またもやマイクロソフトのIIS(Internet Inforamtion Server/Services)に致命的なセキュリティ・ホールが発覚した。“致命的な”セキュリティ・ホールがあまりにも頻発しているので警告に慣れてしまい,公開情報をきちんと読んでいない管理者もなかにはいるようだ。ベンダーから公開される情報が分かりにくい,という問題もある。しかし致命的であることは確かなのである。実際,昨年公開された“致命的な”セキュリティ・ホールを突かれて,IISのWebサイトのページが多数書き換えられている。「またか」と思うだけではなく,きちんと対策をとってほしい。

対応策が複雑だと読み飛ばす

 IIS 4.0/5.0 において,任意のコードをサーバー上で実行される恐れがある新しいセキュリティ・ホールが5月15日に公開された[関連記事])。5月9日にお知らせした「(MS01-023)ISAPI エクステンションの未チェックのバッファにより IIS 5.0 Server のセキュリティが侵害される」に匹敵する程,危険度が非常に高い。管理者はパッチを適用して対策をとる必要がある。

 「管理者はパッチを適用して対策をとる必要がある」---このセリフを何度書いただろうか。しかし何度書いても対策をとらない管理者は実際には多い。

 例えば5月1日以降,地方公共団体や民間企業などがIISサーバーで公開しているWebページが書き換えられる事件が多発している。最初この事件を聞いたときには,5月1日に公開された「ISAPI エクステンションの未チェックのバッファにより IIS 5.0 Server のセキュリティが侵害される」あるいは今回の「不要なデコーディング操作により IIS でコマンドが実行される」を悪用する最新のアタックかと思った。ところが実際は,昨年あれほど騒がれた「Web サーバーによるファイル要求の解析」などを悪用した「sadmind/IIS」ワームが猛威をふるっているのである([関連記事])。あれほど注意を呼びかけても,対策はとられていなかったということになる。

 毎週様々なセキュリティ情報を伝えている立場からすれば,「どうして?」という思いが強い。ところが,情報の受け手からすると「IISに致命的なセキュリティ・ホール発覚!」という情報は繰り返し流されているので,感覚が“まひ”してしまい,対応策が少しでも複雑だと読み飛ばしてしまうというのだ。

 これは顧客からではなく,SEから聞いた話だ。SEでさえそうなのである。このショックは大きかった。そこで,「どのような情報であれば読んでくれるのか?」と尋ねたところ,「最低限何をすればよいのか」といったシンプルな対策を明確に教えてほしいという。

現時点での改ざん防止対策

 それでは,現時点での対策をまとめてみる。現在,「IISで公開しているWeb コンテンツの改ざんを防止する」ための最低限の対策は,(1)「最新のService Packの適用」,(2)「MDAC の RDS 機能の抑止(具体的には,/msadc 仮想ディレクトリをデフォルトの Web サイトから削除)」,(3)「最新のIIS用累積修正パッチ *1 の適用(具体的には『(MS01-026)不要なデコーディング操作により IIS でコマンドが実行される』のパッチを適用)」---以上の3つである。

*1:IIS 4.0/5.0について今まで公開されたセキュリティ・パッチをまとめたもの(IIS 4.0についてはService Pack 5 以降)。

 さて,ベンダーからの公開情報はどうなっているだろうか。マイクロソフトの一番新しいレポート「Internet Information Server をご利用いただいているお客様へ 既知のぜい弱性を利用した攻撃に関する注意事項」では,(3)にあたるIIS用累積修正パッチの説明はあるものの,最低限どのような対策をとれば改ざんを防げるのかが明確ではない。

 また,リンク先の「Internet Information Server をご利用いただいているお客様へ Web コンテンツの改ざんに対する防御策についての説明」では,IIS用累積修正パッチの情報はまだ反映されていない。

 こういった分かりにくいレポートも,管理者が対策を怠る一因と考えられる。影響度が大きいマイクロソフトのレポートだからこそ,きちんと分かりやすく記載してほしいものだ。

