「Code Red II」ワーム対策のために,マイクロソフトは様々な取り組みを見せた。単なる警告文書の公開にとどまらず,詳細な対処方法の公開や電話による情報提供を開始した。さらに,ワームの影響を回避するためのパッチなどを集めた「累積修正パッチ」も公開した。とはいえ,今回のように重要なパッチについては,ユーザーが必ず適用するように,サービスパックとして公開してほしいものだ。なお,今回のコラムは先週休載した分,セキュリティ・ホール情報の量が多いが,ぜひすべてに目を通していただきたい。

対策ページと情報センターの開設,加えてツールや累積パッチも公開

 日本ではあまり影響がなかったオリジナルの「Code Red」ワームとは異なり,Code Red II ワームは,8月4日あたりから日本でも猛威を振るった。Code Red II は,自己増殖する以外にバックドアも作成する,凶悪なワームである([関連記事])。

 マイクロソフトは影響を沈静化させるために,単なる警告にとどまらない,様々な取組みを開始した。まず,8月8日には Code Red II ワームに関する防御と駆除を目的とした必要最低限の対策ドキュメント「Code Red による深刻な問題に対する防護策と対処方法についての説明」を公開した。併せて,Webサイト上の情報だけでは分かりづらいユーザーに対応するために,電話で質問などを受け付ける「マイクロソフト IIS セキュリティ情報センター」を開設した([関連記事])。

 米Microsoftは8月15日に2つのセキュリティ関連ツール(サービス)をリリースした。まず,「Microsoft Personal Security Advisor (MPSA)」を提供した([関連記事])。Windows NT 4.0 Workstation と Windows 2000 Professionalをターゲットにした,個人ユーザー向けのセキュリティ対応サービスであり,セキュリティ設定やその改善法についてのレポートを受け取ることが可能だ。

 併せて,「Microsoft Network Security Hotfix Checker(Hfnetchk.exe)」の提供も開始した。Windows NT 4.0/2000 および Internet Information Server/Services(IIS)4.0/5.0 を含むすべての製品,SQL Server 7.0/2000,Internet Explorer 5.01とそれ以降---などのセキュリティ・パッチの適用状態を調査する,システム管理者向けのツールである。ただし,残念ながら英語版で,そのまま日本語版システムへ適用することはできない。

 続いて,マイクロソフトは8月16日に「(MS01-044)2001年8月15日 IIS 用の累積的な修正プログラム」という,IIS の複数の修正パッチを含んだ累積修正パッチを公開した。

 このパッチは,従来の修正パッチを単に集めたものではなく,新規のセキュリティ・ホール対応も含んだ,非常に重要な累積パッチである。具体的には,(1)「URL リダイレクトのサービス拒否」,(2)「WebDAV リクエストのサービス拒否」,(3)「MIME ヘッダーのサービス拒否」,(4)「SSI のアクセス権の昇格」,(5)「システム ファイル一覧のアクセス権の昇格」---以上 5つのセキュリティ・ホールをふさぐパッチである。

 特に(1)「URL リダイレクトのサービス拒否」は,ワーム関連のセキュリティ・ホールである。Webサーバーでリクエストを代替アドレスに移動させる「URLのリダイレクト」が有効である場合,Code Red ワームにより IIS 4.0 が異常終了させられる恐れがある。たとえ,ワームに対応するためのパッチを適用していても影響を受ける。

 8月17日の原稿執筆時点では,Windows 2000用の日本語版パッチは公開されているものの,Windows NT 4.0用は未公開である*。今回の累積パッチは,Windows 2000の運用環境を著しく改善するものなので,管理者は早急に適用する必要がある。

*【IT Pro編 追記】マイクロソフトは8月20日,Windows NT 4.0用の日本語版パッチを公開した

 加えて,この累積パッチには,Code Red および Code Red II を防ぐ「(MS01-033)Index Server ISAPI エクステンションの未チェックのバッファにより Web サーバーが攻撃される」と,5月に猛威を振るった「sadmind/IIS」ワームを防ぐ「(MS01-026)不要なデコーディング操作により IIS でコマンドが実行される」も含まれている。

 そのため,Windows 2000については,最新のサービスパックである「Windows 2000 Service Pack 2」を適用済みのシステムに,今回のパッチを適用すればワームの影響を最低限回避できる。今までは個別パッチをシステム管理者の判断で適用する必要があったことを考えると,今回のパッチは非常に有用である。

 なお,日本語パッチが未公開の Windows NT 4.0 については,「Windows NT 4.0 セキュリティ ロールアップ パッケージ (SRP)」「MS01-026」「MS01-033」両方のパッチが含まれているので,最新のサービスパックである「NT 4.0 Service Pack 6a」と SRP を適用すれば,ワームの影響を最低限回避できる。

管理者はパッチの多さと信頼性の低さに辟易,サービスパックとしての提供を

 上述のように,今回の累積パッチは非常に重要である。しかしながら,筆者個人は今回のパッチはあまり効果ないのではないかと考えている。なぜならば,いくら「IIS 用の累積修正プログラム」と銘打っても,従来の個別パッチと同じようにしか見えないからである。今回の累積パッチの重要性に気付くような管理者ならば,とうの昔に個別のパッチを適用しているはずである。

 では,個別パッチを適用しないようなシステム管理者に,今回の累積パッチを適用させるには,どうしたらよいのであろうか?

