米Microsoftへの不正侵入が残した教訓

新規のセキュリティ・ホール情報は2件

山下眞一郎

2000.11.01

　先週末，米Microsoftの社内ネットワークへの不正侵入が明らかとなり，大変な騒ぎとなった。今回のコラムでは，まずこの事件について解説する。必要最低限の不正アクセス対策を怠ると，いかに危険なのかが分かるだろう。また，新規に公表されたセキュリティ・ホール情報は2件。いずれも影響は比較的小さい。

最低限の対策で防げたはずの不正侵入

　米Microsoftの社内ネットワークに不正な侵入があったとされる問題について，10月27日（現地時間），同社のWebサイト上にて報告された。ただし，情報は極めて少なく，以下の3点が記載されているに過ぎない。（1）「社内の内部ネットワークの一部に対して侵入行為があった」，（2）「我々の調査によると，Windows MeやWindows 2000，Officeといった主力製品のソース・コードに，侵入者がアクセスした形跡はなかった」，（3）「開発中の，次期製品関連のいくつかのソース・コードを，侵入者は明らかに閲覧できたが，調査の結果，あらゆるソース・コードには，改ざんがないことを確認した」。

　また，同日，米Computer Associates InternationalのWebサイトでは，侵入者は「Qaz.Trojan Worm」と呼ばれるハッキング・ツールを使って侵入した，との情報が公開された。「Qaz.Trojan Worm」とは，2000年7月ごろに発見された，ネットワーク・ワームの特性を持つサーバー/クライアント型のハッキング・ツールである。侵入者は，電子メールなどで，ターゲットのマシンへこのツールを送り込む。そして，このツールがマシン上で起動されると，侵入者は遠隔地からポート番号7597経由で，そのマシンをリモート操作できてしまう。

　もし，今回の侵入が「Qaz.Trojan Worm」によるものならば，（1）アンチウイルス・ソフトのパターン・ファイルを，2000年7月以降アップデートしていない，（2）社外ネットワークのファイアウオールのポート番号7597を開いている，という条件が最低でも重ならないと成立しないはずだ。

　つまり，最低限守るべきポイントである，（1）「アンチウイルス・ソフトのパターン・ファイルは，たえず最新のものを使用する」，（2）「ファイアウオールでは，最低限必要なポート以外はすべて閉じる」を守っていなかったということだ。必要最低限のセキュリティ確保を怠ると，それがいかに危険なのかを教えてくれた事件である。ぜひ教訓にしたいものだ。

新規のセキュリティ・ホール情報は2件，
Microsoft VMのセキュリティ・ホールが再び発覚

　新規のセキュリティ・ホール情報は2件。先週は，コラムでも紹介したように，IISとMicrosoft VMの最悪のセキュリティ・ホールが相次いで報告された。それらに比べれば影響は小さく，やや一段落といった感じだ。以下に10月27日時点の情報を，入手先ごとに整理した。順に見ていこう。

　まず，「マイクロソフトセキュリティ情報」にて，Microsoft VMの3xxxシリーズと2xxxシリーズのビルド（Microsoft VMのバージョン番号）が影響を受ける（1）「VM のファイルの読み取り」のぜい弱性に対する対策が公開された。影響を受けるInternet Explorer 4.x/5.xで，ある仕掛けを施したWebページを閲覧すると，そのWebサイトの運営者に，パソコン内のファイルを読み取られる恐れがある。

　また，イントラネット内のパソコンから，悪意のあるWeb サイトにアクセスした場合，通常は外部から参照できないイントラネット内のWebコンテンツを，外部から閲覧できるようなJavaアプレットを送り込まれる可能性があるようだ。

　先週報告した（MS00-075）「Microsoft VM による ActiveX コンポーネントの制御」のぜい弱性も同じくMicrosoft VMに関するセキュリティ・ホールであるが，今回のものとは異なる。そのため，「Microsoft VM による ActiveX コンポーネントの制御」のセキュリティ・ホールは「ビルド 3318」で修正されたが，今回の「VM のファイルの読み取り」のセキュリティ・ホールは最新の「ビルド 3319」で修正されている。

