前回のコラムでは,米Microsoftへの不正侵入について解説した。その中で,ウイルス対策ソフトのウイルス定義ファイル(パターン・ファイル)の更新を怠っていたことが,侵入を許した原因の1つであると述べた。ところが,先週末,最新のウイルス定義ファイルが原因で,Windowsがフリーズするというトラブル情報が飛び込んできた。システム運用の難しさと,的確な情報入手の必要性を,改めて思い知らされた出来事である。

 トラブルが発覚したのは,日本ネットワークアソシエイツのウイルス対策ソフト「McAfee VirusScan」。11月2日に公開されたウイルス定義ファイルを適用すると,起動時にWindowsがフリーズする場合があるとの情報が,メーリング・リストなどで報告された。これは,ウイルス定義ファイルと,ウイルスを検出するための「スキャンエンジン」の不整合が原因である。

 VirusScanは,ウイルス定義ファイルだけではなく,スキャンエンジンも更新することができる。もし「スキャンエンジン4.0.02」に対して,最新のウイルス定義ファイル「Dat4102」を適用すると,Windowsは起動時にフリーズする。

 この場合,Windows 9xでは,Windowsのセーフ・モードで強制的に起動し,VirusScanの「システム スキャン」を停止すると回避できる。しかし,Windows NTで,ファイル・システムにNTFSを使っている場合には,「修復ディスクを使用し,初期状態へ戻す」あるいは「リカバリCD等で復旧する」という復旧方法しかないとされており,事態はかなり深刻である。

 最新の「スキャンエンジン4.0.70」との組み合わせでは,問題はないとされているものの,「McAfee VirusScan」は数多くのメーカーのPCにプレインストールされており,ユーザー数は多い。そのため,古いバージョンのスキャンエンジンを使用しているユーザーも多いはずである。今回のトラブルが与える影響は大きいと考えられる。

 ところが,日本ネットワークアソシエイツのトップ・ページからは,今回のトラブルに関する情報へのリンクは存在しない(11月7日現在)。ぜひ,すべてのユーザーに分かるような形で,情報提供してほしい(IT Pro注:11月8日より,トップ・ページから,トラブルに関する情報へのリンクが張られた)。

 前回の「今週のSecurity Check」で,最新のウイルス定義ファイルを適用することは,必要最低限の不正アクセス対策であると述べたばかりであるが,今回のように,最新のウイルス定義ファイルの適用で,システムに多大な影響を及ぼすケースもある。今回のケースから分かるように,システム運用とは非常に難しいものである。的確な情報を素早く入手することが,最大の自己防衛策であろう。

新規のセキュリティ・ホール情報は4件,
IIS向けのパッチが再公開

 次に,最近のWindows関連のセキュリティ・トピックスを整理する。以下に11月3日時点の情報を,入手先ごとに整理した。

 まず,「Microsoft Security Bulletin」にて,Windows 2000シリーズのServer/Professional/Advanced Server/Datacenter Serverが影響を受ける(1)「ActiveX Parameter Validation」問題が公開された。Windows 2000に実装されたActiveXコントロールの,バッファのチェック漏れが原因である。

 不正なHTMLファイルやHTML形式の電子メールを使用したバッファ・オーバーフロー攻撃により,ターゲットにしたパソコン上のファイルを削除したり,ハード・ディスクを初期化することなどが可能となる。ローカルで実行可能な操作は,この攻撃によりほとんど可能であると考えてよいだろう。

 英語版用のパッチはリリースされたが日本語版はまだである。Internet Explorer(IE)やOutlook,Outlook Expressのセキュリティ・レベルを上げ,ActiveXが動作しないように設定すれば,回避できる。

 次に,Windows 2000に含まれるIndexing Servicesが影響を受ける(2)「Indexing Services Cross Site Scripting」問題が公開された。Internet Information Server(IIS)では,「(MS00-060) IIS クロスサイト スクリプティング」問題として,既に報告されている。

 この問題を利用すれば,悪意のあるWebサイト運営者が,他のWebサイトをユーザーの攻撃手段として利用できる可能性がある。英語版用のパッチはリリースされたが,日本語版はまだである。ただし,Indexing ServicesはWindows 2000に含まれるものの,自動起動はされない。クロスサイト・スクリプティング問題の詳細については,MicrosoftのFAQなどを参照してほしい。

 そして,Workstation版を除くWindows NT 4.0シリーズ,およびProfessional版を除くWindows 2000シリーズと,SMS 1.2/2.0が影響を受ける(3)「Netmon Protocol Parsing」問題が公開された。これは「ネットワーク・モニタ(Netmon)」に,バッファのチェック漏れがあることが原因である。悪意のあるユーザーが送信した,特別に改ざんしたフレームをネットワーク・モニタで解析すると,ネットワーク・モニタが停止してしまう。さらに,バッファ・オーバーフロー攻撃により,悪意のあるコードを,サーバー上で実行される可能性がある。