ファイアウオールは役にたたない

 今回公開されたセキュリティ・ホール「(MS01-026)不要なデコーディング操作により IIS でコマンドが実行される」を簡単に解説する。このセキュリティ・ホールを悪用されると,リモートから任意のコードをIISサーバー上で実行されて,ファイルや Web ページの追加や変更,削除等を許す恐れがある。「(MS01-023)ISAPI エクステンションの未チェックのバッファにより IIS 5.0 Server のセキュリティが侵害される」と同様に,通常のHTTP(ポート80)リクエストによってアタック可能なため,ファイアウオールなどはまったく役にたたない。

 この警告は「Microsoft Security Bulletin」の英語情報では5月14日,日本語の「マイクロソフト セキュリティ情報」では5月15日とほぼ同時に公開されている。加えて,日本語版パッチも併せて公開されるという最優先の対応ぶりである。繰り返しになるが,システム管理者はパッチ適用が大至急必要である。

 今回のセキュリティ・ホールは,HTTPリクエストに含まれるユーザー・リクエストを,IISが誤って解釈してしまうことが原因である。CGIスクリプトなどのサーバー・サイド・プログラムを実行するユーザー・リクエストを IIS が受け取ると,(1)まずリクエストを正規形でレンダリングするためにデコーディング・パスを実行し,(2)次に,デコードされたリクエストのセキュリティ・チェックを実行する。

 今回発見されたセキュリティ・ホールは,セキュリティ・チェックが終了した後に,本来は実行する必要がない(2)を実行してしまうためにぜい弱性が発生してしまう。この“不要なデコーディング操作”により,本来はチェックされるべき不正なリクエストを受け付けてしまう。そのため,攻撃者が特別に作成した悪意のあるリクエストを送信した場合,Webサーバー上でオペレーティング・システム・コマンドを実行される可能性がある。

 今回公開されたレポートには,上記の「攻撃者が該当サーバー上でオペレーティング・システム・コマンドを実行できるぜい弱性」以外にも,(1)「FTP サービスに対してサービス拒否の攻撃を行うことができるぜい弱性」,(2)「FTP によって意図せず漏えいしてしまう Guest アカウントを,攻撃者が容易に見つけることができるぜい弱性」---という3つの新しいセキュリティ・ホールが記載されている。

 今回公開された修正パッチは,これらのセキュリティ・ホール以外に過去のセキュリティ・ホールも解消できる累積的な修正パッチである。IIS 4.0 のパッチには IIS 4.0 用にリリースされた Service Pack 5 以降の,IIS 5.0の場合にはこれまでにリリースされたIIS 5.0用すべてのパッチ機能が組み込まれている。今回のパッチが取って代わるパッチ一覧がセキュリティ情報レポートの 「修正プログラムに関する追加情報」に掲載されている。

 ただし,ソフトウエアの変更ではなく,管理者による操作が必要な4種類の修正パッチ「MS00-028」「MS00-025」「MS99-025」「MS99-013」や,Front Page Server Extensions および Index Server などのIIS 以外の製品に関する3 つの修正パッチ「MS01-025」「MS00-084」「MS00-006」は含まれないので注意が必要だ。

 また,今回のセキュリティ・ホールが影響を受けるのは IIS 4.0/5.0とされており,IIS3.0 については記載されておらずパッチも提供されていない。しかしながら IIS 4.0/5.0 と同じように影響を受けるので注意しなくてはいけない。もはやマイクロソフトは, 「IIS3.0 はインターネット環境では使用するな」といっているのと同じである。また,PC/AT 互換機プラットフォーム以外についても同様である。5月18日時点でも PC/AT 互換機プラットフォームのみの修正パッチしか公開されていない。

 なお,今回のバグの発見者は,同じようにユーザー・リクエスト解析の重大なセキュリティ・ホール「(MS00-086) 『Web サーバーによるファイル要求の解析』のぜい弱性に対する対策」を発見した「NSfocus」である。

