「日本サイトへの集中的なアタック」に，マイクロソフトも対応へ

IISの防御ドキュメントとFAQを公開し，情報センターを開設

山下眞一郎

2001.03.07

　2001年2月から始まった，日本のWebサイトへの集中的なアタックに，マイクロソフトも対応に動いた。IIS（Internet Information Server/Services）の防御ドキュメントと，そのFAQの公開である。併せて，無償サポート窓口を用意し，電話での質問を受け付け始めた。積極的に活用して，クラッキングからIISを防御しよう。

「分かりやすいドキュメント」と「電話によるサポート」でユーザーを支援

　大規模なWebサーバーに対するクラッキング発生に伴い，マイクロソフトから，2001年2月27日，IISをアタックから守るためのドキュメントが公開された。「Internet Information Server をご利用いただいているお客様へ　Web コンテンツの改ざんに対する防御策についての説明」という表題で，既に公開している「IIS向けのセキュリティ・チェックリスト」から，重要な項目を抜粋して再構成した内容となっている。

　「Webコンテンツの改ざんに対する防御策についての説明」では，IIS 5.0とIIS 4.0との場合に分けて，対策を説明している。さらに「Step 1」から「Step 5」まで，段階別に作業項目を分けている。そのため，非常に分かりやすい。IIS防御に，最低限必要な設定を示したドキュメントとしては，最高の内容といえよう。また，そのFAQである「Web コンテンツの改ざんに対する防御策についての説明よくある質問とその回答」も充実している。ぜひ参考にして，アタックに備えてほしい。

　なお，前回の「今週のSecurity Check」でも，Windowsサーバーの防御策をまとめている。そちらも併せて参考にしてほしい。

　上記ドキュメントの公開に加えて，無償サポート窓口である「マイクロソフト IIS セキュリティ情報センター」を開設した。電話による質問対応や，技術的な情報の提供が目的である。

　今回のマイクロソフトの対応は，ドキュメントを公開するだけではなく，それをサポートする窓口も並行して設置するという，万全のものだ。ユーザーは積極的に活用しよう。

新規のセキュリティ・ホール情報は2件

　次に，上記以外の，Windows関連のセキュリティ・トピックス（2001年3月2日時点分）を整理する。「マイクロソフトセキュリティ情報」では，新規のセキュリティ・ホール情報が2件公開された。

　まず，IIS 5.0またはExchange 2000が影響を受ける（1）「不正な URL により IIS 5.0 および Exchange 2000 のサービスにエラーが発生する」が公開された。特定のURLが，繰り返しIIS 5.0のWebサイトに送信された場合，メモリ割り当てエラーが発生して，DoS攻撃が成立する可能性がある。特定のURLに対する，IIS 5.0の処理方法に，不具合があることが原因である。英語版パッチは公開されたが，残念ながら，日本語版パッチは公開されていない。

　Exchange 2000にも同様の不具合があり，このセキュリティ・ホールの影響を受ける。しかしながら，Webベースのメール・クライアントが，Exchangeを使用することを妨害される可能性はあるものの，Outlookのような，MAPIベースのメール・クライアントがExchangeを使用できなくなるようなことはない。そのため，IISの場合に比べれば，影響は比較的小さいと考えられる。

　また，IISおよびExchangeいずれの場合でも，このセキュリティ・ホールを突いた攻撃により，攻撃者に管理者権限を盗まれたり，サーバー上のデータを変更されるようなことはない。エラーが発生すると，そのサービスは自動的に再起動する。そのため，影響は小さいと考えられる。

　次に，Windows 2000 Professional/Server/Advanced Server/Datacenter Server が影響を受ける（2）「Windows 2000 イベントビューアが問題のあるバッファを含む」が公開された。ある特定のデータを含むイベント・レコードを，イベント・ビューアが表示しようとすると異常終了し，さらに，バッファ・オーバーフローにより，攻撃者の選択したコードが実行されてしまう可能性がある。英語版パッチは公開されたが，日本語版パッチは公開されていない。

