2001年1月26日までに公開された新規のセキュリティ・ホールは2件。そのうち,Microsoft PowerPoint 2000が影響を受けるセキュリティ・ホールは要注意である。PowerPointファイルを開くだけで,被害を受ける恐れがある。TechNet Onlineでは,セキュリティ関連ドキュメントが4件公開された。セキュリティ関連の用語集をはじめとして,いずれも有用なので,ぜひ一読することをお勧めする。また,1月24日には,Microsoftの主要サイトへアクセスできなくなるという事故が発生した。同様の事故を起こさないための教訓にしたいものだ。

バッファ・オーバーフローを利用して,任意のコードを実行

 Microsoft PowerPoint 2000が影響を受ける「『PowerPointのファイル解析』のぜい弱性に対する対策」が,2001年1月23日に公開された。このセキュリティ・ホールを突くと,ファイルを開いたときにバッファ・オーバーフローを引き起こして,任意のコードを実行するようなPowerPointファイルを作成することができる。そのようなPowerPointファイルをユーザーが開いてしまうと,ユーザー・マシン内のデータを削除されたり,トロイの木馬を仕込まれるなどの被害を受ける恐れがある。

 このセキュリティ・ホールを悪用したPowerPointファイルは,ユーザーがWebサイトからダウンロードする場合と,電子メールの添付ファイルとして受け取る場合が想定される。いずれの場合も,ファイルが自動的に開くことはなく,ユーザーが自分でそれを開いた場合にのみ,影響を受ける。

 PowerPointファイルに仕込まれたコードは,ファイルを開いたユーザーが,そのマシン上で可能な操作のすべてを行える。つまり,データの追加や変更,削除,あるいはリモート・サーバーとの通信などが可能となる。そのため,非常に影響度は大きい。さらに,従来,PowerPointファイルについては,「マクロ・ウイルスにだけ注意していれば安心」というのが一般の常識であった。今回のセキュリティ・ホールは,その常識を破る点でも深刻である。

 既に,日本語版にも適用可能なパッチが,日本語レポートと同時に公開されているので,PowerPoint 2000ユーザーはすぐに適用しよう。

 ただし,2001年1月23日に公開された日本語レポートは,1月26日に早速更新されているので注意しなくてはならない。追記された内容は,「1月26日以前に『PowerPoint 2000 SR-1 Security Update: Parsing Vulnerability』を適用した場合には,現在公開されているパッチをダウンロードし,再適用する必要がある」というものだ。対応済みのつもりでも,適用しているのが「Microsoft PowerPoint 2000 SR-1 (9.0.4910)」 よりも古いのバージョンであれば,再適用する必要があるので注意しよう。

「マイクロソフト セキュリティ情報」では新規のセキュリティ・ホール情報

 次に,Windows関連のセキュリティ・トピックス(2001年1月26日時点分)を整理する。「マイクロソフト セキュリティ情報」では,上記以外のセキュリティ・ホール情報が1件公開された。

 Microsoft Windows NT 4.0および Microsoft Windows NT 4.0, Terminal Server Edition が影響を受ける「『Winsock Mutex』のぜい弱性に対する対策」だ。これは,悪意のあるユーザーが,特別なプログラムを「mutex」に対して実行し,ターゲットとしたコンピュータのネットワーク機能を無効にする可能性があるというものだ。mutexとは,リソースへのアクセスを制御する同期オブジェクトである。英語版パッチは公開されたが,日本語版パッチは公開されていない。

 ただし,このセキュリティ・ホールを悪用した攻撃を行うには,ターゲットのマシンに対話的ログオンをする必要があり,リモートからでは攻撃できない。そのため,実質的な影響は小さいであろう。

セキュリティ情報では新規の日本語版パッチが2件, ダウンロード センターでは1件

 「マイクロソフト セキュリティ情報」では,レポートが更新され,2件の日本語版パッチが公開された。(1)「『NetBIOS Name Server Protocol Spoofing』のぜい弱性に対する対策」と,(2)「『リモート レジストリ アクセス認証』のぜい弱性に対する対策」に関するWindows NT 4.0用日本語版パッチである。この2件については,前回のコラムでお知らせ済みである。

