米国時間11月6日,米Microsoftは,Windows 2000のWebサーバー・ソフト「Internet Information Services 5.0(IIS 5.0)」のセキュリティ・ホールを公表した。URLとして,ある特定のリクエストを送ると,サーバー上で任意のOSコマンドを実行できてしまう。その結果,Webページの改ざんにとどまらず,ファイルの削除やハード・ディスクのフォーマットなどを許す可能性がある。日本語版に適用可能な修正モジュール(パッチ)が公開されているので,サーバー管理者はすぐに適用する必要がある。なお,Internet Information Server 4.0(IIS 4.0)には,このセキュリティ・ホールはない。

 今回公表されたセキュリティ・ホールは,10月に公表されたものとは異なるが,同じように深刻である。このセキュリティ・ホールを突けば,リモート・ユーザーが,Webサーバー上で任意のOSコマンドを実行できてしまう。

 原因は,あるファイル名を要求された場合に,IIS 5.0が誤って解釈してしまうことにある。ある条件を満たすような実行形式ファイル名と,OSコマンドを同時に要求されると,コマンド部分を実行形式ファイルの引数と誤認し,「CMD.EXE」へそのまま渡してしまう。CMD.EXEとは,Windows NT/2000のコマンド・インタプリタである。そして,CMD.EXEは,サーバー上でそのコマンドを実行してしまう。

 このセキュリティ・ホールを突くには,その実行形式ファイルがサーバー上に存在し,リモート・ユーザーでも実行可能な設定になっている必要がある。そのため,該当するファイルを消去してしまえば攻撃を防げる。しかしながら,悪用されないように,そのファイルについての詳しい情報は公開されていない。その代わり,パッチが公開されているので,管理者はすぐに適用する必要がある。このパッチで,10月に公表されたセキュリティ・ホールもふさぐことができる。

 今回のセキュリティ・ホールでは,管理者権限を奪われることはない。リモート・ユーザーが奪えるのは,Windows 2000の組み込みアカウント「IUSER_マシン名」の権限だけである。「IUSER_マシン名」とは,IISにアクセスしたリモート・ユーザーのために用意しているアカウントである。しかし,任意のOSコマンドを実行できるので,ローカルでログインした一般ユーザーと同程度の操作が可能である。例えば,サーバー上のファイルの削除や変更,ハード・ディスクのフォーマットなどが可能である。さらに,攻撃用のツールをアップロードして,サーバー上で実行することなども可能である。そのため,さらなる攻撃を受けて,管理者権限を奪われる恐れがある。非常に深刻なセキュリティ・ホールであると認識しなければならない。

 今回,Microsoftは,英語版用と同時に,日本語版用や中国語版用,ドイツ語版用のパッチを,同社Webサイトの分かりやすい場所に公開した。今後も,このような形での迅速なパッチ提供が望まれる。

(勝村 幸博=IT Pro編集)

 (追記)米国時間11月10日,米Microsoftは,SP6aを適用していないIIS 4.0も影響を受けることを発表したIIS 4.0を使っている場合には,SP6aが適用されているかどうかを確認する必要がある([関連記事])。

[米Microsoftが公開しているセキュリティ・ホール情報(英語)]

[セキュリティ・ホールの詳細情報(英語)]

[日本語版用のパッチ]

[関連記事]