米国の調査会社Gartnerは9月19日,米MicrosoftのWebサーバー・ソフトIIS(Internet Information Services/Server)に関して,「別のソフトへの置き換えを検討すべき」という内容のレポートを公表した(該当サイト)。IISでWebサーバーを新しく構築することはもとより,既にIISを運用している企業も別のソフトの利用を検討すべきだという。Gartnerが根拠としているのが,ここ最近のIISに対するおびただしい数のアタックである。現在のMicrosoftの対応とIISの品質ではセキュリティを確保できないというのだ。
インターネット・セキュリティ担当ディレクタのJohn Pescatore氏はこのレポートで「Code RedワームはIISを使ったWebサーバーがいかに簡単に攻撃できるかを示してくれた」と述べている。「IISを利用することでWebサーバーの所有コストが跳ね上がる。企業はMicrosoftがセキュリティ・パッチをリリースするごとにすべてのIISマシンを更新しなければならない。しかもパッチはほとんど毎週のようにリリースされている。(Code Redワームへの対策直後に登場した)NimdaワームやCode Blueワームによって,IISを利用することによるリスクの存在と,Microsoftが頻繁に出すパッチに追随する労力の大きさがはっきりした」(Pescatore氏)という。
Gartnerでは,IISが企業の利用に耐えるだけの安全性を確保するのは2002年末になると見ており,Code RedやNimdaの攻撃を受けた企業は今すぐにiPlanetやApacheなど,他のベンダーのWebサーバー・ソフトへの移行を検討すべきだとしている。その理由として,過去の実績からIISよりも安全であると考えられることや,現在,多くのウイルスやワームがIISをターゲットにしていること,さらに.NET戦略の進展によってIISベースのXML Webサービスが増えることで,IISが引き続き主要な攻撃対象となりそうであることなどを挙げている。
