日本サイトへの相次ぐクラッキングを受けて,マイクロソフトが2月27日に公開したInternet Information Server 4.0/Services 5.0(IIS 4.0/5.0)の防御方法に関するドキュメントが,既に6項目更新されている。重要な訂正などもあるので,管理者は定期的にチェックする必要がある。また,そのドキュメントのFAQも随時加筆され,情報が増えている。こちらもチェックして攻撃に備えよう。

マイクロソフトのやる気が見える更新履歴とFAQ

 先週このコラムで紹介した,「Web コンテンツの改ざんに対する防御策についての説明」が数回にわたって更新されている。このドキュメントでは,コンテンツ改ざんの攻撃からIIS 4.0/5.0のWebサーバーを保護するために必要な設定を説明している。

 ドキュメントが公開され始めた2001年2月27日から3月6日までに,内容の修正や加筆といった更新は6項目におよんでいる。その中で特に注意する必要があるのは,3月5日に修正されたアクセス制御リスト(ACL)に関する内容である。それまでは,各ファイル・タイプの「Everyone」に対するアクセス権を「実行(X)」とするように勧めていたのを,「読み取りと実行(RX)」に訂正した。更新前のドキュメントに従って設定すると,Administrators 以外のユーザーからのアクセスが拒否され,Webページが正常に表示されない。3月5日以前のドキュメントを参考にした管理者は,再確認する必要がある。

 上記以外の修正や訂正は以下の5項目である(2001年3月12日現在。古い順に列挙する)

  1. 「IIS 4.0 の『必要最低限のインターネット サービスをインストールする』に注釈を追加」
  2. 「IIS 4.0 の “Step 2.”。修正モジュール一覧からすべての *.h ファイルを削除」
  3. 「IIS 5.0 の “Step 4.”。『Telnet サーバーを保護する』および『IPSec ポリシーを構成する』の見出しを訂正」
  4. 「『はじめに』に『マイクロソフト プロダクト セキュリティ警告サービス日本語版』の情報を追加」
  5. 「IIS 4.0 Step 5.『必要最低限のインターネット サービスをインストールする』を変更」

 これらの更新について,マイクロソフトは「Web コンテンツの改ざんに対する防御策についての説明 更新履歴」というドキュメントを別途用意し,内容を解説している。

 さらに,「Web コンテンツの改ざんに対する防御策についての説明 よくある質問とその回答」も随時更新している。これは,「Web コンテンツの改ざんに対する防御策についての説明」の公開に合わせて開設した「マイクロソフト IIS セキュリティ情報センター」に頻繁に寄せられる質問と,その回答をドキュメント化したFAQである。

 こうした取り組みからは,「公開したドキュメントを必要に応じて改善して,IISユーザーが安心して使える有益なものにしたい」というマイクロソフトの強い意気込みが感じられる。この点については評価できるだろう。

追加してほしい「IIS 4.0のログ日付問題」

 しかし,ここまで力を入れているのならば,筆者としてはさらに追加してほしい項目がある。「IIS 4.0 でログの日付と時間が更新されない」問題である。これは,「World Wide Web Publishing Service サービス」を49日間一度も再起動せずに連続稼動させた場合,それ以降はIIS 4.0のログの日付と時間が更新されず,同一の日付で記録される可能性がある,という問題である。

 セキュリティには直接関係ないが,筆者個人としてはIIS 4.0を運用する上での致命的な問題であると認識している。

 IIS 4.0をインターネット・サーバーとして本格的に採用すれば,当然のごとく49日間以上連続稼働することになるだろう。その場合,ログの日付と時間が更新されないのでは,アクセスの統計データを処理する際に,非常に困った事態に陥ってしまう。ログの途中からは,同じ日付と時間が並んでしまうことになるのだ。実際,私自身も遭遇したことがあり,呆然(ぼうぜん)とした記憶がある。

 この問題に対する日本語版の個別修正パッチはリリースされていない。今のところ,Service Pack 6aを適用する以外に回避方法は存在しない。現在のドキュメントでは,「Windows NT 4.0の場合は,Service Pack 5 もしくはService Pack 6aを適用すればよい」と記述されている。確かに,IISのセキュリティ上の致命的な問題である「『Web サーバーによるファイル要求の解析』のぜい弱性に対する対策」のパッチを適用するための下準備としては,Service Pack 5でも十分だ。しかしそれでは,上述の「ログの日付問題」は解消されない。

 この問題について,存在を明記して回避することを強く推奨しないのは,マイクロソフト自身が「IIS 4.0が本格的なインターネット・サーバーとして採用されているケースはあまりない」と考えているからだろうか?

