【解説】IISの日本語版対応パッチがようやく公開

山下眞一郎

2001.01.10

　IIS（Internet Information Server/Services）の深刻なセキュリティ・ホールに関して，年越しとなっていた日本語版対応パッチが，英語版に1カ月以上遅れてようやく公開された。また，新規のセキュリティ・ホール情報が4件公開され，2000年中に公開された「マイクロソフトセキュリティ情報」は3けたの大台を突破した。

英語版に1カ月以上遅れて，日本語版対応パッチが公開

　Windows 2000のIIS 5.0と，Windows NT 4.0のIIS 4.0が影響を受ける，「（MS00-086）『Web サーバーによるファイル要求の解析』のぜい弱性に対する対策」の最終的なIIS 5.0日本語版対応パッチが，2000年1月5日にようやく公開された（[関連情報]）。『Web サーバーによるファイル要求の解析』のぜい弱性とは，悪意のあるユーザーからの特定のURLリクエストにより，狙われたWebサーバー上で，オペレーティング・システムのコマンドを実行される可能性があるという，深刻なセキュリティ・ホールである

　前回の「今週のSecurity Check [Windows編]」でお知らせした通り，2000年11月30日に，英語版用のパッチは公開されていたので，日本語版パッチは実に1カ月以上遅れたことになる。

　IIS 5.0のシステム管理者は，すぐにこのパッチを適用しよう。パッチの適用に際しては，Service Pack 1適用後にパッチを適用することをお勧めする。また，2000年11月6日に公開された古い日本語版パッチを適用している場合は，そのまま今回のパッチを適用してもよさそうだ。なお，このパッチには「（MS00-078）『Webサーバーフォルダへの侵入』のぜい弱性に対する対策」に対する修正も含まれる。

　一方，Windows NT 4.0のIIS 4.0に関しては，2000年11月21日に公開された英語版用パッチに対応する日本語版パッチはまだ公開されていない。しかし，99年末から2000年初頭に発生したような，年末年始の大規模なアタックを警戒してか，急きょ，日本のマイクロソフトの独自情報として，パッチ未適用の場合の回避方法が，2000年12月28日に公開されている。この回避方法は，2000年11月29日から「今週のSecurity Check [Windows編]」で数回にわたってお知らせしていた方法と同じである。

　ただし，「Microsoft ダウンロードセンター」では，「Windows NT 4.0 IIS4 Security Patch: Web Server File Request Parsing Vulnerability」という名称で，Windows NT 4.0のIIS 4.0日本語版対応パッチが，2000年12月29日に公開されている。正式にはアナウンスされていないため，自己判断および自己責任で，検討あるいは適用する必要がある。なお，この日本語版対応パッチは，Windows NT 4.0 Service Pack 6aがあらかじめ適用されているシステムに適用する必要がある。

（IT Pro編注：1月9日，マイクロソフトは，Windows NT 4.0のIIS 4.0日本語版対応パッチを正式アナウンスした。パッチを公開しているページのURLは，2000年12月29日に公開されたものと同じである）

新規のセキュリティ・ホール情報は4件，
中にはパッチ公開の予定がないものも

　次に，上記以外の，Windows関連のセキュリティ・トピックス（2000年12月9日以降，2001年1月5日時点分）を整理する。

　特筆すべきことは，2000年中に公開された「マイクロソフトセキュリティ情報」の通し番号が，「『無効なWeb フォームの提出』のぜい弱性に対する対策」で“MS00-100”と初めて3けたに達したことだ。1999年の20件，1999年の61件と比較すると，大幅に増えている。これは，Windowsのセキュリティに関するクォリティが年々悪化しているというわけではなく，セキュリティの研究やアタックの対象として良くも悪くもWindowsが認められ，もまれてきた証拠であると考えるべきであろう。

　まず，「マイクロソフトセキュリティ情報」にて，「FrontPage Server Extensions（FPSE）」が影響を受ける（1）「『無効なWeb フォームの提出』のぜい弱性に対する対策」が公開された。FPSEは，IIS 4.0と5.0 の一部として出荷され，デフォルトでインストールされる。このぜい弱性は，悪意のあるユーザーが特別な不正のフォームを攻撃対象のサーバーに提出すると，IISのサービスが異常終了する可能性があるというものだ。IIS 5.0用日本語版パッチは公開されたが，IIS 4.0用の日本語版パッチは公開されていない。

　ただし，FPSE機能を無効にすれば，回避可能である。FPSE機能は過去にも複数のセキュリティ・バグが発生しているため，便利な機能ではあるが無効にしておくことをお勧めしたい。

　次に，Windows 2000 ドメインコントローラが影響を受ける（2）「『ディレクトリサービス復元モードのパスワード』のぜい弱性に対する対策」が公開された。ドメインコントローラに物理的にアクセス可能な悪意のあるユーザーが，悪質なソフトウエアをインストールできる可能性があるというものだ。残念ながら，日本語版パッチは公開されていない。

　しかし，レポートにも記載されている通り，悪意のあるユーザーがマシンに物理的にアクセスできることが前提条件であり，また，セキュリティを重視するシステム構成ではドメインコントローラを使用しないのがセオリーであるため，影響を受けるケースは少ないであろう。

　そして，Windows NT 4.0 Option Packの一部として出荷されているIndex Server 2.0と，Windows 2000の機能の一部として出荷されているIndexing Service 3.0が影響を受ける（3）「『インデックスサービスファイル列挙』のぜい弱性に対する対策」が公開された。インデックスサービス（Index Server/Service）が動作するマシンでWebサイトを閲覧すると，そのWebサイト運営者に，マシン内のファイルやフォルダの名前とプロパティを知られる可能性がある。