 Code Red II ワーム騒動で様々なシステム管理者と情報交換する機会があった。そこで改めて認識させられたのは,たとえセキュリティ意識が高い管理者であっても,個別のパッチを適用しない場合が多いということだった。

 Code Red II ワームの被害に遭ったシステム管理者の多くは,セキュリティを意識したシステム設定などをきちんと理解している人たちであり,管理者としてまったくの初心者という人は少なかった。しかしながら,あまりのパッチの多さに感覚が麻痺してしまい,パッチの内容を一つひとつ確認し,自分が管理するシステムへの影響度を理解して適用するという,日々の管理工程がおろそかになっていたために被害に遭ってしまった。

 加えて,個別パッチの適用により,かえって不具合が発生して業務に影響が出たという話を耳にしたり,そのような事態を実際に体験している管理者も多い。そのため,重要性を理解していても,意識的にパッチ適用を避けるケースも多いのである。

 ところが,このようなパッチを避けがちな管理者であっても,サービスパックの位置付けは別格であり,サービスパックは積極的に適用しなければならないという意識が働いているのである。

 つまり,「個別パッチでは適用しないが,サービスパックならば適用する」ということなのだ。今回の累積パッチ適用を徹底させるためには,Windows 2000 Service Pack 2 に累積パッチを含めた「Windows 2000 Service Pack 2a」をリリースすべきなのである。

 筆者が提案する「サービスパックの改訂」は何も特殊なことではなく,過去に実績がある。米Microsoftは1999年10月にWindows NT 4.0用の Service Pack 6(英語版)を公開したが,2カ月後の1999年12月には,その改訂版であるService Pack 6a(英語版)をリリースした。このときの変更内容は,Lotus Notes 使用時に,管理者権限がない一般ユーザーがサーバーへアクセスができなくなるという,深刻なトラブルに対応するものであった。

 既に蔓延(まんえん)している Code Red や Code Red II ワーム および sadmind/IIS ワーム,加えて今後発生が予測される亜種を防ぐことは非常に重要なことである。そのためには,パッチよりも効果が見込める「サービスパックの改訂版」という形での公開が望まれる。

『Windows 2000』は新規のセキュリティ・ホール情報が1件

 Windows関連のセキュリティ・トピックス(2001年8月17日時点分)を,各プロダクトごとに整理して解説する。

 『Windows 2000』関連は,「マイクロソフト セキュリティ情報一覧」にて,新規のセキュリティ・ホール情報が1件と,セキュリティ・ホールの追加情報が2件公開された。

(1)Windows NT 4.0 および Windows 2000 の NNTP サービスでメモリ リークが発生する

 NNTP (Network News Transport Protocol) サービスにおいて,特定の構成を含む投稿を処理するルーチンでメモリー・リークが発生するセキュリティ・ホールが存在する。そのため,攻撃者から今回のセキュリティ・ホールを悪用する大量の投稿を送信されると,DoS(Denial of Service)状態に陥る可能性がある。日本語情報と同時にWindows 2000 Server および Advanced Server用の日本語版パッチが公開された。Windows 2000 Datacenter Server 用の修正パッチは,ハードウエアに依存するため,各製造元から入手する必要がある。

 なお,デフォルトではニュース・グループが設定されていないため,NNTP の設定を変更していなければ影響を受けない。また,攻撃者からマシンの管理機能を奪われたり,データを改ざんされるようなことはないので,重大なセキュリティ・ホールではない。必要に応じてパッチを適用すればよいだろう。

 追加情報は以下の2件。

(2)ドメイン コントローラへの不正なリクエストがメモリを使い果たす

(3)ドメイン コントローラへの無効なリクエストがサービス拒否を発生させる

 それぞれのパッチが,「(MS01-036)LDAP SSL で公開される機能がパスワードの変更を可能にする」で提供されている修正パッチに含まれているとの情報が追加公開された。