新規のセキュリティ・ホール情報は他に3件

 上記以外のWindows関連セキュリティ・トピックス(2001年5月18日時点分)を整理する。「マイクロソフト セキュリティ情報」にて,上記(MS01-026)以外に新規のセキュリティ・ホール情報が3件公開された。

 一つ目は, Internet Explorer(IE) 5.01/5.5が影響を受ける(1)「Web サーバー証明書検証の問題により Web サイトの偽装が可能になる」が公開された([関連記事])。Web サーバーからのディジタル証明書を検証する方法をバイパスさせたり,IE のアドレス・バーに別の Web サイトの URLを表示させたりすることにより,攻撃者のWebサイトを信頼されたWebサイトに偽装することが可能となる。英語版はもちろん,IE 5.01 および 5.5 用の日本語版修正パッチも公開された。

 なお,IE 5.01 および 5.5に対してのみテストが行われ,セキュリティ・ホールの影響が評価されている。それ以前のバージョンでは影響は不明とされているので,バージョン・アップが必要だ。

 今回公開されたパッチには,「(MS00-033)『フレームのドメイン照合』,『権限のない cookie アクセス』,『コンポーネント属性の変形』のぜい弱性に対する対策」と,「(MS01-020)不適切な MIME ヘッダーが原因で Internet Explorer が電子メールの添付ファイルを実行する」に対する修正パッチも含まれるので,適用したほうがよいだろう。なお,IE 5.01の場合は「Service Pack 2」,IE 5.5の場合は「Service Pack 1」 の適用が前提である。

 二つ目は, Windows NT 4.0 のIndex Server 2.0 および,Windows 2000 の Indexing Service が影響を受ける(2)「Index Server の検索機能が未チェックのバッファを含む」である。「Hit-Highlighting 引数の形式不良」のぜい弱性の変種を利用されてファイルを読み取られる恐れがある。さらに Index Server 2.0の場合には,バッファのオーバーランを利用されて任意のコードを実行される可能性がある。

 ただし,Index Server 2.0 がバッファ・オーバーランの影響を受けるのは,NetBIOS へのアクセスが可能な場合だけである。通常ファイアウオールなどで,アクセスを遮断していることがセキュリティ上のセオリーなので,影響を受けるケースは少ないであろう。しかし,危険なセキュリティ・ホールに変わりはない。ぜひ,パッチを適用しておこう。それぞれの日本語版修正パッチが既に公開されている。注意点は,NT 4.0で稼働するIndex Server 2.0 の修正パッチは Service Pack 6a の適用が前提であること。Windows 2000 の Indexing Service用パッチについては,Service Pack 1の適用は必須ではない。

 そして三つ目は, Windows 2000 Server/Advanced Server /Datacenter Server が影響を受ける(3)「ドメイン コントローラへの不正なリクエストがメモリーを使い果たす」である。Windows 2000 ドメイン・コントローラ で稼働しているコア・サービスに対し特定の無効なサービス・リクエストでメモリー・リークを意図的に発生させてメモリーを使い果たさせることにより,DoS(Denial of Service)攻撃が成立する可能性があるというものだ。英語版はもちろん,Windows 2000 Server および Advanced Serverの日本語版修正パッチも公開された。

 ただし,インターネットでの公開セグメントでは,ドメイン構成を組まないことがセキュリティ上のセオリーであるため,影響を受けるケースは少ないであろう。

日本語版パッチは新規に2件

 「マイクロソフト セキュリティ情報」ではレポートがアップデートされ,2件の日本語版パッチが公開された。「Internet Explorer がキャッシュされたコンテンツの場所を漏えいしてしまう」「『SQL Server 7.0 Service Pack のパスワード』のぜい弱性に対する対策」である。

  まず,IE 5.01/5.5と,Windows Scripting Host 5.1/5.5が影響を受ける(1)「Internet Explorer がキャッシュされたコンテンツの場所を漏えいしてしまう」については,過去の本コラムで紹介済みである。計4種類のセキュリティ・ホールを含み,悪用されるとWebページを閲覧したりHTML電子メールを開いた場合に攻撃者が選択したコードを実行してしまう恐れがある。