　このセキュリティ・ホールは，インデックスサービスの一部として出荷されている，あるActiveXコントロールが原因である。このActiveXコントロールは，マシン内のファイル名などを列挙する機能がある。そして，このActiveXコントロールは「スクリプトを実行しても安全」と間違ってマークされているため，アクセスしたWebサイトから呼び出され，実行される可能性がある。Windows 2000のIndexing Service 3.0用日本語版パッチは公開されたが，残念ながら，Windows NT 4.0 Option Pack のIndex Server 2.0用のパッチは公開されていない。

　しかし，Windows 2000シリーズのIndexing Serviceは，デフォルトでは起動されない。また，Windows NT 4.0 Option Packを適用したIndex Server 2.0用のサーバー・マシンでは，Webサイトの閲覧を行わないのがセキュリティ上のセオリーである。以上のことから，影響を受けるケースは少ないと考えられる。

　なお，Windows NT 4.0 Option Packに含まれるIndex Server 2.0用パッチは，日本語版はおろか英語版も含め，今後も提供されないことが明記されている。注意が必要だ。米Microsoftは理由として，「Windows 2000シリーズすべてが影響を受けるIndexing Service 3.0とは異なり，Index Server 2.0はWindows NT 4.0 Option Packを適用し，Index Server 2.0用が稼働するサーバー・マシンのみが対象である。そのサーバー・マシンで信頼できないWebサイトのブラウジングを行うのは，安全なコンピュータ運用の慣習とは明確に異なる行為であるため，パッチは必要ない」という趣旨の説明を「Microsoft Security Bulletin」のFAQで行っている。私自身，Microsoftの考えは理解はできるが，賛同はできない。ぜひ，すべてのプラットフォームに対するパッチのリリースを再考して頂きたい。

　最後に，Windows Media Services 4.0と4.1が影響を受ける（4）「『Windows Mediaサーバーに対する接続の切断』のぜい弱性を解決する修正プログラム」が公開された。これは，悪意のあるユーザーが，Windows Mediaサーバーのパフォーマンスを，ストリーミングメディアサービスが提供できなくなるほどまでに低下させることができる可能性があるというものだ。サーバー管理者は，Windows Media のサービスを再起動することによって，サービスを復旧できる。日本語版パッチが公開されているため，適用すれば対応可能である。

新規の日本語版パッチは2件，
正式アナウンス前のパッチ情報は1件

　「Microsoft Security Bulletin」のレポートがアップデートされ，2件の日本語版パッチが公開された。（1）「『電話帳サービスバッファオーバーフロー』のぜい弱性に対する対策」と（2）「『ドメインアカウントロックアウト』のぜい弱性に対する対策」に関するWindows 2000用パッチである。

　「『電話帳サービスバッファオーバーフロー』のぜい弱性に対する対策」は，Windows 2000とWindows NT 4.0の双方が対象であるものの，Windows NT 4.0用日本語版パッチは公開されていない。引き続き注意が必要だ。

　そして，「Microsoft ダウンロードセンター」では正式アナウンス前のセキュリティ関連のパッチ情報が1件公開されている。「『印刷テンプレート』と『フォームによるファイルアップロード』のぜい弱性に対する対策」に関するものであり，対象となるInternet Explorer（IE） 5.01 Service Pack 1，IE 5.5， IE 5.5 Service Pack 1用の日本語版パッチが公開されている。これらは，正式にはアナウンスされていないため，自己判断および自己責任で，検討あるいは適用する必要がある。

注目すべきサポート技術情報と，
TechNet Online - Securityでの公開ドキュメントが6件

　「サポート技術情報」と，「TechNet Online - Security」では，ぜひ注目しておきたいドキュメントが6件公開された。

　ARP，PING，FTP，NETSTAT，およびNBTSTATユーティリティ等を使用して，Windows NTにおけるTCP/IPネットワーキングの問題の原因を突き止めるための（1）「Windows NT との TCP/IP 接続のトラブルシューティング」や，（2）「NTFS セキュリティ : Web サイトにおける NTFS の標準権限の実装」の第1部および（3）第2部，（4）「IIS　Web サーバー容量プランニング」，（5）「IIS　Web サイトのハードウェアパフォーマンスの測定」，（6）「パフォーマンスカウンタクイックガイド」である。

　特に「NTFS セキュリティ : Web サイトにおける NTFS の標準権限の実装」はためになる。ぜひチェックしておこう。

　■(MS00-086) 「Web サーバーによるファイル要求の解析」のぜい弱性に対する対策（日本語版パッチ公開：2001年1月5日）

　□Windows NT 4.0用の正式にはアナウンスされていないパッチ（2000年12月29日）[IT Pro編注：2001年1月9日に正式アナウンスされた]

山下　眞一郎（Shinichiro Yamashita）
株式会社富士通南九州システムエンジニアリング
第二ソリューション事業部システムサービス部プロジェクト課長
yama@bears.ad.jp

　「今週のSecurity Check [Windows編]」は，IT Proセキュリティ・サイトが提供する週刊コラムです。Windows関連のセキュリティに精通し，「Winセキュリティ虎の穴」を運営する山下眞一郎氏に，Windowsセキュリティのニュースや動向を分かりやすく解説していただきます。（IT Pro編集部）