米Microsoft は米国時間9月11日,同社のWebサーバー・ソフト「Internet Information Server/Services(IIS)」用のセキュリティ・ツール「URLScan Security Tool」を公開した。IIS に送信される URL リクエスト(HTTPリクエスト)をチェックし,不正な文字列が含まれる場合などにフィルタリングする機能を持つ。対象は IIS 4.0/5.0/5.1。ダウンロード・ページには対応言語が明記されていないが,マイクロソフトによると日本語版での動作は保証しないという。日本語版対応については現在計画中,公開時期は未定である。
同ツールは,IIS が処理する前にリクエストを受け取り,あらかじめ設定したルールと照らし合わせて,不正なリクエストかどうかをチェックする。チェック対象は以下の6種類。
(1)HTTPリクエストのメソッドの種類
(2)HTTPヘッダーの種類
(3)要求されたファイルの拡張子
(4)特定の文字あるいは文字列の有無
(5)URLのエンコード方式
(6)非ASCII文字の有無
以上について,“拒否”あるいは“許可”の設定が可能である。例えば,「.ida の拡張子を持つファイルを要求されたら拒否する」,「リクエストに“%”が含まれたら拒否する」,「GET,HEAD,POST メソッドだけを許可する」---といった設定が可能である。許可ルールと一致した場合,あるいは拒否ルールと一致しなかった場合,ツールはリクエストを IIS へ渡す。逆の場合には,ユーザーに対して「404 Object not found」を返し,IIS へは渡さない。併せて,リクエストを拒否した理由とリクエスト元のIPアドレスをログに残す。
ルールは,ツールに含まれる設定ファイル「urlscan.ini」に記述する。既知のセキュリティ・ホールを攻撃するためのリクエストや,通常はありえないリクエストをフィルタリングするためのルールが,デフォルトでいくつか記述されている。管理者はこれらを変更したり,新たなルールを追加できる。ただし,設定によっては正規のリクエストまで拒否する恐れがあるので,経験を積んだ管理者のみがこのツールを使用するよう,Microsoftは勧めている。使いやすいルールのジェネレータが望まれる。
◎参考資料
◆URLScan Security Tool(Microsoft TechNet)
◆URLScan Security Tool(Microsoft Download Center)