　英語版用のパッチはリリースされたが，日本語版はまだである。英語版用のパッチの一部は，日本語版にも適用できる可能性が高いが，日本法人からは正式アナウンスされていないので，自己責任で適用する必要がある。なお，Windows 2000用のパッチについては，明らかに日本語版Windows 2000には適用できないので注意が必要だ。残念ながら，今回のセキュリティ・ホールでは，パッチの適用以外の回避方法はない。十分な回避方法ではないが，怪しいWebサイトには近づかないという，セキュリティの基本を守ろう。

　また，Windows 2000に含まれるIIS 5.0とWindows NT 4.0用の最新版であるIIS 4.0が影響を受ける（2）「セッションIDクッキーのマーキング」のぜい弱性に対する対策が公開された。このぜい弱性を悪用すれば，特定の制限された状況下で，悪意のあるユーザーにセキュリティで保護されたWebセッション（SSLセッション）を “ハイジャック”される可能性がある。

　この問題については，日本語版IIS 4.0のパッチ（AT互換機用のみ）はリリースされたが，日本語版IIS 5.0用はまだである。ただし，このセキュリティ・ホールを悪用するには，非常に厳しい条件を満たす必要があるので，危険度は低いと考えてよいだろう。

日本語版レポート4件と日本語対応パッチ1件が公開

　「Microsoft Security Bulletin」のレポートが次々と日本語化され公開された。（1）「NetMeeting リモートデスクトップ共有」のぜい弱性，（2）「WebTV for Windows のサービス拒否」のぜい弱性，（3）「不正な IPX NMPI パケット」のぜい弱性，（4）「共有レベルのアクセス制限パスワード」のぜい弱性，以上4件に対する対策だ。残念ながら，日本語版パッチは公開されていない。影響度や回避方法は，過去の「今週のSecurity Check [Windows編]」でお知らせしている通りだ。なお，「共有レベルのアクセス制限パスワード」問題は危険度が大きいので，内容をもう一度チェックしておこう（[関連コラム]へ）。

　また，「Windows 2000 Telnet クライアントの NTLM 認証」のぜい弱性に対する対策が，日本語版パッチ情報を追加して再公開された。先週のコラムで報告したように，ダウンロード用ページ中の，本来はMS00-067へのリンクになっているべき部分が，相変わらずMS00-050へのリンクとなったままだ。注意が必要である。

　■米Microsoftが公開した，不正侵入事件に関する情報（October 27, 2000）

　■米Computer Associates Internationalが公開した，不正侵入事件に関する情報（October 27, 2000）

マイクロソフトセキュリティ情報

　■(MS00-081)「VM のファイルの読み取り」のぜい弱性に対する対策（日本語解説公開：2000年10月27日）

　■(MS00-080)「セッション ID クッキーのマーキング」のぜい弱性に対する対策（日本語版パッチ一部公開：2000年10月26日）

　■(MS00-077)「NetMeeting リモートデスクトップ共有」のぜい弱性に対する対策（日本語解説公開：2000年10月23日）

　■(MS00-074) 「WebTV for Windows のサービス拒否」のぜい弱性に対する対策（日本語解説公開：2000年10月25日）

　■(MS00-073)「不正な IPX NMPI パケット」のぜい弱性に対する対策（日本語解説公開：2000年10月25日）

　■(MS00-072)「共有レベルのアクセス制限パスワード」のぜい弱性に対する対策（日本語解説公開：2000年10月26日）

　■(MS00-067)「Windows 2000 Telnet クライアントの NTLM 認証」のぜい弱性に対する対策（日本語版パッチ正式公開：2000年10月23日）

山下　眞一郎（Shinichiro Yamashita）
株式会社富士通南九州システムエンジニアリング
第二ソリューション事業部システムサービス部プロジェクト課長
yama@bears.ad.jp

　「今週のSecurity Check [Windows編]」は，IT Proセキュリティ・サイトが提供する週刊コラムです。Windows関連のセキュリティに精通し，「Winセキュリティ虎の穴」を運営する山下眞一郎氏に，Windowsセキュリティのニュースや動向を分かりやすく解説していただきます。（IT Pro編集部）