 「Microsoft ダウンロード センター」では,「マイクロソフト セキュリティ情報」ではアナウンスされていない,セキュリティ関連のパッチ情報が1件公開されている。

 Windows 2000用の日本語版パッチで,前回お知らせした「『WebクライアントのNTLM 認証』のぜい弱性に対する対策」に関するものだ。このパッチが必要なケースはそれほど多くないと思われるので,必要に応じて適用すればよいだろう。

ノーツ クライアント関連情報が1件

 ロータスからは,ノーツ クライアント R5 がインストールされたパソコンが影響を受ける「ノーツ クライアント R5におけるファイル存在性確認のぜい弱性」が公開された。

 ファイルを読み取られたり,変更されたりする恐れはないものの,このセキュリティ・ホールを悪用すれば,ローカル・ファイル・システムに,指定したファイルが存在するかどうかを調べるJavaアプレットを作成できる。

 しかし,デフォルト設定では影響を受けないので,それほど深刻ではないと考えられる。ノーツ クライアント R5のブラウザ オプションをデフォルトの「Notes with Internet Explorer」から「ノーツ」に変更して,ユーザープリファレンスで「Java アプレットを有効にする」としている場合にのみ影響を受ける。

セキュリティ関連ドキュメント4件

 マイクロソフトのTechNet Onlineでは,有用なセキュリティ関連のドキュメントが,4件立て続けに公開された。

 (1)「マイクロソフト セキュリティ情報:用語集」は,「マイクロソフト セキュリティ情報」のドキュメントでよく使用されている「バッファのオーバーラン攻撃 (Buffer Overrun)」や「サービス拒否 (Denial of Service)」など,計16のセキュリティ関連用語を簡単に解説している。今回のコラムで使用している「対話的ログオン」という単語も,「ネットワークログオンとは異なり,(接続されたキーボードを使ってパスワード等を入力し)ローカルコンピュータにログオンすることを指します」と,分かりやすく説明している。見慣れた単語でも,知識を整理するために,一読することをお勧めする。

 (2)「Windows 2000 リソースキットツール オンラインヘルプ 日本語版」は,Microsoft Press刊行の解説書「Windows 2000 リソースキット」の付属CD-ROMに収録されている,200以上のソフトウエア・ツールに関する情報である。付属CD-ROM からインストールされる英語版ヘルプ・ファイルを日本語に翻訳したものが,今回の「オンラインヘルプ 日本語版」だ。

 (3)「Windows 2000 サポートツール オンラインヘルプ 日本語版」は,Windows 2000 CD-ROM からインストールする「セキュリティ管理ツール」や「Active Directory 管理ツール」等のサポート・ツール群に関する情報である。Windows 2000 CD-ROMに含まれる,英語版ヘルプ・ファイルを翻訳したものだ。

 最後の(4)「ISA Server 2000 テクニカルガイド 管理者編/ 開発者編」は,2001年2月16日に発売される「Microsoft Internet Security and Acceleration Server 2000(ISA Server 2000)日本語版」のドキュメントだ。ISA Server 2000は,ファイアウオール機能とWebキャッシュ・サーバーの機能を併せ持った製品である。テクニカル・ガイドは,管理者編と開発者編に分かれている。

 管理者編では,ISA Server 2000のアーキテクチャと基本機能の紹介,構成方法のポイントが解説してある。開発者編では,サンプル・コードで,管理ツールの拡張方法や各種フィルタの実装方法を解説している。特に管理者編は,(i)「ISA Serverの主な機能」,(ii)「ファイアウオール機能」,(iii)「侵入検知機能」,(iv)「ISA Serverの連携」,(v)「VPNの構築」,(vi)「Proxy Serverからの移行」など,役に立つ6項目が網羅されているので,内容をチェックしておこう。