 英語版用のパッチは,ほとんどリリースされたが,日本語版はまだである。日本語版パッチがリリースされるまでは,ネットワーク・モニタの使用を停止した方がよいだろう。

 また,Exchange Server 5.5が影響を受ける(4)「Malformed MIME Header」問題が公開された。これは,特定の値が入ったMIMEヘッダ・フィールドを持つメールを送られると,Exchange Serverがサービス停止する可能性があるというものだ。

 Exchangeサービスを再起動し,そのメールを削除すれば,復旧は可能である。サーバー上の,他のユーザーの電子メールを削除したり,サーバーの管理者権限を奪うことなどはできない。英語版用のパッチはリリースされたが日本語版はまだである。Exchange Serverが停止すると,影響が大きいと考えられる場合には,末尾に紹介しているMicrosoft ダウンロード センターのパッチを,自己判断および自己責任で適用してもよいだろう。

 最後に,Windows 2000に含まれるIIS 5.0とWindows NT 4.0用の最新版であるIIS 4.0が影響を受ける(5)「IIS Cross-Site Scripting」問題が更新された。既存のパッチでは対応できない,新たな攻撃バリエーションが発見されたため,それにも対応できるパッチが再リリースされた。

 英語版用のパッチは再リリースされたが,日本語版はまだである。もしも,日本語版のリリースまで待てない環境ならば,下に紹介しているMicrosoft ダウンロード センターのパッチ(IIS 4.0のみ)を,自己判断および自己責任で適用することも考えられる。

日本語版レポート1件とアナウンスされていないパッチは3件,
IE 5.5のSP1も公開された

 「Microsoft Security Bulletin」のレポートが1件のみ,日本語化されて公開された。「ハイパーターミナルのバッファ オーバーフロー」のぜい弱性に対する対策の情報だ。残念ながら,日本語版パッチは公開されていない。このぜい弱性に関する詳細は,過去の「今週のSecurity Check[Windows編]」でお知らせしている通りだ。

 「Microsoft ダウンロード センター」では,「マイクロソフト セキュリティ情報」でアナウンスされていないパッチが3件公開された。(1)「(MS00-082)Patch Available for "Malformed MIME Header" Vulnerability」の修正を含む,Exchange 5.5 インフォメーションストア 修正プログラムと,(2)「(MS00-081)『VM のファイルの読み取り』のぜい弱性に対する対策」Windows 2000用パッチ,および(3)「(MS00-060)Patch Available for "IIS Cross-Site Scripting" Vulnerabilities」IIS 4.0用パッチである。 これらは,正式にはアナウンスされていないため,自己判断および自己責任で,検討あるいは適用してほしい。

 また,Internet Explorer 5.5 Service Pack 1 とインターネット ツールも公開されている。Internet Explorer 5.5の各種バグが修正され,DHTMLとCSSのサポートの強化,印刷プレビューの強化等が含まれているようだ。

日本ネットワークアソシエイツ

 ■ 「DAT4102でトラブルが発生しているお客様へ」(2000年11月2日)

Microsoft Security Bulletin (英語情報)

 ■ (MS00-085)Patch Available for "ActiveX Parameter Validation" Vulnerability (November 2, 2000)

 ■ (MS00-084)Patch Available for "Indexing Services Cross Site Scripting" Vulnerability (November 2, 2000)

 ■ (MS00-083)Patch Available for "Netmon Protocol Parsing" Vulnerability (November 1, 2000)

 ■ (MS00-082)Patch Available for "Malformed MIME Header" Vulnerability (October 31, 2000)

 ■ (MS00-060)Patch Available for "IIS Cross-Site Scripting" Vulnerabilities  (Updated: November 2, 2000)

マイクロソフト セキュリティ情報

 ■ (MS00-079)「ハイパーターミナルのバッファ オーバーフロー」のぜい弱性に対する対策(日本語解説公開:2000年11月1日)

Microsoft ダウンロード センター

 ■ (MS00-082)Patch Available for "Malformed MIME Header" Vulnerability
 □ (MS00-082)の修正を含む正式にはアナウンスされていないExchange 5.5 インフォメーションストア 修正プログラム(2000年10月26日)

 ■ (MS00-081)「VM のファイルの読み取り」のぜい弱性に対する対策
 □ Windows 2000用の正式にはアナウンスされていないパッチ(2000年10月31日)

 ■ (MS00-060)Patch Available for "IIS Cross-Site Scripting" Vulnerabilities
 □ Windows NT 4.0用の正式にはアナウンスされていないパッチ(2000年11月2日)

 ■ 正式にはアナウンスされていない,Internet Explorer 5.5 Service Pack 1 とインターネット ツール(2000年11月1日)

山下 眞一郎(Shinichiro Yamashita)
株式会社 富士通南九州システムエンジニアリング
第二ソリューション事業部システムサービス部 プロジェクト課長
yama@bears.ad.jp

 「今週のSecurity Check [Windows編]」は,IT Proセキュリティ・サイトが提供する週刊コラムです。Windows関連のセキュリティに精通し,「Winセキュリティ虎の穴」を運営する山下眞一郎氏に,Windowsセキュリティのニュースや動向を分かりやすく解説していただきます。(IT Pro編集部)