『Windows NT 4.0』は新規のセキュリティ・ホール情報が1件と日本語版パッチが2件

 『Windows NT 4.0』関連は,「マイクロソフト セキュリティ情報一覧」にて,新規のセキュリティ・ホール情報が1件と,日本語版パッチが2件公開された。

(1)Windows NT 4.0 および Windows 2000 の NNTP サービスでメモリ リークが発生する

 『Windows 2000』の欄で紹介済み。Windows 2000 同様,Windows NT 4.0 Server および Server, Enterprise Editionも影響を受ける。日本語版パッチが提供されているので,必要に応じて適用しよう。

(2)Index Server ISAPI エクステンションの未チェックのバッファにより Web サーバーが攻撃される

 以前から公開されていたPC/AT 互換機用に加え,今回 NEC PC-9800 シリーズ用のWindows NT 4.0用日本語版パッチが公開された。Code Red と Code Red II ワームを防ぐ重要なパッチであるが,Windows NT 4.0用の場合,6月19日に公開されたPC/AT 互換機用と比較すると 2カ月弱遅れの提供となった。

 ちなみに,PC/AT 互換機用とNEC PC-9800 シリーズ用が8月2日に同時公開された日本語版「Windows NT 4.0 SRP」には,今回のパッチは含まれている。しかしそれでも,セキュリティ・ホールの重要度を考えれば,致命的な遅さである。「NEC PC-9800 シリーズを本稼働用のサーバーとして利用するのは厳しい」と判断できる材料の1つであろう。

 加えて(2)については,8月10日にWindows NT 4.0 日本語版修正パッチが再公開されている。(i)本来は適用できないはずの SP6a 未適用のシステムにパッチを適用できてしまう問題と,(ii)SP6a または一部の修正パッチを再度適用すると,このパッチによる修正内容が無効になってしまう問題---を解消するためだという。

 修正したとはいえ,(ii)はあまりにもひどい問題である。ワームに備えてパッチを適用していても,いつの間にか被害を受ける状況に逆戻りしてしまうのだ。

 筆者としては,再公開されたパッチを再度適用するより,この新しいパッチを含んだ日本語版「Windows NT 4.0 SRP」の適用をお勧めする。

(3)「電話帳サービス バッファ オーバーフロー」の脆弱性に対する対策

 2000年12月28日に公開されたWindows 2000版に半年以上遅れた Windows NT 4.0 版 PC/AT 互換機用日本語版修正パッチよりも,さらに1カ月遅れて NEC PC-9800 シリーズ用のパッチがようやく公開された。

 内容については既に紹介済み。Windows NT 4 用のOption PackとWindows 2000に含まれているオプショナル・コンポーネント「電話帳サービス」が影響を受ける。特定形式の URL 経由で,電話帳サービスが稼働しているIIS 4.0/5.0 の Webサーバーで任意のコードを実行される恐れがあるという,非常に危険なセキュリティ・ホールだ。

 なお,このパッチは「日本語版Windows NT 4.0 SRP」に含まれている。

各種サーバー・アプリは新規のセキュリティ・ホール情報が1件

 各種サーバー・アプリについては,「マイクロソフト セキュリティ情報一覧」にて,新規のセキュリティ・ホール情報が1件公開された。

(1)H.323 ゲートキーパーと Web Proxy のメモリーリーク及びクロスサイトスクリプティングの脆弱性

 ISA Server 2000において,(i)「H.323 ゲートキーパーのメモリー・リーク」,(ii)「Web Proxy のメモリー・リーク」,(iii)「クロスサイト・スクリプティング」---に関する3種類のセキュリティ・ホール情報が公開された。

 まず,ファイアウオール経由の Voice-over-IP トラフィックのトランスミッションをサポートする「H.323 ゲートキーパー・サービス」に,ある特定のH.323 データによってメモリー・リークが発生するセキュリティ・ホールが存在する。そのため,攻撃者がセキュリティ・ホールを悪用する大量のデータを送信すると,DoS 攻撃が成立する恐れがある。なお,このH.323 ゲートキーパー・サービスは,デフォルトでは組み込まれていない。

 また,Web Proxy サービスにもメモリー・リークが発生するセキュリティ・ホールがあり,同様に DoS 攻撃を受ける可能性がある。ただし,LAN内のユーザーのみが悪用可能であり,インターネット側からは攻撃できない。

 さらに,ISA Server 2000 にはクロスサイト・スクリプティングに関するセキュリティ・ホールが存在する(クロスサイト・スクリプティングについては,「クロスサイト スクリプティングのセキュリティ上の脆弱性に関する情報」 などを参照のこと)。そのため,ISA Server 2000をProxyサーバーとして使用している場合には,パソコンのクッキー(Cookie)に不正にアクセスされる恐れなどがある。すべての言語環境に適用可能なパッチが公開されているので,早速適用しておこう。

