マイクロソフトがセキュリティ情報を公開している「TechNet セキュリティ センター」には,各種ドキュメントへのリンクを紹介した「Security PickUp」コーナーが用意されている。改善の余地はあるものの,いずれも有用なドキュメントなので,ぜひチェックしておこう。また,各プロダクトについての,新規のセキュリティ・ホール情報や日本語パッチがいくつか紹介されている。こちらについても要チェックだ。
セキュリティ・ドキュメントを揃えた「Security PickUp」コーナー
「TechNet セキュリティ センター」をチェックしていると,セキュリティ関連ドキュメントへのリンクを紹介している「Security PickUp」というコーナーが目をひいた。現在紹介しているドキュメントは,以下の3件である。
(1)「Code Red による深刻な問題に対する防護策と対処方法についての説明 よくある質問と回答」
(2)「安全な Web サーバー運営のための最適なセキュリティの実践」
(3)「ホームユーザー向け セキュリティ対策 早わかりガイド」([関連記事])
いずれも既存のドキュメントではあるが,「Security PickUp」というタイトルにふさわしい“旬”のドキュメントである。改めてチェックしておきたい。
(2)については,最終更新日が「2001年8月14日」と記されているものの,筆者にとっては初めて目にするドキュメントである。内容は,セキュアなサイト運営のために必要なドキュメントのリンク集。特徴は,各ドキュメントの重要度を星の数で示している点である。どのドキュメントから実践すべきかを明確にしているために分かりやすい。
ただし,以下に示す2点を改善すれば,もっと“使える”ドキュメントになるだろう。
1点目は星の付け方である。IIS 5.0 を使用しているサイトに対しては,(A)「Internet Information Services 5 セキュリティのチェックリスト」と,(B)「Web コンテンツの改ざんに対する防御策についての説明」に“星3つ”を付けて,もっとも重要度が高いとしている。
とはいえ,単に「サーバーをセキュアに運営したい」と考えているシステム管理者にとっては,(A)のドキュメントは少々難しすぎる。そのため,よりシンプルで分かりやすい(B)のドキュメントを星3つとして,(A)については星2つとしたほうが,管理者は手をつけやすいと思われる。
もう1点は,(2)で紹介されている,(B)「Web コンテンツの改ざんに対する防御策についての説明」についてである。このドキュメントは,先ほど星を3つにすべきと指摘したように,ドキュメントとして分かりやすく傑作の部類に入ると,筆者は思っている。そのため,このコラムでも繰り返し紹介している。ところが,2001年5月23日以来,更新が一切されていないのである。
そのため,IISのセキュア運用に必要な最新パッチが「(MS01-026)不要なデコーディング操作により IIS でコマンドが実行される」のままになっており,「(MS01-044)2001年8月15日 IIS 用の累積的な修正プログラム」はおろか,社会的に大きな影響を引き起こしたCode Red ワームを防ぐ「(MS01-033)Index Server ISAPI エクステンションの未チェックのバッファにより Web サーバーが攻撃される」や,Windows 2000 日本語版SP2 が記載されていない。
コンテンツの作りは非常に優れているだけに残念である。ぜひ,コンテンツの更新をお願いしたい。
『Windows 2000』は新規のセキュリティ・ホール情報が1件
次に,Windows関連のセキュリティ・トピックス(2001年8月31日時点分)を,各プロダクトごとに整理して解説する。
『Windows 2000』関連は,「マイクロソフト セキュリティ情報一覧」にて,新規のセキュリティ・ホール情報が1件公開された。
(1)Windows 2000 赤外線デバイスドライバでのアクセス違反により,システムが再起動する
Windows 2000では,Infrared Data Association (IrDA) が開発したプロトコルにより提供される,赤外線ベースの接続をサポートしている。ところが,特定のIrDA パケットを処理するコードに,未チェックのバッファが含まれていることが今回明らかとなった。