　これは，Windows 2000 のイベント・ビューア・スナップインの，イベント・レコードの詳細を表示するプログラムが，問題のあるバッファを含んでいることが原因である。そのため，ログ内のイベント一覧を見るだけでは，このセキュリティ・ホールの影響を受けない。ユーザーが，特定のデータを含むレコードを開き，さらに，イベントの詳細を表示する場合のみ，影響を受ける。

　イベントの詳細を表示しない限り，影響を受けないので，攻撃を受ける可能性は小さいように思える。しかしながら，攻撃者が選択したコードを実行される可能性があるので，危険度は高い。「マイクロソフトセキュリティ情報」ではアナウンスされていないものの，「Microsoft ダウンロードセンター」ではパッチが公開されているので，ぜひ適用しておこう。

新規の日本語版パッチが1件と，アナウンス前のパッチが1件

　「マイクロソフトセキュリティ情報」のレポートがアップデートされ，日本語版パッチが新たに1件公開された。「『NTLMSSP のアクセス権の昇格』のぜい弱性に対する対策」に関する，Windows NT 4.0用日本語版パッチである。

　既に過去のコラムで紹介しているように，このセキュリティ・ホールは，NTLMSSP（NTLM Security Support Provider）サービスの不具合が原因である。ローカルでログオンしているユーザーに，管理者レベルのアクセス権を取得される可能性がある。

　ただし，このセキュリティ・ホールを悪用するには，ターゲット・マシンに対話的ログオンをする必要がある。また，高い権限を持たないユーザーには，重要なサーバーへは対話的にログオンさせないことがセキュリティ上のセオリーであるため，実質的な影響は小さいだろう。そのため，パッチの適用は必須（ひっす）ではない。それぞれの利用環境により，パッチ適用を判断しよう。

　「Microsoft ダウンロードセンター」では，「マイクロソフトセキュリティ情報」でまだアナウンスされていない，セキュリティ関連のパッチ情報が1件公開されている。今回お知らせした「Windows 2000 イベントビューアが問題のあるバッファを含む」に関するWindows 2000用の日本語版パッチである。繰り返しになるが，ぜひ適用しておこう。

　■Internet Information Server をご利用いただいているお客様へ　Web コンテンツの改ざんに対する防御策についての説明（マイクロソフト：2001年3月1日）

　■Web コンテンツの改ざんに対する防御策についての説明　よくある質問とその回答（マイクロソフト：2001年3月1日）

　■Internet Information Services 5 セキュリティのチェックリスト（マイクロソフト）

　■Internet Information Server 4.0 セキュリティチェックリスト（マイクロソフト）

マイクロソフトセキュリティ情報

　■(MS01-014) 不正な URL により IIS 5.0 および Exchange 2000 のサービスにエラーが発生する（2001年3月2日：日本語解説公開）

　■(MS01-013) Windows 2000 イベントビューアが問題のあるバッファを含む（2001年2月27日：日本語解説公開）

　■(MS01-008) 「NTLMSSP のアクセス権の昇格」のぜい弱性に対する対策（2001年2月27日：Windows NT 4.0用日本語パッチ公開）

Microsoft ダウンロードセンター

　■(MS01-013) Windows 2000 イベントビューアが問題のあるバッファを含む
　□Windows 2000用の日本語版パッチ（2001年2月27日）

山下　眞一郎（Shinichiro Yamashita）
株式会社富士通南九州システムエンジニアリング
第二ソリューション事業部システムサービス部プロジェクト課長
yama@bears.ad.jp

　「今週のSecurity Check [Windows編]」は，IT Proセキュリティ・サイトが提供する週刊コラムです。Windows関連のセキュリティに精通し，「Winセキュリティ虎の穴」を運営する山下眞一郎氏に，Windowsセキュリティのニュースや動向を分かりやすく解説していただきます。（IT Pro編集部）