 なお,ISA Server 2000関連の話題では,インターネット・ゲートウエイでのウイルス対策製品である,トレンドマイクロの「InterScan VirusWall」がISA Server 2000への対応を発表した。こうしたゲートウエイ用ウイルス対策製品は,HTTPやFTPの転送ファイルと,電子メールの添付ファイルをリアルタイムに検索して,ウイルスの社内流入と社外への流出を防ぐことが可能である。最近,特に重要度が高まっている分野の製品の1つであるため,今回のような素早い対応には歓迎したい。

MSのトラブルを教訓に

 最後に,1月24日以降にMicrosoftで起きたトラブルを紹介して,今回のコラムを締めくくろう。読者に直接関係するセキュリティ・トピックスではないが,教訓にはなるだろう。

 1月24日午前11時30分頃から25日午前10時(日本時間)の22時間半にわたって,Microsoftの主要サイトへのアクセスが遮断されるという事故が発生した。ネットワークの変更作業の際に生じた,ルーターの設定ミスが原因である。

 そして,その影響を大きくしたのは,安直なネットワーク構成であった。Microsoftの主なDNSサーバーが,1台のルーターに接続され,同一のネットワーク・セグメントに存在していた。そのため,そのルーターの不具合が,すべてのDNSサーバーへ影響を与えた。さらに,こうした安直なネットワーク構成が判明すると,クラッカによる攻撃を続々と誘発しがちである。

 このような場合には,小手先の対応ではなく,ネットワーク構成の大幅な変更を伴う抜本的な対応をとらなければ,トラブルをいつまでも引きずることになる。あなたが管理するネットワークは大丈夫だろうか。今回のMicrosoftのトラブルを教訓として,ネットワーク見直しの契機としたい。


 ■(MS01-002)「PowerPoint のファイル解析」 のぜい弱性に対する対策(日本語版パッチ再公開:2001年1月26日)

マイクロソフト セキュリティ情報

 ■(MS01-003)「Winsock Mutex」のぜい弱性に対する対策(日本語解説公開:2001年1月25日)

 ■(MS00-047)「NetBIOS Name Server Protocol Spoofing」のぜい弱性に対する対策(Windows NT 4.0日本語版パッチ公開:2001年1月22日)

 ■(MS00-040)「リモート レジストリ アクセス認証」のぜい弱性に対する対策(Windows NT 4.0日本語版パッチ公開:2001年1月25日)

Microsoft ダウンロード センター

 ■(MS01-001)「Web クライアントのNTLM 認証」のぜい弱性に対する対策
 □Windows 2000用の日本語版パッチ(2001年1月16日)

ロータス

 ■ノーツ クライアント R5におけるファイル存在性確認のぜい弱性(2001年1月24日)

TechNet Online 目的別インデックス(セキュリティ情報)

 ■マイクロソフト セキュリティ情報:用語集

 ■Windows 2000 リソースキットツール オンラインヘルプ 日本語版

 ■Windows 2000 サポートツール オンラインヘルプ 日本語版

 ■ISA Server 2000 テクニカルガイド 管理者編/開発者編



 ■Microsoft Internet Security and Acceleration Server 2000日本語版,2001年2月16日(金)より発売開始 (2001年1月24日)

 ■トレンドマイクロ,マイクロソフト社「ISA Server 2000」に対応 (2001年1月24日)

 ■おわびとご報告 マイクロソフト関連サイトにおけるWeb サービストラブルに関して(2001年1月25日)

山下 眞一郎(Shinichiro Yamashita)
株式会社 富士通南九州システムエンジニアリング
第二ソリューション事業部システムサービス部 プロジェクト課長
yama@bears.ad.jp

 「今週のSecurity Check [Windows編]」は,IT Proセキュリティ・サイトが提供する週刊コラムです。Windows関連のセキュリティに精通し,「Winセキュリティ虎の穴」を運営する山下眞一郎氏に,Windowsセキュリティのニュースや動向を分かりやすく解説していただきます。(IT Pro編集部)