Microsoft サポート技術情報では注目すべき情報が3件

 「Microsoft サポート技術情報」にて,注目すべき情報が3件公開された。

(1)Windows NT 4.0 セキュリティ ロールアップ パッケージ適用後 STOP 0xA 発生

 特定のCompaq Smart アレイ コントローラを搭載しているマシンが対象。「Windows NT 4.0 SRP」適用後にコンピュータを再起動すると,ブルー・スクリーンが表示されて起動できなくなる可能性があるというものだ。SRPを適用する前に,Cpqarray.sys ドライバのアップデート版を適用すれば回避可能である。コンパックも関連情報を公開している。

 また,マイクロソフトでも SRP のドキュメントにこの情報を追加した。

(2)[XWEB] SP1 適用後 OWA から投稿した添付ファイルが 1 日後に削除

 Exchange 2000 Server Service Pack 1適用後,Exchange サーバーのパブリック フォルダに投稿した添付ファイル付のアイテムが 24 時間後に削除される可能性があるという重大なバグである。なお,ファイルを添付したメッセージをメールにて送信した場合には対象外である。また,ファイルを添付していないアイテムを投稿した場合も,影響を受けない。

 残念ながら,対応パッチはまだリリースされていないため,影響を受ける環境のシステム管理者は継続して注意が必要である。

(3)2001年9月8日よりも後の復元ポイントが利用できない

 Windows Meのシステムの復元機能において,2001年9月8日よりも後に作成された復元ポイントで,以前の状態に復元しようとすると失敗するという,重大なバグである。修正パッチがリリース済みであるため,対象ユーザーは早速パッチを適用しておこう。ただし,修正パッチの適用前に作成された復元ポイントは,パッチ適用後使用できなくなるという制限事項があるので注意しよう。

 ちなみに,これは「Microsoft 製品の西暦 2001年9月9日問題の対応状況について」のドキュメントで示されている通り,現在急速に見直しが始まっている「2001年9月9日問題」の影響を受けたものである。併せてこのドキュメントもチェックしておこう。



Code Red による深刻な問題に対する防護策と対処方法についての説明(2001年8月 8日)

◆(MS01-044)2001年8月15日 IIS 用の累積的な修正プログラム(2001年8月16日)

マイクロソフト セキュリティ情報一覧

『Windows 2000』

◆(MS01-043)Windows NT 4.0 および Windows 2000 の NNTP サービスでメモリ リークが発生する
 (2001年8月14日:日本語解説&日本語版パッチ公開)

◆(MS01-024)ドメイン コントローラへの不正なリクエストがメモリを使い果たす
 (2001年8月14日:このパッチが,MS01-036 で提供されている修正パッチに含まれているとの情報が追加公開)

◆(MS01-011)ドメイン コントローラへの無効なリクエストがサービス拒否を発生させる
 (2001年8月14日:このパッチが,MS01-036 で提供されている修正パッチに含まれているとの情報が追加公開)

『Windows NT 4.0』

◆(MS01-043)Windows NT 4.0 および Windows 2000 の NNTP サービスでメモリ リークが発生する
 (2001年8月14日:日本語解説&日本語版パッチ公開)

◆(MS01-033)Index Server ISAPI エクステンションの未チェックのバッファにより Web サーバーが攻撃される
 (2001年8月 9日:NEC PC98 用Windows NT 4.0 日本語版修正パッチ公開)
 (2001年8月10日:Windows NT 4.0 日本語版修正パッチ 再公開)

◆(MS00-094)「電話帳サービス バッファ オーバーフロー」の脆弱性に対する対策
 (2001年8月 6日:NEC PC98 用Windows NT 4.0 日本語版修正パッチ公開)

『ISA Server 2000』

◆(MS01-045)H.323 ゲートキーパーと Web Proxy のメモリーリーク及びクロスサイトスクリプティングの脆弱性
 (2001年8月17日:日本語解説&全ての言語環境に適用可能なパッチ公開)

Microsoft サポート技術情報

Windows NT 4.0 セキュリティ ロールアップ パッケージ適用後 STOP 0xA 発生(2001年8月15日)

◆[XWEB] SP1 適用後 OWA から投稿した添付ファイルが 1 日後に削除(2001年8月14日)

2001年9月8日よりも後の復元ポイントが利用できない(2001年8月 8日)

山下 眞一郎(Shinichiro Yamashita)
株式会社 富士通南九州システムエンジニアリング
第二ソリューション事業部システムサービス部 プロジェクト課長
yama@bears.ad.jp

 「今週のSecurity Check [Windows編]」は,IT Proセキュリティ・サイトが提供する週刊コラムです。Windows関連のセキュリティに精通し,「Winセキュリティ虎の穴」を運営する山下眞一郎氏に,Windowsセキュリティのニュースや動向を分かりやすく解説していただきます。(IT Pro編集部)