マイクロソフトは11月10日,同社のサーバー製品「Internet Security and Acceleration Server 2000(ISA Server 2000)」や「Proxy Server 2.0」に見つかったセキュリティ・ホールを公開した。これらを経由してインターネットにアクセスしている場合,Webサイトなどのなりすましを許す可能性がある。具体的には,例えば,ブラウザのアドレス・バーに「www.microsoft.com」と入力しても,実際には米Microsoftのサイトとは異なるサイトへ誘導させられる可能性がある。
深刻度は上から2番目の「重要」。対策は修正パッチを適用すること。なお,Small Business ServerやBackOffice ServerにはISA Server 2000が含まれているので,同じように影響を受ける。
ISA ServerやProxy Serverには,DNSの逆引き参照の結果をキャッシュする方法に問題がある。それが,今回公開されたセキュリティ・ホールである。具体的には,IPアドレスからホスト名を解決する逆引き参照の結果を,ホスト名からIPアドレスを解決する前方参照(通常のアドレス解決)にも使用してしまう。
このため,例えば「『192.168.0.1』のホスト名は『www.microsoft.com』」という偽の情報(逆引き参照の結果)をISA Server/Proxy Serverにキャッシュさせておけば,以降,ISA Server/Proxy Serverを経由して「www.microsoft.com」へアクセスしようとするユーザーを「192.168.0.1」へ誘導できる。つまり,Webサイトなどのなりすましが可能となる。
ただし,SSLを使っているサイトになりすまそうとすると,ユーザーのブラウザではデジタル証明書の認証に失敗するので,警告メッセージが表示される。
また,偽の情報をISA Server/Proxy Serverにキャッシュさせるには,これらのユーザーに,偽サイトのIPアドレスで逆引き参照させておく必要がある。例えば,偽サイトのIPアドレスを使ったリンクなどで攻撃者のWebサイトへアクセスさせておく必要がある。
対策は修正パッチを適用すること。セキュリティ情報のページからダウンロードできる。ISA Server用のパッチはISA Server 2000 SP1/SP2に,Proxy Server用のパッチは Proxy Server 2.0 SP1に適用できる。
すぐにパッチを適用できない環境では,DNSキャッシュのサイズをゼロに設定することで影響を回避できる(具体的な設定方法はサポート技術情報889189などを参照のこと)。ただし,この回避策を適用すると,DNS解決のパフォーマンスが落ちる。マイクロソフトでは「短期的な回避策として,セキュリティ更新プログラムを適用できないコンピュータのみに行ってください」としている。
◎参考資料
◆ISA Server 2000 および Proxy Server 2.0 の脆弱性により,インターネット コンテンツのなりすましが行われる (888258) (MS04-039)
◆よく寄せられる質問 : マイクロソフトセキュリティ情報(MS04-039)
◆絵でみるセキュリティ情報 MS04-039 : ISA Server および Proxy Server の重要な更新
(勝村 幸博=IT Pro)