そのため,バッファ・オーバーフローを引き起こすように細工した赤外線パケットを送信されると,システムでアクセス違反が発生し,再起動を余儀なくされる可能性がある。
ただし,攻撃者のマシンが発する赤外線が,攻撃対象のマシンに物理的に届く必要がある。そのため,攻撃を受ける可能性は低いと考えられる。特に心配なユーザーだけがパッチを適用すればよいだろう。日本語情報と同時に日本語版パッチも公開されている。
『Windows NT 4.0』は新規の日本語版パッチが1件
『Windows NT 4.0』関連は,「マイクロソフト セキュリティ情報一覧」にて,新規の日本語版パッチが1件公開された。
(1)2001年8月15日 IIS 用の累積的な修正プログラム
パッチ自身については既に紹介済みである。“累積的”といっても,従来の修正パッチを単に集めたものではなく,新規のセキュリティ・ホール対応も含んだ,非常に重要なパッチである。
当初から公開されていたWindows 2000版に加えて,今回 Windows NT 4.0 版の日本語版修正パッチが公開された。ユーザーは速やかに適用しておこう。併せて,IIS 4.0の場合には,パッチ適用後に再起動する必要があることが追記されている。注意しよう。
『Windows 9x』は新規の日本語版パッチが1件
『Windows 9x』関連は,「マイクロソフト セキュリティ情報一覧」にて,新規の日本語版パッチが1件公開された。
(1)「断片化された IP パケットの組み立てなおし」の脆弱性に対する対策
断片化された IP データ・グラムを組み立てなおすコードにセキュリティ・ホールが存在する。そのため,ある特定の方法で改ざんされた,断片化された IP データ・グラムを連続的に送信されると,その処理のために CPU パワーのほとんどもしくはすべてを消費してしまい,DoS(サービス妨害)状態に陥る恐れがある。
日本語情報は2000年5月26日に公開されていたが,パッチは公開されていなかった。今回,Windows 95/98用の日本語版パッチがようやく公開された。必須ではないので,必要に応じてパッチを適用すればよいだろう。
各種クライアント・アプリは新規の日本語版パッチが1件
各種クライアント・アプリは,「マイクロソフト セキュリティ情報一覧」にて,新規の日本語版パッチが1件公開された。
(1)Outlook ビュー コントロールにより,安全でない機能が利用できる
内容については,過去のコラムで紹介済みである。2001年7月13日に日本語情報は公開されたものの,残念ながら日本語版パッチは公開されていなかった。今回 Outlook 2002 と Outlook 2000版 の日本語版修正パッチがようやく公開された。
加えて,製品によって影響が異なるという情報が追加された。Outlook 98/2000では,攻撃者はユーザーの表示オプションを変更することしかできないが,Outlook 2002 ではすべての操作を行えてしまう。Outlook 2002 ユーザーは,必ずパッチを適用しておこう。
パッチが公開されていない Outlook 98 ユーザーは,「Outlook 電子メール セキュリティアップデート」を適用するとともに,Internet Explorer のインターネット ゾーンでActiveX コントロールを無効にして,影響を回避しよう。
Microsoft サポート技術情報では注目すべき情報が2件
「Microsoft サポート技術情報」にて,注目すべき情報が2件公開された。
(1)Internet Explorer 5.5 Service Pack 2 で修正された問題の一覧
2001年8月15日に公開された日本語Internet Explorer 5.5 Service Pack 2(IE 5.5 SP2)により修正される問題の一覧である。
基本的に英語情報へのリンクの紹介であり,分かりやすいとはいえない。必要なユーザーだけチェックすればよいだろう。
(2)Internet Explorer 5.5 SP2 をアンインストールすると,バージョンが 3.0 に戻る
Windows NT 4.0 Service Pack 6a を適用したマシンに IE 5.5 SP2 を適用した後,その IE 5.5 SP2 をアンインストールすると,IE のバージョンが 3.0 に戻ってしまうという,ちょっと驚く情報である。
対処方法が記述されているので,こういう事象があるということだけ覚えておいて,発生したら参照すればよいだろう。
