トラブル続きのIISに，管理者は要注意

新たなセキュリティ・ホールに，提供情報の不足二次情報をうのみにせずに，一次情報まで要チェック

山下眞一郎

2000.11.15

　第6回のコラムでも紹介したように，10月下旬，Internet Information Server（IIS）4.0/5.0に，深刻なセキュリティ・ホールが発見され，Microsoftはパッチを公開した。その騒ぎが収まらないうちに，またもやIIS5.0に深刻なセキュリティ・ホールが発見された。さらに，10月下旬のIIS 4.0/5.0のセキュリティ・ホール対応情報に，重要な注意点が追加されたりするなど，先週もセキュリティの話題には事欠かない1週間であった。特にIIS関連のセキュリティ・トピックスが目立った。Webサーバー管理者は要注意である。

IISの深刻なセキュリティ・ホールが再度発見

　「マイクロソフトセキュリティ情報」にて，Windows 2000上で稼働するInternet Information Services 5.0が影響を受ける「Webサーバーによるファイル要求の解析」のぜい弱性に対する対策が公開された。悪意のあるユーザーからの特定のURLリクエストにより，狙われたWebサーバー上で，オペレーティング・システムのコマンドを実行される可能性があるという深刻なセキュリティ・ホールである。

　危険性は『(MS00-078) 「Web サーバーフォルダへの侵入」のぜい弱性に対する対策』と同様で，データの追加や変更，削除を行ったり，既にサーバーに存在するコードを実行したり，サーバーに新しいコードをアップロードして実行したりというような，幅広い破壊的な操作が可能だ（[関連記事]）。

　11月6日に「Microsoft Security Bulletin」で，英語のレポートと同時に，英語版用と日本語版用，中国語版用およびドイツ語版のパッチが同時公開され，2日後の11月8日には，日本語化されたレポートが公開されるという，異例の事態からも，その深刻さがうかがえる。

　日本語版パッチを適用すれば，この問題を回避できる。まだ適用していない管理者は，一刻も早く適用する必要がある。

　マイクロソフトの情報によれば，IIS 4.0を使用している場合，このセキュリティ・ホールの影響を受けないとされている。しかし，このセキュリティ・ホールを発見した団体である「NSFocus」が公開したレポート「Microsoft IIS 4.0/5.0 CGI File Name Inspection Vulnerability」によれば，IIS 4.0でも影響を受ける場合があるという。SP6aを適用したIIS 4.0は影響を受けないものの，それ以前のIIS 4.0は影響を受けるとしている。IIS 4.0を使っている場合には，SP6aが適用されているかどうかを再確認しよう。

　SP6aでは，「49日間一度も再起動を行わなかった場合，ログの日付と時間が更新されない」という，運用上致命的なバグも修正されているので，適用していない場合には，すぐにSP6aを適用した方がよいだろう。

日本語化情報だけでは，不十分な場合あり

　パッチが既に公開されている『(MS00-078) 「Web サーバーフォルダへの侵入」のぜい弱性に対する対策』のレポートには，新たに注意点が加えられ，初公開から10日後の10月30日にアップデートされている。

　追加された注意点は，「IIS 4.0対応パッチを適用するには，Windows NT 4.0 Service Pack 5 以上の環境が必要」というものだ。これは「Microsoft Security Bulletin」には記載されていたものの，日本語化された「マイクロソフトセキュリティ情報」では，なぜか漏れていたため，この「今週のSecurity Check[Windows編]」で個別にフォローした重要な情報だ。

　また，「Window NT 4.0 OptionPack のインストール後は，Service Packの再適用を行う」という情報も追加された。これは，マイクロソフトの「インストールガイド」にも含まれている基本的な情報である。こうした前提条件を守らないと，セキュリティ・ホールに対応したつもりが，予期せぬトラブルを引き起こしかねない。公開10日後に，あえてレポートをアップデートしたのは，そうしたトラブルが多発したためだと考えられる。

　翻訳や要約などの，いわゆる二次情報では，今回のように重要な情報が欠落している場合がある。そのため，そういった情報をうのみにせず，一次情報までチェックする必要がある。

新規のセキュリティ・ホール情報は1件

　次に，上記以外の，最近のWindows関連のセキュリティ・トピックス（11月10日時点）を整理する。

　「Microsoft Security Bulletin」にて，Windows NT 4.0 Terminal Serverが影響を受ける「Terminal Server Login Buffer Overflow」問題が公開された。Terminal Serverログイン・プロンプトに，バッファのチェック漏れがあることが原因である。悪意のあるリモート・ユーザーからのバッファ・オーバーフロー攻撃により，ターゲットとなったTerminal Serverを不正に停止されたり，任意のコードを実行される可能性がある。悪意のあるユーザーは，Terminal Serverにログインしなくとも攻撃が可能だ。

　英語版用のパッチはリリースされたが日本語版はまだである。tcpポート番号の3389を，ルーターやファイアウオールで閉じることで攻撃を回避できる。

日本語化されたレポートは3件

　冒頭で紹介した「Web サーバーによるファイル要求の解析」のぜい弱性に対する対策を別にすると，「Microsoft Security Bulletin」のレポートが，3件日本語化され公開された。（1）「ActiveX におけるパラメータ照合」のぜい弱性に対する対策と，（2）「インデックスサービスのクロスサイトスクリプティング」のぜい弱性に対する対策，（3）「Netmon のプロトコル解析」のぜい弱性に対する対策の情報だ。残念ながら，日本語版パッチは公開されていない。それぞれの影響度は，過去のコラムでお知らせしている通りだ。

アプリケーション・ソフトにもぜい弱性が

　Microsoft製以外の，いくつかのWindowsアプリケーション・ソフトにも問題が見つかっている。シャープのノート・パソコン「メビウス」にインストールされているユーティリティ・ソフト「メール着信ランプユーティリティ」には，メールの不正中継に利用されるセキュリティ・ホールが発見された。

　特定の「メビウス」シリーズのパソコンがインターネットに接続されている時に，「メール着信ランプユーティリティ」機能が設定されていると，他の悪意のあるインターネット・ユーザーから，メールの身元を隠す目的に利用されたり，不正中継に利用される可能性がある。

　また，先週お伝えした，日本ネットワークアソシエイツのウイルス対策ソフト「McAfee VirusScan」の，Windowsがフリーズするというトラブルに引き続き，シマンテックの「Norton AntiVirus」でも，パソコンの動作速度が極端に低下する場合があるというトラブルが発生した（[関連記事]）。

　やはり個人ユーザも，的確な情報を素早く入手して，自己防衛することが必要だ。

山下　眞一郎（Shinichiro Yamashita）
株式会社富士通南九州システムエンジニアリング
第二ソリューション事業部システムサービス部プロジェクト課長
yama@bears.ad.jp

　「今週のSecurity Check [Windows編]」は，IT Proセキュリティ・サイトが提供する週刊コラムです。Windows関連のセキュリティに精通し，「Winセキュリティ虎の穴」を運営する山下眞一郎氏に，Windowsセキュリティのニュースや動向を分かりやすく解説していただきます。（IT Pro編集部）