 そういった誤解を与えないためにも,「Windows NT 4.0の場合は,Service Pack 6aの適用を推奨する」という注記をぜひ追加してほしい。

IIS 5.0とIE 5.01/5.5,WSHに新規のセキュリティ・ホール

 次に,上記以外のWindows関連のセキュリティ・トピックス(2001年3月9日時点分)を整理する。「マイクロソフト セキュリティ情報」では,新規のセキュリティ・ホール情報が2件公開された。

 まず, IIS 5.0が影響を受ける(1)「不正な WebDAV リクエストにより IIS が CPU リソースを使い果たす」が公開された。WebDAV とは,リモートからのWebコンテンツ作成と管理を可能にする,HTTPプロトコルを拡張したマイクロソフト独自の機能である。そのWebDAVに不具合が存在するため,攻撃者がある特定リクエストのストリームをIIS 5.0のWebサイトに送信すると,すべてのCPU能力を使い果たしてDoS(Denial of Service,サービス妨害)攻撃が成立してしまう恐れがある。現段階では,日本語版パッチはもちろん,英語版パッチも公開されていない。

 なお,IIS 5.0への不正なリクエストがなくなれば,すぐに通常のサービスを自動的に再開できる。加えて,このセキュリティ・ホールを悪用しても,サーバーの管理者権限を取得したり,サーバー上のデータを改ざんしたりすることはできない。そのため,一見しただけでは影響は小さいように思われる。

 しかしながら,このセキュリティ・ホールの発見者であるGeorgi Guninski氏から,このセキュリティ・ホールを突くためのPerlのコードが検証用として公開されている。つまり,スキルがないユーザーでも容易に攻撃が可能ということであり,その影響は大きいと考えるべきである。マイクロソフトが勧めているように,WebDAVサービスを無効にして攻撃を回避する必要がある。

 マイクロソフトは,無効化の方法を「サポート技術情報 Q241520『How to Disable WebDAV for IIS 5.0』」(英語情報)で公開している。サービスを無効にするには,ドキュメントの手順に従って,WebDAV サービスを提供する「Httpext.dll」のアクセス許可を変更する。単純に「Httpext.dll」の名前を変更するだけでは無効にできないので注意が必要である。

 次に,Internet Explorer(IE) 5.01/5.5と,Windows Scripting Host(WSH) 5.1/5.5が影響を受けるセキュリティ・ホールとして,(2)「Internet Explorer がキャッシュされたコンテンツの場所を漏えいしてしまう」が公開された。このレポートには,合計4種類のセキュリティ・ホールが記載されている。「キャッシュされたコンテンツ識別のぜい弱性」,「『フレームのドメイン照合』の変種」,「Windows Scripting Host のぜい弱性」,「Telnet 起動のぜい弱性」---である。

 この中では,「キャッシュされたコンテンツ識別のぜい弱性」がもっとも深刻であると考えられる。このセキュリティ・ホールを悪用されると,ユーザーが攻撃者のWeb サイトにアクセスしたり,攻撃者が送信した HTMLメールを開いたりした場合,攻撃者が仕込んだコードを実行してしまう可能性があるからだ。

 英語版では,すべてのセキュリティ・ホールを解消する3種類のパッチが公開されたが,日本語版では「Windows Scripting Host のぜい弱性」を解消するパッチしか公開されていない。

 ただし,4種類のセキュリティ・ホールはいずれも,攻撃者のWebサイトを閲覧したり,攻撃者からのメールを開いたりするといった,ユーザーの動作が伴わなければ影響はない。また,Outlookなどの「セキュリティ・ゾーン機能」を使用して,HTMLメールの実行を制限していれば,基本的に回避可能である。また,「Telnet 起動のぜい弱性」が問題になるのは,「Services for Unix 2.0」に含まれるTelnetクライアントを使用している場合だけである。

 以上のことから,「怪しげなWebサイトは閲覧しない」や「できるだけセキュアな設定をする」といった,基本的な対策さえとっていれば,これらのセキュリティ・ホールが与える影響は小さいと考えられる。

