10月20日,マイクロソフトは自社のWebサーバー製品である「Internet Information Server 4.0/5.0(以下IIS)」のセキュリティ・ホールを公表した。URLとして,ある特定の文字列を入力されると,ファイルの削除や変更をはじめとする,あらゆる操作をサーバー上で許す可能性がある。対策は修正モジュール(パッチ)の適用。別のセキュリティ・ホールを修正するために公開されているモジュールを適用すれば,今回のセキュリティ・ホールもふさげる。公開されているのは,米Microsoftの英語サイトにおいてであるが,日本語版に適用可能な修正モジュールも用意されている。Webサーバー管理者はすぐに適用する必要がある。
今回のセキュリティ・ホールは,リモート・ユーザーがWebサーバー上で任意のコマンドを実行できてしまうというもの。Webブラウザなどから,URLとして,ある特定の文字列を入力すると,サーバーにログインしたローカル・ユーザーと同じように,コマンドの実行やファイル操作が可能になる。公開用フォルダ(例えば「InetPub」)内に限らず,公開用フォルダと同じドライブ上に存在するすべてのファイルにアクセスできる。
このとき,リモート・ユーザーは,Windows NT/2000の組み込みアカウントである「IUSER_マシン名」の権限で,コマンドを実行したり,ファイルにアクセスできる。「IUSER_マシン名」は,IISにアクセスしたユーザーが,Webページを閲覧するために必要なアカウントである。通常,「IUSER_マシン名」は「Everyoneグループ」や「Userグループ」のメンバーに設定されているので,ほとんどのファイルやフォルダにアクセス可能である。
Web用フォルダとシステム・フォルダを別のドライブに設定している場合や,「IUSER_マシン名」アカウントの権限を制限している場合には,被害はある程度抑えられる。また,奪われるのは「IUSER_マシン名」アカウントの権限だけで,Administrator(管理者)権限は奪われない。しかし,今回のセキュリティ・ホールを軽視してはいけない。Webページの改ざんなどにとどまらず,奪った「IUSER_マシン名」アカウント権限を利用して,Administrator権限を奪うなどのさらなる攻撃が十分考えられるからである。
以前発見されたセキュリティ・ホール用の修正モジュールを適用すれば,今回のセキュリティ・ホールもふさげる。その修正モジュールをすでに適用している場合には,何もする必要はない。しかし,以前のセキュリティ・ホールは,特定のファイル(CGIやASPファイル)の閲覧と実行を可能にするもので,危険度は比較的小さかった。また,米MicrosoftのWebサイトでは8月15日から公開されていたものの,日本語サイトでは「この問題を解決するための日本語版個別モジュールは,現在準備中です」と最近まで表示されていたので,日本では適用している管理者はそれほど多くないと考えられる。
攻撃が比較的容易で,被害は深刻である。さらに,このセキュリティ・ホールを突くツールが出回っているという。管理者は今すぐに修正モジュールを適用する必要がある。
修正モジュールが公開されているのは米MicrosoftのWebサイトで,ページはすべて英語で書かれている。しかし,日本語版に適用な可能なモジュールも用意されている。ダウンロード画面を進んでいくと,途中で「言語」を選ぶ画面が現れるので,そこで「Japanese Language Version」を選択すればよい。
(勝村 幸博=IT Pro編集)
[Microsoft Internet Information Server 4.0用修正モジュールのダウンロード・ページ]
[Microsoft Internet Information Server 5.0用修正モジュールのダウンロード・ページ]
[米Microsoftが公開しているセキュリティ・ホール情報]
![Word 最速時短術 [増補新版]](https://info.nikkeibp.co.jp/atclnxt/books/25/03/07/00396/B_9784296207329.jpg)