TechNet セキュリティ センターでは注目すべきドキュメントが2件
「TechNet セキュリティ センター」にて,注目すべきドキュメントが2件公開された。
(1)「Java アプレットの悪意を持った実行によって PC が被害を受ける」問題に関する注意事項
オークション・サイトである「Price Loto」 のコンテンツが改ざんされ,「(MS00-075) 『Microsoft VM による ActiveX コンポーネントの制御』の脆弱性に対する対策」のセキュリティ・ホールを悪用する攻撃スクリプトを設置された。その結果,未対策のIEでアクセスしたユーザーのパソコンが起動できなくなるなどの被害が発生した。このドキュメントは,その被害に対応するものである([関連記事])。
関連情報である,情報処理振興事業協会(IPA)の「悪意あるJavaスクリプト実行による被害情報」と併せてチェックしておこう。
(2)Windows 2000 Professional 用 Code Red ワーム対策ガイド
Windows 2000 Professional ユーザーを対象とする,Code Red ワーム対策を記述したドキュメントである。画面写真を豊富に用意し,非常に分かりやすい。Windows 2000 Professional では,カスタム・インストールしなければ IIS は組み込まれない。すなわち,デフォルトではワームの影響を受けることはない。しかし,テストとして IIS を一時的に組み込んでいたために,感染したユーザーは多かった。Windows 2000 Professionalユーザーは要チェックである。
TechNet セキュリティ Security PickUp
◆Code Red による深刻な問題に対する防護策と対処方法についての説明よくある質問と回答 (2001年8月22日)
◆安全な Web サーバー運営のための最適なセキュリティの実践 (2001年8月14日)
◆ホームユーザー向け セキュリティ対策 早わかりガイド (2001年8月22日)
マイクロソフト セキュリティ情報一覧
『Windows 2000』
◆(MS01-046)Windows 2000 赤外線デバイスドライバでのアクセス違反により,システムが再起動する
(2001年8月22日:日本語解説&日本語版パッチ公開)
『Windows NT 4.0』
◆(MS01-044)2001年8月15日 IIS 用の累積的な修正プログラム
(2001年8月20日:日本語版パッチ公開)
(2001年8月24日:再起動の必要性に関する情報を明確にして追加公開)
『Windows 9x』
◆(MS00-029)「断片化された IP パケットの組み立てなおし」の脆弱性に対する対策
(2001年8月27日:Windows 95,Windows 98用日本語版パッチ公開)
『Outlook』
◆(MS01-038)Outlook ビュー コントロールにより,安全でない機能が利用できる
(2001年8月27日:日本語版パッチ公開と,Outlook 2002/2000/98 で異なった影響がおよぶという情報を追加公開)
Microsoft サポート技術情報
◆Internet Explorer 5.5 Service Pack 2 で修正された問題の一覧 (2001年8月18日)
◆Internet Explorer 5.5 SP2 をアンインストールすると,バージョンが 3.0 に戻る (2001年8月22日)
TechNet セキュリティ センター
◆「Java アプレットの悪意を持った実行によって PC が被害を受ける」問題に関する注意事項 (2001年8月22日)
◆Windows 2000 Professional 用 Code Red ワーム対策ガイド (2001年8月22日)
山下 眞一郎(Shinichiro Yamashita)
株式会社 富士通南九州システムエンジニアリング
第二ソリューション事業部システムサービス部 プロジェクト課長
yama@bears.ad.jp
「今週のSecurity Check [Windows編]」は,IT Proセキュリティ・サイトが提供する週刊コラムです。Windows関連のセキュリティに精通し,「Winセキュリティ虎の穴」を運営する山下眞一郎氏に,Windowsセキュリティのニュースや動向を分かりやすく解説していただきます。(IT Pro編集部)