 4種類のセキュリティ・ホールとは,「キャッシュされたコンテンツ識別のぜい弱性」,「『フレームのドメイン照合』の変種」,「Windows Scripting Host のぜい弱性」,「Telnet 起動のぜい弱性」である。今までは,英語版においてはすべてのセキュリティ・ホールを解消する3つのパッチが公開されていたものの,日本語版パッチは「Windows Scripting Host のぜい弱性」を解消する1つのパッチしか公開されていなかった。

 今回のレポートでは,「キャッシュされたコンテンツ識別のぜい弱性」および「『フレームのドメイン照合』の変種」を解消する日本語版修正パッチが公開された。加えて,最初にリリースされた「Windows Scripting Host のぜい弱性」を解消するパッチに不具合が確認されたため,最新パッチを再度適用する必要があることもアナウンスした。

 依然パッチが公開されていない「Telnet 起動のぜい弱性」については,「Services for Unix 2.0」を使用していない場合には対象外なので,影響は少ないであろう。

 二つ目のSQL Server 7.0 Service Packs 1 と2 のインストール・ルーチンにおけるセキュリティ・ホールを解消する(2)「『SQL Server 7.0 Service Pack のパスワード』のぜい弱性に対する対策」では,Service Pack 3 用の日本語版修正パッチが公開された。当初 Service Packs 1 と 2が影響を受けるとされていたが,今回Service Pack 3 も影響を受けることがアナウンスされた。SQL Server 7.0のService Pack 3 適用後には今回のパッチを適用しておこう。



 ■(MS01-026)不要なデコーディング操作により IIS でコマンドが実行される(2001年5月15日:日本語解説&日本語版パッチ公開)

 ■マイクロソフト セキュリティ情報 (MS01-026) : よく寄せられる質問

 ■CERT(R) Advisory CA-2001-12 Superfluous Decoding Vulnerability in IIS(CERT:2001/05/15)

 ■NSFOCUS Security Advisory(SA2001-02): Microsoft IIS CGI Filename Decode Error Vulnerability(NSfocus:2001/05/15)

 ■ホームページ書き換え事案に関する対策について(警察庁:2001/05/17最終更新)

 ■Internet Information Server をご利用いただいているお客様へ 既知のぜい弱性を利用した攻撃に関する注意事項(マイクロソフト:2001/05/18)

 ■Internet Information Server をご利用いただいているお客様へ Web コンテンツの改ざんに対する防御策についての説明(マイクロソフト:2001/03/30最終更新)

マイクロソフト セキュリティ情報

 ■(MS01-027)Web サーバー証明書検証の問題により Web サイトの偽装が可能になる (2001年5月18日:日本語版パッチ公開)

 ■(MS01-025)Index Server の検索機能が未チェックのバッファを含む(2001年5月15日:日本語版パッチ公開)

 ■(MS01-024)ドメイン コントローラへの不正なリクエストがメモリを使い果たす(2001年5月9日:日本語版パッチ公開)

 ■(MS01-015)Internet Explorer がキャッシュされたコンテンツの場所を漏えいしてしまう(2001年5月15日:日本語版パッチ追加公開)

 ■(MS00-035)「SQL Server 7.0 Service Pack のパスワード」のぜい弱性に対する対策(2001年5月14日:新たにService Pack 3 用の日本語版パッチ公開)

山下 眞一郎(Shinichiro Yamashita)
株式会社 富士通南九州システムエンジニアリング
第二ソリューション事業部システムサービス部 プロジェクト課長
yama@bears.ad.jp

 「今週のSecurity Check [Windows編]」は,IT Proセキュリティ・サイトが提供する週刊コラムです。Windows関連のセキュリティに精通し,「Winセキュリティ虎の穴」を運営する山下眞一郎氏に,Windowsセキュリティのニュースや動向を分かりやすく解説していただきます。(IT Pro編集部)