前回のコラムで紹介した「Microsoft TechNet Online」で,セキュリティ関連の有益なドキュメントが公開された。また,新規に公開されたセキュリティ・ホール情報は3件。その中の1つ,多くのOSが攻撃を受ける恐れがある「不完全な TCP/IP パケット」は,Windowsのセキュリティ上の基本的な設定で防げる。

「Microsoft TechNet Online」で
有益なドキュメントが一斉に公開

 マイクロソフトが運営するIT技術者向けの情報提供サイト「Microsoft TechNet(テックネット) Online」がリニューアルされ,2000年11月から正式にアナウンスされたことは,前回のコラムでお知らせした。その後同サイトでは,システムのセキュリティを強化するための有益なドキュメントが,一斉に5種類公開された。

 従来から,Windows NT 4.0およびInternet Information Server (IIS) 4.0が稼働しているサーバーをセキュアにするための推奨設定を記載した「Internet Information Server 4.0 セキュリティ チェックリスト」は公開されていた。今回,そのWindows 2000およびIIS 5.0版である(1)「Internet Information Services 5 セキュリティのチェックリスト」が公開された。

 他には,以下の4種類のリストが公開されている。

(2)Windows NT Server 4.0を「C2レベル」に準拠したシステムにする「Windows NT C2構成のチェックリスト」

(3)Windows NT Workstationが稼働しているPCを,セキュアなシステムにするための「Windows NT 4.0 Workstation 構成チェックリスト」

(4)Windows NT Server 4.0ドメイン コントローラ (DC) をセキュアにするための手順を記載した「Windows NT 4.0 ドメイン コントローラ構成チェックリスト」

(5)メンバ サーバーとして動作しているWindows NTサーバーをセキュアなシステムにする「Windows NT 4.0 メンバ サーバー構成チェックリスト」

 なお,(2)の「C2レベル」とは,National Security Agency(NSA:米国国家安全保障局)が,システムの評価プロセスとして実施するTCSEC(Trusted Computer System Evaluation Criteria,別名『オレンジブック』)の,セキュリティ評価レベルの1つである。

 評価レベルは,高い順に「A」,「B3」,「B2」,「B1」,「C2」,「C1」,「D」がある。以前から「Windows NTのセキュリティはC2レベル」と言われているが,C2レベルを獲得していたのは,実はWindows NT 3.5であり,Windows NT 4.0は長らく獲得していなかった。

 Windows NT 4.0を“C2セキュリティ・レベル”に引き上げるには,まずNT4.0 SP6aを適用する。そして,「TCSEC C2セキュリティ基準の設定で要求される修正」である「C2 Update」の2000年5月9日付けで正式公開された個別モジュールを適用する必要がある。

 詳細については,「C2 Administrator's and User's Security Guide」(ドキュメントは,自己解凍形式で圧縮されているWordファイル)に記載されているが,残念ながら現時点でも日本語化されていない。そのため,今回の「Windows NT C2構成のチェックリスト」を参考に設定を行う必要がある。

 ここで注意したいのは,Windows NT 4.0を“C2セキュリティ・レベル”に設定したからといって,システム全体のセキュリティが保証されるわけではないということだ。あくまでも,C2レベルでの運用が可能という意味にしか過ぎない。「オレンジブック」が作成されたのは,メインフレーム中心の時代の1983年であり,インターネット接続時のセキュリティ等は考慮されていない。セキュリティを考慮しない設定や運用を行う場合には,まったく意味がなくなってしまう。

 ちなみに,Windows 2000とそれ以降のバージョンに関しては,TCSECではなく,「Common Criteria」と呼ぶ新しい国際共通基準で評価されるようである。

 セキュリティ関連ドキュメントの公開以外に,Microsoft TechNet Onlineでは,無料のメール配信サービス「Microsoft TechNet Flash」を開始した。毎月隔週水曜日に,同サイト上の(1)Windows関連製品に関する技術情報,(2)活用情報の最新コンテンツの案内や(3)各種イベント/セミナー情報等をメール配信する。メールで情報をチェックしたいユーザーは申し込んでおこう。

新規のセキュリティ・ホール情報は3件

 次に,上記以外の,最近のWindows関連のセキュリティ・トピックス(12月2日時点)を整理する。

 「Microsoft Security Bulletin」にて,(1)Internet Explorer(IE) 5.xが影響を受ける「"Browser Print Template" and "File Upload via Form"」問題が公開された。

 (i)悪意があるWebサイト管理者に,そのサイトを訪れたユーザーのパソコン上の,ファイルの削除や変更などをされる恐れがある「Browser Print Template」,(ii)そのサイトを訪れたユーザーのパソコン上のファイルを読まれるという「File Upload via Form」,(iii)同じく,ユーザーのファイルを読まれる可能性がある(MS00-055)「Scriptlet Rendering」の派生版,(iv)(MS00-033)「Frame Domain Verification」の派生版,以上4種類のセキュリティ・ホールが対象である。

 (i)の「Browser Print Template」はIE 5.5のみが対象で,その他はIE 5.0から5.5が対象である。英語版用のパッチはリリースされたが日本語版はまだである。

 IE 5.5の場合,今回のパッチは,11月上旬に公開された日本語版用IE 5.5 SP1に含まれるという。そのため,SP1を適用したIE 5.5を使用するのもよいだろう。

