マイクロソフトは3月18日,Windows 2000に深刻なセキュリティ・ホールが見つかったことを明らかにした。Internet Information Services(IIS)5.0を稼働しているWindows 2000マシンでは,リモートからサーバー上で任意のプログラムを実行される恐れがある。対策はパッチの適用やIISあるいはWebDAVサービスの停止など。深刻度は「緊急」。IISサーバーの管理者は今すぐ対策を施す必要がある。

【4月24日追記】マイクロソフトは4月24日,Windows NT 4.0およびNT 4.0 Terminal Server Editionにも同様のセキュリティ・ホールがあることを明らかにし,それらに適用できるパッチを公開した。ただし,NTはWebDAVをサポートしていないので,IIS経由で攻撃を受ける恐れはない。そのため,NTについては,深刻度は上から2番目の「重要」に設定されている。とはいえ,IIS(WebDAV)経由以外でも今回のセキュリティ・ホールを悪用することは可能なので,NTユーザーはパッチを適用しておきたい。【以上,4月24日追記】

 Windows 2000に含まれる,WebDAVが使用するコンポーネントにセキュリティ・ホールが見つかった。WebDAVとは,IIS経由でリモートからのコンテンツ管理および編集を可能にする,HTTPの拡張機能である。WebDAVが使用するコンポーネントの一つに,バッファ・オーバーフローのセキュリティ・ホールが存在する。このため,細工が施されたリクエストを送信されるとバッファ・オーバーフローが発生し,リクエストに仕込まれた任意のプログラムを実行させられてしまう。

 WebDAVに対するリクエストは,IISサーバー経由で送り込める。つまり,IISにセキュリティ・ホールがあるわけではないが,IISに対して細工を施したリクエストを送信することで,今回のセキュリティ・ホールを悪用できる。バッファ・オーバーフローを発生させれば,IISの実行権限(デフォルトではLocal System)で任意の操作やプログラムの実行が可能になり,事実上IISサーバーを乗っ取ることが可能となる。

 容易に悪用できる危険なセキュリティ・ホールである。セキュリティ組織である米CERT/CCも警告している。IISを稼働させているWindows 2000サーバーの管理者は早急に対応しなければならない。なお,IISを稼働させている覚えがなくても,Windows 2000 Server/Windows 2000 Advanced Server/Windows 2000 Datacenter Serverではデフォルトで稼働しているので,要注意である。

 対策は,マイクロソフトが公開しているパッチ(修正プログラム)を適用すること。パッチはWindows 2000 SP2あるいはSP3の環境に適用できる。同社が公開するセキュリティ情報のページからパッチへのリンクが張られている。

 IISやWebDAVサービスを停止することなどでも,セキュリティ・ホールの影響を回避できる。(1)IISを必要としない場合にはIISを停止する。(2)IISを必要とするがWebDAVが不要な場合にはWebDAVを停止する。(3)WebDAVを必要とする場合には,URLの受信バッファを変更する。また,(4)同社が公開するセキュリティ・ツール「URLScan」でも回避できる。(1)~(4)の具体的な手順や注意点については,「マイクロソフト セキュリティ情報 (MS03-007) : よく寄せられる質問」に詳しいので,そちらを参照してほしい。

【3月19日追記】マイクロソフトは3月19日,今回のセキュリティ・ホールに関するセキュリティ情報に「警告」情報を追加した。Windows 2000 SP(Service Pack)2の環境に今回のパッチを適用すると,問題が発生する場合がある。問題の詳細や回避方法については同情報を参照してほしい。

◎参考資料
Windows コンポーネントの未チェックのバッファによりWeb サーバーが侵害される (MS03-007)
「マイクロソフト セキュリティ情報 (MS03-007) : よく寄せられる質問」
CERT Advisory CA-2003-09 Buffer Overflow in Microsoft IIS 5.0(英語)

(勝村 幸博=IT Pro)