前回は,「Windows 2000 Service Pack 1」リリース以降のセキュリティ・ホール情報をピックアップしたが,それ以降も様々なセキュリティ情報が公開されている。そこで今回のコラムでは,最近のWindows関連のセキュリティ・トピックスを整理してみよう。10月5日時点の情報を,入手先ごとに整理した。

セキュリティ・ホール情報は2件
ただし危険度は大きくない

 まず,「Microsoft Security Bulletin」にて,Windows NT 4.0とWindows 2000の双方が影響を受ける「Multiple LPC and LPC Ports」問題が公開された。これは,BindView's Razor Teamにより指摘されたLPC(ローカル・プロシージャ・コール)とLPCポートに関する弱点である。この弱点を突けば,無効なLPCリクエストによるDoS(Denial of Service:サービス続行不能)攻撃や,悪意があるユーザーが自分の権限を高めること(具体的には,一般ユーザー権限を管理者権限などにすること)が可能になる。

 しかし,このセキュリティ・ホールは,基本的にリモート・マシンを攻撃するためには使えないので,外部からの脅威という観点では影響は小さいであろう。

 次に,「マイクロソフト セキュリティ情報」にて,「Windows 2000が影響を受ける『簡体字中国語用 IME の状態認識』のぜい弱性に対する対策」という「Microsoft Security Bulletin」の翻訳情報が公開された。これは,悪意があるユーザが,攻撃したコンピュータ上の完全なコントロールを取得することができてしまうという深刻な問題だ。しかし,デフォルトではこの問題が発生するのは,Windows 2000の簡体字中国語版だけであり,日本語版では,システムのセットアップ中に簡体字中国語のIMEをインストールしない限り対象外であるので,影響はほぼないであろう。

正式アナウンスがないパッチが2件公開

 また,「Microsoft ダウンロード センター」にて,「マイクロソフト セキュリティ情報」では正式にはアナウンスされていないWindows 2000用のパッチが2件公開された。「(MS00-057)『正規化エラーによる,ファイルへの誤ったアクセス権の適用』のぜい弱性に対する対策」と,「(MS00-047)『NetBIOS Name Server Protocol Spoofing』のぜい弱性に対する対策」用パッチである。

 なお,正式にはアナウンスされていないため,自己判断および自己責任で,検討および適用する必要がある。

セキュリティ・ツールのISSが
Windows 2000を正式サポート

 そして,インターネット セキュリティ システムズから,セキュリティぜい弱性検査ツールの最新バージョンである「Internet Scanner 6.1 日本語版」が出荷開始された。このバージョンは様々な高機能化が図られているが,一番うれしいのは,Windows 2000上での稼働を正式サポートしたことである。それに合わせて,Windows 2000特有のぜい弱性もチェック項目に追加した。

 以前から「Internet Scanner 6.1 英語版」は使用可能であったが,出力レポート等が英語であった。日本語版ではそれらがすべて日本語化されているので,使い勝手が格段に向上している。そのため,一般のシステム管理者にも十分お勧めできる。なお,複数存在するセキュリティぜい弱性検査ツールの中でも,このInternet Scannerが定番中の定番である。

「ISA Server 2000」の登場が楽しみ

 最後に,マイクロソフトから,「Microsoftプロキシ サーバー 2.0」の後継製品である,ファイアウオールとWebキャッシュの統合サーバー「Microsoft Internet Security and Acceleration Server 2000」(ISA Server 2000)日本語版の最終ベータ版が無償にて提供開始された。製品版は,今年の後半に発売の予定である。

 Microsoftプロキシ サーバーは,(1)頻繁に使用されるオブジェクトを事前にキャッシングし,サイト全体を定期的にダウンロードする「アクティブ キャッシング」や,(2)Windowsのユーザー管理と連動して利用権限をユーザー単位に認証できる機能,などを先進的に採用してきた実績がある。しかし,あくまで私個人の経験だが,Microsoftプロキシ サーバー 1.0の時代に安定稼働の観点からかなり苦労した経緯があり,それ以降なんとなくMicrosoftプロキシ サーバーを敬遠していた。

 ところが,今回のISA Server 2000は,米Internet Security Systemsと共同開発した侵入検知機能により,(1)ポートのスキャン,「WinNuke」,「Ping of Death」といった一般的なサービス拒否の攻撃をきちんと識別したり,(2)アクティブなセッションだけにポートを開放する「ダイナミック・パケット・フィルタリング機能」や,(3)内部ネットワークにつながっているクライアントPCごとにIPアドレスを指定して,利用するアプリケーション(プロトコル)を制御可能な「Secure NAT機能」を有するなど,かなり魅力的な製品になっている。実際に評価するのが楽しみな製品だ。

Microsoft Security Bulletin (英語情報)

 ■(MS00-070) Patch Available for "Multiple LPC and LPC Ports" Vulnerabilities (October 03, 2000)

マイクロソフト セキュリティ情報

 ■(MS00-069) 「簡体字中国語用 IME の状態認識」の脆弱性に対する対策(2000年10月3日)

Microsoft ダウンロード センター

 ■(MS00-057) 「正規化エラーによる,ファイルへの誤ったアクセス権の適用」の脆弱性に対する対策
 □Windows 2000用の正式にはアナウンスされていないパッチ(2000年10月4日)

 ■(MS00-047) 「NetBIOS Name Server Protocol Spoofing」の脆弱性に対する対策
 □Windows 2000用の正式にはアナウンスされていないパッチ(2000年9月29日)

インターネット セキュリティ システムズ

 ■セキュリティ脆弱性検査ソリューションの新バージョンInternet Scanner 6.1 日本語版出荷開始(2000年9月28日)

マイクロソフト

 ■Microsoft(R) Internet Security and Acceleration Server 2000 日本語版 最終ベータ 提供開始(2000年9月27日)

山下 眞一郎(Shinichiro Yamashita)
株式会社 富士通南九州システムエンジニアリング
第二ソリューション事業部システムサービス部 プロジェクト課長
yama@bears.ad.jp

 「今週のSecurity Check [Windows編]」は,IT Proセキュリティ・サイトが提供する週刊コラムです。Windows関連のセキュリティに精通し,「Winセキュリティ虎の穴」を運営する山下眞一郎氏に,Windowsセキュリティのニュースや動向を分かりやすく解説していただきます。(IT Pro編集部)