 そして,(2)SQL Server 7.0,SQL Server 2000,MSDE 1.0,MSDE 2000が影響を受ける「Extended Stored Procedure Parameter Parsing」問題が公開された。「Extended Stored Procedures (XPs)」というDLLに,バッファ・オーバーフローを起こすぜい弱性があり,悪意のあるユーザーに任意のコードをサーバー上で実行される恐れがある。

 英語版用のパッチはリリースされたが日本語版はまだである。「Extended Stored Procedures (XPs)」は,SQL Server administratorがサーバーの機能を拡張するためのDLLである。デフォルトではインストールされていないようなので,このDLLが組み込まれているかを確認しよう。

 「マイクロソフト セキュリティ情報」では,(3)Windows NT 4.0,Windows 95/98/98 Second Edition/Meが影響を受ける「不完全な TCP/IP パケット」のぜい弱性に対する対策が公開された。悪意のあるユーザーから,ターゲットとされたマシンのネットワーク・サービスの提供を一時的に妨げられたり,応答を完全に停止させられたりという,いわゆる「DoS(Denial of Service)アタック」を受ける可能性がある。Windows 2000は影響を受けない。英語版Windows NT 4.0用パッチと,Windows 95/98/98 Second Edition/Me用の対処策はリリースされたが,日本語版Windows NT 4.0用パッチはまだである([関連記事])。

 しかし,レポートにも記載されている通り,TCP ポート139 が開かれている場合にだけ,このセキュリティ・ホールによる影響が発生する。サーバー・サービス,ファイルや印刷の共有が無効となっている場合は,影響はないようだ。通常,TCPポート139(念のために,ポート番号135,137,138,139,445はTCPもUDPも全部)は,外部から遮断するということがWindowsセキュリティ上のセオリーであるため,今回のセキュリティ・ホールでは外部から影響を受けるケースは少ないであろう。

日本語版レポート新規1件,アップデートが1件

 1件の「Microsoft Security Bulletin」のレポートが,日本語化され,公開された。「.ASX バッファ オーバーラン」と「.WMS スクリプト実行」のぜい弱性に対する対策の情報だ。残念ながら,日本語版パッチは公開されていない。影響度と回避方法は,前回のコラムでお知らせしている通りだ。

 また,「セッション ID クッキーのマーキング」のぜい弱性に対する対策がアップデートされた。前回のコラムでお知らせした「Microsoft Security Bulletin」の「Patch Available for "Session ID Cookie Marking" Vulnerability」が,11月20日にアップデートされたことに連動して,この日本語版IIS 5.0用パッチにも修正が加えられ,再リリースされている。

定番のパーソナル・ファイアウオールが大幅値下げ

 パーソナル・ファイアウオール・ソフト「WinWrapper(ウィンラッパー)」が,市場の拡大に対応して,12月8日より大幅に値下げされる。同ソフトは,(1)ファイアウオール,(2)Webフィルタリング,(3)ステルス化,(4)ネットワーク・バンダル・プロテクションなどの機能を持つ。

 個人であっても,フレッツ・ISDN等の常時接続環境では,パーソナル・ファイアウオールは,もはや必須(ひっす)である。その他にも「BlackICE defender」等の,様々な製品が存在する。製品によって備える機能が異なるので,自分の使用環境に合ったパーソナル・ファイアウオールを選択し,ぜひ導入しておこう([関連記事])。

TechNet Online 目的別インデックス(セキュリティ情報)

 ■Internet Information Services 5 セキュリティのチェックリスト(日本語解説公開:2000年11月28日)

 ■Windows NT C2 構成のチェックリスト(日本語解説公開:2000年11月28日)

 ■Windows NT 4.0 Workstation 構成チェックリスト(日本語解説公開:2000年11月28日)

 ■Windows NT 4.0 ドメイン コントローラ構成チェックリスト(日本語解説公開:2000年11月28日)

 ■Windows NT 4.0 メンバ サーバー構成チェックリスト(日本語解説公開:2000年11月28日)

 ■Microsoft TechNet Flashニュースレター配信サービスのご案内

Microsoft Security Bulletin (英語情報)

 ■(MS00-093) Patch Available for "Browser Print Template" and "File Upload via Form" Vulnerabilities  (December 01, 2000)

 ■(MS00-092) Patch Available for "Extended Stored Procedure Parameter Parsing" Vulnerability  (December 01, 2000)

マイクロソフト セキュリティ情報

 ■(MS00-091) 「不完全な TCP/IP パケット」のぜい弱性に対する対策(日本語解説公開:2000年12月1日)

 ■(MS00-090) 「.ASX バッファ オーバーラン」と「.WMS スクリプト実行」のぜい弱性に対する対策(日本語解説公開:2000年11月27日)

 ■(MS00-080) 「セッション ID クッキーのマーキング」のぜい弱性に対する対策(日本語版IIS 5.0用パッチ再リリース:2000年11月28日)

アスキーNT

 ■パーソナル・ファイアウオール『WinWrapper 1.0.3』新価格のお知らせ(2000年11月30日)

山下 眞一郎(Shinichiro Yamashita)
株式会社 富士通南九州システムエンジニアリング
第二ソリューション事業部システムサービス部 プロジェクト課長
yama@bears.ad.jp

 「今週のSecurity Check [Windows編]」は,IT Proセキュリティ・サイトが提供する週刊コラムです。Windows関連のセキュリティに精通し,「Winセキュリティ虎の穴」を運営する山下眞一郎氏に,Windowsセキュリティのニュースや動向を分かりやすく解説していただきます。(IT Pro編集部)