改善してほしい，情報提供のタイムラグ

IISの深刻なセキュリティ・ホールに追加情報

山下眞一郎

2000.11.22

　IIS の深刻なセキュリティ・ホール「Web サーバーによるファイル要求の解析」に関して，前回のコラムで個別にフォローした重要な情報が，「Microsoft Security Bulletin」にも追加された。しかしながら，日本語情報の「マイクロソフトセキュリティ情報」では，11月21日朝の時点で，誤った情報のままだ。今回のように重要な情報については，速やかに対応してほしいものだ。

やはり追加された，IISのセキュリティ・ホール情報

　深刻なセキュリティ・ホールである「(MS00-086) Patch Available for "Web Server File Request Parsing" Vulnerability」のレポートに，新たな注意点が加えられ，初公開から4日後の11月10日にアップデートされた。

　Windows 2000上で稼働するInternet Information Services 5.0（IIS 5.0）だけが，このセキュリティ・ホールの影響を受けるとしていた情報に，「このぜい弱性は，IIS 4.0システムに影響を与える可能性がある。しかし，影響を受けるのは，古いサービスパックだけである（原文は英語）」という情報を追加した。最新のサービスパックであるSP6aを適用していれば，影響を受けないという。

　この情報は，最初に公開された「Microsoft Security Bulletin」のレポートでは漏れていたが，セキュリティ・ホールを発見した団体である「NSFocus」のレポート「Microsoft IIS 4.0/5.0 CGI File Name Inspection Vulnerability」には記載されていた。そのため，この「今週のSecurity Check [Windows編]」では，既にフォロー済みである。

　しかし，「(MS00-086) Patch Available for "Web Server File Request Parsing" Vulnerability」の日本語版である，「マイクロソフトセキュリティ情報」の『「Web サーバーによるファイル要求の解析」のぜい弱性に対する対策』では，英語レポートのアップデートの1週間後である11月17日時点でも「注 : IIS 4.0 を使用している場合，このぜい弱性による攻撃を受けることはありません」という，誤った古い情報のままである。

追加情報にタイムラグ

　私は，このセキュリティ・ホール情報が初めて公開されたときの，迅速な日本語対応を高く評価している。11月6日に「Microsoft Security Bulletin」で英語のレポートが公開されると同時に，日本語版パッチが公開され，2日後の11月8日には，日本語化されたレポートが公開された。

　ところが，更新情報については，対応が非常に遅く，いささか失望している。通常，こうした追加情報があった場合に発行される「Re-Release of Microsoft Security Bulletin」のメールが，今回はなぜかMicrosoftから発行されていないため，日本側では気付きにくいという事情はあるだろう。しかし，最初の公開時には，速やかに対応できたのだから，ぜひもっと連携を強めて，今回のようなタイムラグをなくしてほしい。

新規のセキュリティ・ホール情報は1件

　次に，上記以外の，最近のWindows関連のセキュリティ・トピックス（11月17日時点）を整理する。

　「Microsoft Security Bulletin」にて，Microsoft Exchange 2000 Server とExchange 2000 Enterprise Serverが影響を受ける「Exchange User Account」問題が公開された。認証されていないユーザーからリモートで，Exchange 2000が稼働しているサーバーや，他のネットワーク・リソースにログインされる可能性があるというものだ。

　特定の初期出荷版のExchange 2000は，セットアップ時に「EUSR_EXSTOREEVENT」というアカウントを作成する。そのため，悪意のあるユーザーが，このアカウントを使用すれば，不正にログインできてしまう。通常，このアカウントはローカル・ユーザー権限しか持たないため，Exchange 2000のデータにはアクセスできない。しかし，ドメイン・コントローラに Exchange 2000 がインストールされている場合には，そのアカウントはドメイン・ユーザー権限を持ってしまうので，そのドメインの他のリソースへアクセスすることが可能となる。

　英語版用の対策ツールはリリースされたが，日本語版はまだである。日本語版のExchange 2000に同じセキュリティ・ホールが存在するのかどうかは，現時点では不明だが，存在する場合には，「EUSR_EXSTOREEVENT」というアカウントを削除するか，パスワードを変更することで回避できる。

日本語版レポート1件とアナウンスされていないパッチは1件，
注目したいマイクロソフトサポート技術情報は2件

　「Microsoft Security Bulletin」のレポートが，1件日本語化され，公開された。「ターミナルサーバーへのログオンで発生するバッファオーバーフロー」のぜい弱性に対する対策の情報だ。残念ながら，日本語版パッチは公開されていない。影響度と回避方法は，過去のコラムでお知らせしている通りだ。

　「Microsoft ダウンロードセンター」では，「マイクロソフトセキュリティ情報」でアナウンスされていないパッチが1件公開された。「(MS00-085)『ActiveX におけるパラメータ照合』のぜい弱性に対する対策」のWindows 2000用パッチである。正式にはアナウンスされていないため，自己判断および自己責任で，検討あるいは適用してほしい。

　また，「マイクロソフトサポート技術情報」では，ぜひ注目しておきたい情報が2件公開された。（1）「[NT]SP1 のアンインストール後に高度暗号化パック (128 bit) が削除される」と，（2）「[SQL]INF: ファイアウォールを介したレプリケーション設定」情報だ。

　（1）は，高度暗号化パック (128 ビット)を組み込んだパソコンで，Windows 2000 Service Pack 1をアンインストールした場合，高度暗号化パックが削除され，56 ビット版にダウングレードしてしまうという問題の解説である。（2）は，SQL Serverでファイアウオール越えでのレプリケーションを可能にする設定の解説だ。有益な情報なので，ユーザーはチェックしておこう。

クリスマス・シーズンを控え，コンピュータ・ウイルスが活発化

　今週は，電子メールを使って感染を広げるコンピュータ・ウイルスである「W32/Navidad」と「W32/MTX」の被害が急増する動きが見られた。IPA（情報処理振興事業協会）セキュリティセンターも，警告を発している（[関連記事]）。

　また，クリスマス・シーズンが目前のためか，新たなコンピュータ・ウイルスが次々と登場する気配も見え始めている（[関連記事]）。毎年クリスマス近くになると，決まって新種のコンピュータ・ウイルスが登場する。ウイルス対策ソフトを，最新のデータ・ファイルとともに使用することはもちろん，安易に添付ファイルを開かないなど，細心の注意を払う必要がある。新たなコンピュータ・ウイルスは，最新のデータ・ファイルでも検知できない恐れがあるからだ。

山下　眞一郎（Shinichiro Yamashita）
株式会社富士通南九州システムエンジニアリング
第二ソリューション事業部システムサービス部プロジェクト課長
yama@bears.ad.jp

　「今週のSecurity Check [Windows編]」は，IT Proセキュリティ・サイトが提供する週刊コラムです。Windows関連のセキュリティに精通し，「Winセキュリティ虎の穴」を運営する山下眞一郎氏に，Windowsセキュリティのニュースや動向を分かりやすく解説していただきます。（IT Pro編集部）