IISとMicrosoft VMに深刻なセキュリティ・ホール，管理者だけではなくユーザーもすぐに対応を

改善が望まれる「セキュリティ警告サービス日本語版」

山下眞一郎

2000.10.25

　今回のコラムも，最近のWindows関連のセキュリティ・トピックスを整理する。相変わらずセキュリティ・ホールが続々報告されている。特筆すべきは，IISおよびMicrosoft VMに相次いで見つかったセキュリティ・ホールである。サーバーやユーザー・マシンのシステムを乗っ取られる可能性があり，最悪のセキュリティ・ホールといえる。

　以下に10月20日時点の情報を，入手先ごとに整理した。順に見ていこう。

新規のセキュリティ・ホール情報は5件，
IISとMicrosoft VMに見つかった問題は最悪

　まず，「Microsoft Security Bulletin」にて，Windows 98/98SE/Me，及びWindows 2000が影響を受ける，（1）「HyperTerminal Buffer Overflow」問題が公開された。「HyperTerminal」とはWindowsが用意しているTelnetクライアントのひとつ。HyperTerminalのTelnet URLを処理するコードに問題があり，HTMLメール経由でオーバーフロー攻撃を受ける可能性がある。攻撃されると，悪意があるユーザーに任意のコードを実行される恐れがある。

　英語版用のパッチはリリースされたが，日本語版はまだである。しかし，Windows 2000の場合，「HyperTerminal」はデフォルトのTelnetクライアントではないため，影響は小さいであろう。

　次に，Windows 2000，およびWindows NT 4.0が影響を受ける（2）「NetMeeting Desktop Sharing」問題が公開された。NetMeeting バージョン3.01には，DoS（サービス妨害）攻撃を受ける可能性がある。攻撃を受けると，CPU使用率が100%となり，一時的にNetMeetingサービスが妨げられてしまう。この問題についても，英語版用のパッチはリリースされたが，日本語版はまだである。しかし，Windows NTには，NetMeetingアプリケーションはデフォルトではインストールされていない。また，あらかじめインストールされているWindows 2000でも，デフォルトでは起動されないため，影響は小さいと考えられる。

　「マイクロソフトセキュリティ情報」では，Windows 2000に含まれるIIS 5.0と，Windows NT 4.0用の最新版であるIIS 4.0が影響を受ける（3）「Web サーバーフォルダへの侵入」のぜい弱性に対する対策が公開された。悪意があるWeb閲覧者が，ターゲットとしたWebサイトに対し，特定の種類の誤ったURLを要求することで，破壊的な操作を行える可能性がある。可能な操作は，データの追加や変更，削除に加えて，既にサーバーに存在するコードの実行や，サーバーに新しいコードをアップロードしての実行などと幅広い。

　このセキュリティ・ホール用の個別パッチは公開されていないが，すでに公開されている「マイクロソフトセキュリティ情報 MS00-057」用の修正パッチによって問題の発生を回避できる。過去に例を見ないほどの致命的なセキュリティ・ホールであるため，MS00-057用の修正パッチが未適用である場合，早急に対応が必要だ（[関連記事]へ）。

　なお，「マイクロソフトセキュリティ情報」には記載されていないが，これらのパッチの適用条件として，Windows NT 4.0の場合はサービスパック 5もしくは6aが前提条件となる（Windows 2000の場合には，サービスパック 1の適用は前提ではない）。注意しておこう。

　また，Microsoft Internet Explorer の4.xと5.xが影響を受ける（4）「キャッシュされたWebアカウント情報」問題が公開された。このぜい弱性を悪用すれば，悪意のあるユーザーが，ほかのユーザーのWebサイトへのアカウント情報（ユーザーIDとパスワード）を取得できる可能性がある。この問題についても，英語版用のパッチはリリースされたが日本語版はまだである。ただし，Internet Explorer 5.5ではこのぜい弱性の問題は発生しないので，気になるユーザーはこれを機にバージョンアップをするのも手であろう。

　最後に，Windows 95/98/Me，およびWindows 2000/NT 4.0が影響を受ける（5）「Microsoft VM による ActiveX コンポーネントの制御」のぜい弱性に対するパッチが公開された。悪意を持ったWebサイト運営者やメール送信者が，WebページやHTML電子メール経由でターゲットのパソコンを乗っ取れるという，非常に危険なセキュリティ・ホールである。