「ダウンロードセンター」ではWindows 2000用のパッチが1件

 「Microsoft ダウンロード センター」では,「マイクロソフト セキュリティ情報」ではアナウンスされていないセキュリティ関連のパッチ情報が1件公開されている。「不正な URL により IIS 5.0 および Exchange 2000 のサービスにエラーが発生する」に関するWindows 2000用日本語版パッチである。

 以前,このコラムでも述べたように,「不正な URL により IIS 5.0 および Exchange 2000 のサービスにエラーが発生する」とは,特定の構造をしたURLが,IIS 5.0のWebサイトに繰り返し送信された場合,メモリー割り当てエラーが発生してDoS攻撃を許してしまう恐れがあるというセキュリティ・ホールである。ただし,サーバーの管理者権限を取得されたり,サーバー上のデータを変更されることはない。また,エラーが発生するとIISは自動的に再起動するので,影響は少ないだろう。そのため,パッチ適用は必須(ひっす)ではない。それぞれの利用環境に応じてパッチを適用しよう。

 ただし,公開されたのはIIS 5.0用の日本語版パッチだけであり,Exchange 2000用は未公開である。Exchange 2000用のパッチが必要な場合は,引き続きダウンロード・センターなどをウォッチして公開されるのを待とう。

「TechNet Online - Security」では注目ドキュメントが3件

 「TechNet Online - Security」では,注目しておきたいドキュメントが3件公開された。

  1. 日経BPソフトプレス刊行の「Windows 2000 Server リソースキット」の一部を抜粋した「インターネットインフォメーションサービス 5.0 リソースガイド 第 9 章 セキュリティ」
  2. リックテレコム刊行の書籍「リファレンス ISA Server 2000 インターネット接続ガイド」の一部を抜粋した「ISA Server のファイアウォール機能と設定」
  3. SQL Server 2000 の新しいセキュリティ機能について紹介した「SQL Server 2000 のセキュリティ」

 いずれも有益なドキュメントである。特に 1 は,少々難解ではあるものの,Windows 2000 ServerとIIS 5.0が動作するWebサーバーを保護する方法について詳しく解説しており,大変ためになる。ぜひチェックしておこう。



 ■「Internet Information Server をご利用いただいているお客様へ Web コンテンツの改ざんに対する防御策についての説明」(最終更新日 2001年3月6日)

 ■「Web コンテンツの改ざんに対する防御策についての説明 更新履歴」(最終更新日 2001年3月6日)

 ■「Web コンテンツの改ざんに対する防御策についての説明 よくある質問とその回答」(最終更新日 2001年3月6日)

 ■「IIS 4.0 でログの日付と時間が更新されない」(最終更新日 2000年5月12日)


マイクロソフト セキュリティ情報

 ■(MS01-016) 不正な WebDAV リクエストによりIIS が CPU リソースを使い果たす(2001年3月9日:日本語解説公開)

 ■(MS01-015) Internet Explorer がキャッシュされたコンテンツの場所を漏えいしてしまう(2001年3月9日:日本語解説公開,一部日本語版パッチリリース)


Microsoft ダウンロード センター

 ■(MS01-014) 不正な URL により IIS 5.0 及び Exchange 2000 のサービスにエラーが発生する
 □Windows 2000用の日本語版パッチ(2001年3月2日:日本語版IIS 5.0用のみ公開,日本語版Exchange 2000用は未公開)


TechNet Online 目的別インデックス(セキュリティ情報)

 ■Microsoft Windows 2000 Server リソースキット 7 Microsoft インターネットインフォメーションサービス 5.0(最終更新日 2001年3月5日)

 ■ISA Server 2000 インターネット接続ガイド - 第 4章 ファイアウォール(最終更新日 2001年3月8日)

 ■Microsoft SQL Server 2000 のセキュリティ(最終更新日 2001年02月23日)


山下 眞一郎(Shinichiro Yamashita)
株式会社 富士通南九州システムエンジニアリング
第二ソリューション事業部システムサービス部 プロジェクト課長
yama@bears.ad.jp


 「今週のSecurity Check [Windows編]」は,IT Proセキュリティ・サイトが提供する週刊コラムです。Windows関連のセキュリティに精通し,「Winセキュリティ虎の穴」を運営する山下眞一郎氏に,Windowsセキュリティのニュースや動向を分かりやすく解説していただきます。(IT Pro編集部)