以外で使用する場合には,チェックサムを検証しないように「-nosum」というオプションを指定する必要がある。

 チェックサムを検証しない理由については,ドキュメントなどには記されていない。可能ならば,英語版以外でもチェックサムの情報をXML データベースに盛り込んでもらいたいものだ。

 また,英語版では,HFNetChkを実行するとインターネット経由で最新のXMLデータベースを自動でダウンロードするが,他言語のシステムをチェックする場合には,その言語用の最新 XML データベースを事前にダウンロードしておく必要がある。

 そして,これは英語版にも同じことが言えるが,チェック対象のシステム上では,Windows 2000 や Windows XP の「リモート レジストリ サービス」を稼働させる必要がある。加えて,ローカル・マシンをチェックする(すなわち,チェック対象マシン上でHFNetChkを実行する)際には,「Server サービス」も稼働させなくてはならない。これは,セキュリティ上は大きなリスクになるので注意したい。

 パッチの適用状況をきちんとチェックして,セキュリティを高めたいようなインターネット・システムにおいては,Server サービスは“危険”であり,通常は稼働させることなど考えられない。しかしながら,ローカルでチェックする場合には,同サービスの稼働は不可欠である。セキュリティを高めるつもりが,不要かつ“危険”なサービスを稼働させることで,逆にシステムを危険な状態にしてしまわないように,十分注意する必要がある。

 具体的には,チェックの際には NetBIOS関連のポート番号(137/138/139/445のTCPおよびUDP)を,エッジ・ルーターできちんとパケット・フィルタリングしていることを確認し,その環境下で一時的に「リモート レジストリ サービス」と「Server サービス」を稼働させて,ローカル・マシンをチェックすることになる。

 一方,ネットワーク経由でリモートからチェックする場合には,チェック対象のマシン上でServer サービスを稼働する必要はない。その代わり,対象マシンに自分のアカウントを登録し,システム管理者権限を与えておく必要がある。LAN内でのチェックを考えると,ローカルでのチェックよりも,リモートからのチェックのほうが現実的であろう。管理者は,自分のマシンからLAN内の複数のマシンをチェックできるので便利だ。

 しかしこの場合には,実際の運用には不要な管理者アカウントを,複数のマシンに登録するという危険な側面があることを忘れてはならない。チェックが終了次第,不要なアカウントは削除することが望ましい。

 もう1点注意しておきたいのが,過去に適用しているはずのパッチが,「Patch NOT Found(未適用であるという意味)」と表示される場合があるということだ。

 修正パッチは,アナウンスなしに再リリースされることがある。HFNetChkは最新の(すなわち,再リリース後の)パッチが適用されているかどうかをチェックするので,パッチを適用した覚えがあっても,それが再リリース前のパッチである場合には,上述のように未適用と判断する。

 適用した覚えがあるのに「未適用」と判断された場合には,現在適用されているパッチの署名を調べ,それがマイクロソフトの Web サイトに置かれている最新のパッチと同じかどうかを確認する必要がある。

『Windows 2000』は新規のセキュリティ・ホール情報が1件

 次に,Windows関連のセキュリティ・トピックス(2001年10月26日時点分)を,各プロダクトごとに整理して解説する。

 『Windows 2000』関連では,「マイクロソフト セキュリティ情報一覧」にて,新規のパッチが1件公開された。

(1)無効な RDP データが Terminal Service を異常終了させる

 セキュリティ・ホールについては,先週のコラムで紹介済みである。Windows 2000 Server/Advanced Server/Datacenter Serverを使用してターミナル・サーバーを運用した場合,Remote Data Protocol (RDP) の機能に問題が発生する。そのため,ある特定の連続したデータ・パケットを送信されると,サービスが異常終了する可能性があるというものであった。

 今回,Windows 2000 用の日本語版パッチが10月23日に公開された。当然ながらこのパッチは,最初の英語版パッチで発生した問題を修正したものである(問題の詳細については,先週のコラムを参照してほしい)。

 ただし,ターミナル・サーバーをインターネット上で運用することは通常ないため,外部からの脅威は少ないはずである。必要に応じてパッチを適用すればよいだろう。

 なお,Windows NT Server 4.0, Terminal Server Edition用の日本語版パッチは依然未公開である。

「サポート技術情報」ではドキュメント公開が1件

 「サポート技術情報」では,注目すべきドキュメントが1件公開された。

 「[IIS]Windows 2000 Server/Professional での IIS 5.0 の相違点」というタイトルで,Windows 2000 Server と Windows 2000 Professional における IIS 5.0 の違いについて説明したドキュメントである。

 Windows 2000 Server と Windows 2000 Professional の IIS 5.0 は,コア・コンポーネントは基本的に共通ではあるが,Windows 2000 Professional の IIS 5.0 は,イントラネット内の運用を想定した簡易版のサーバーという位置付けであるのため,いくつか機能制限が存在する。その機能制限の概要を説明したドキュメントである。必要に応じてチェックすればよいだろう。

 Windows 2000 Professional で Webサーバー機能を組み込んだ場合には,実際には IIS 5.0 が動作するにもかかわらず,Windows NT Workstation 4.0 と同様に Personal Web Server (PWS) が動作すると考え,Code Red 関連ワームやNimdaワームに感染したユーザーが多かったようだ。そのような“誤解”を解くためにも役立つドキュメントであろう。



HFNetChk (マイクロソフト:2001/10/26)

HFNetChkのReadme.txt (マイクロソフト:2001/10/26)

マイクロソフト セキュリティ情報一覧

『Windows 2000』

◆(MS01-052)無効な RDP データが Terminal Service を異常終了させる
 (2001年10月23日:Windows 2000 用の修正済みの日本語版パッチを公開,最大危険度 : 中)

サポート技術情報

◆[IIS]Windows 2000 Server/Professional での IIS 5.0 の相違点 (2001年10月24日最終更新)


山下 眞一郎(Shinichiro Yamashita)
株式会社 富士通南九州システムエンジニアリング
第二ソリューション事業部システムサービス部 プロジェクト課長
yama@bears.ad.jp


 「今週のSecurity Check [Windows編]」は,IT Proセキュリティ・サイトが提供する週刊コラムです。Windows関連のセキュリティに精通し,「Winセキュリティ虎の穴」を運営する山下眞一郎氏に,Windowsセキュリティのニュースや動向を分かりやすく解説していただきます。(IT Pro編集部)