　日本語版Windows 95/98/Me，およびWindows NT 4.0に適用可能な，3xxxシリーズのビルド（Microsoft VMのバージョン番号）に対する修正パッチは現在公開されているが，日本語版Windows 2000および2xxxシリーズ用の修正パッチは公開されていない（[関連記事]へ）。しかし，日本語化された「マイクロソフトセキュリティ情報」には記載されていないが，英語情報にはInternet Explorerの「アクティブ・スクリプト」もしくは「Javaアプレットのスクリプト」を無効にしていれば回避可能と記載されている。実際にはこれらに加え，Java機能を無効にしても回避可能である。

　今回のセキュリティ・ホールに限らず，他の様々なセキュリティ・ホールに対しても，「Javaの無効化」で回避できる場合は多い。Internet Explorerなどのセキュリティ・ホールが心配なユーザーは，最低限Javaを無効化しておこう。無効化の仕方は次の通り。まず，Internet Explorerの「ツール」メニューの「インターネットオプション」の中の「セキュリティ」タブを選び，「インターネット」ゾーンの「レベルのカスタマイズ」から「Microsoft VM」の項目にある「Javaの許可」で「Javaを無効にする」に設定し，OKボタンをクリックすれば完了である。ついでに，「Active Xコントロールとプラグイン」の項目の各設定もすべて無効化しておくと，より安心だ。

Windows 2000は日本語版対応パッチが2件公開

　「Microsoft ダウンロードセンター」では，「マイクロソフトセキュリティ情報」でアナウンスされていないWindows 2000用のパッチが2件公開された。（1）「(MS00-067)『Windows 2000 Telnet クライアントの NTLM 認証』のぜい弱性に対する対策」用パッチと，（2）「(MS00-065)『静止画像サービスを利用した権限の昇格』のぜい弱性に対する対策」用パッチである。これらは，正式にはアナウンスされていないため，自己判断および自己責任で，検討あるいは適用する必要がある。なお，（1）のダウンロード用ページには，一部リンクの間違いがあるので注意が必要である。本来はMS00-067へのリンクになっているべきところが，MS00-050へのリンクとなっている。

便利な「セキュリティ警告サービス」だが
重要度が分かる工夫を

　Windowsのセキュリティ関連情報を速やかに入手したい管理者は，最低でもマイクロソフトが公開する「マイクロソフトセキュリティ情報」をこまめにチェックすることが必要だ。しかし，定期的にチェックするのは，実際には大変で，ついおろそかになってしまう管理者は多いだろう。そんな管理者には，こうした情報をメールにて随時知らせてくれる無償サービスの「マイクロソフトプロダクトセキュリティ警告サービス日本語版」がお勧めだ。

　例えば，今回の「(MS00-078)『Web サーバーフォルダへの侵入』のぜい弱性に対する対策」の場合，「マイクロソフトセキュリティ情報」では10月20日にWebサイトで公開され，「マイクロソフトプロダクトセキュリティ警告サービス日本語版」の電子メールは10月21日の13時27分に私のメールボックスに届いた。

　もちろん，無償のサービスとしては健闘している。しかし，内容が事務的で，今回のように深刻なセキュリティ・ホール情報でも，一般のセキュリティ速報と同じように配送される。そのため，一般の管理者やユーザーは，その重要度に気づきにくい。重要度が分かるように，電子メールの表題を工夫するなどして，ユーザー側のスタンスに立った，より分かりやすい広報を望みたい。

「マイクロソフトプロダクトセキュリティ警告サービス日本語版」

山下　眞一郎（Shinichiro Yamashita）
株式会社富士通南九州システムエンジニアリング
第二ソリューション事業部システムサービス部プロジェクト課長
yama@bears.ad.jp

　「今週のSecurity Check [Windows編]」は，IT Proセキュリティ・サイトが提供する週刊コラムです。Windows関連のセキュリティに精通し，「Winセキュリティ虎の穴」を運営する山下眞一郎氏に，Windowsセキュリティのニュースや動向を分かりやすく解説していただきます。（IT Pro編集部）