マイクロソフトは4月12日,Windows 2000用のセキュリティ・パッチを集めた「SRP2」のリリースをキャンセルした。そこで今回のコラムでは,SRP2を期待していたユーザーのために,最新の「Windows 2000 SP2 と SRP1 適用後に必要なセキュリティ・パッチ一覧」をお送りする。併せて,4月10日に公開されたInternet Information Server/Services(IIS)のセキュリティ・ホールについても解説する。

キャンセルされたSRP2

 マイクロソフトは,2002年夏までに予定されているセキュリティ関連パッチやツールのリリース計画を発表した(関連記事)。その中で,「Security Rollup Package(SRP)」の次バージョン「SRP2」のリリースをキャンセルしたことを明らかにした。

 SRPは,Windows 2000用のセキュリティ関連パッチを集めた“集積”パッチであり,第一弾のSRP1は1月30日にリリースされている(関連記事)。

 マイクロソフトでは,2カ月に1回の頻度でSRPをリリースするとしていたので,SRP2は4月にはリリースされる予定であった。しかし,SRP2の開発がずれ込み,「Windows 2000 Service Pack 3(SP3)」のリリースに近づいたために,SRP2をキャンセルしたようだ。SRP2に含まれる予定だったパッチは,SP3に含まれることになる。

 つまり,2002年夏までに提供予定のSP3までは,個別のパッチを一つひとつ適用しなければならなくなった。SRP2を期待して,個別パッチの適用がおろそかになっていたユーザーは少なくないだろう。そこで今回のコラムでは,最新の「Windows 2000 SP2 と SRP1 適用後に必要なセキュリティ・パッチ一覧」をお送りする。一覧を参考にして,パッチの適用状況を改めてチェックしていただきたい。

必要なセキュリティ・パッチは9種類

 以前のコラムでも,「SRP1適用後に必要なセキュリティ・パッチ一覧」と題して,SP2 と SRP1 適用後に必要なパッチを紹介した。

 しかしその後,パッチが複数登場したために,現状ではどのパッチを適用すればよいのかが分かりづらくなっている。そのため,今回のSRP2のキャンセルを機に,筆者自身が運営する「Winセキュリティ虎の穴」サイトで管理している「Windows 2000 SP2適用後に必要なセキュリティ・パッチ一覧」を更新し,以下に掲載する。

 2002年4月21日時点で,「Windows 2000 日本語版 SP 2」と「Windows 2000 SRP1」の適用後に別途必要なセキュリティ・パッチは以下の9種類である。Windows NT の場合と異なり,Windows 2000の場合には,パッチの適用順にこだわる必要はない。公開が古いパッチから順に適用すればよいだろう。

 なお,一覧には各プロダクト向けのパッチを含めていないので注意してほしい。Internet Explorer(IE)やOfficeといった,プロダクト用のパッチについては,必要に応じて別途適用してほしい。

「Windows 2000 SP2 と SRP1 適用後に必要なセキュリティ・パッチ一覧」2002年4月21日版(powered by 「今週のSecurity Check」)

Internet Information Services 用の累積的な修正プログラム (Q319733) (MS02-018)

◆Q311967: Multiple UNC Provider の未チェックのバッファによりコードが実行される(MS02-017)

◆Q318593 : 読み取り専用アクセスのグループ ポリシー ファイルを開くと,ポリシーの適用が妨害される(MS02-016)

Windows Shell の未チェックのバッファにより,コードが実行される(MS02-014)

2002 年 3 月 4 日 VM 用の累積的な修正プログラム(MS02-013)

不正なデータ送信リクエストにより Windows SMTP サービスが異常終了する(MS02-012)
 「MS02-011」のパッチを含む(正確には,「MS02-011」と「MS02-12」のパッチは同一)

XMLHTTP コントロールにより,ローカル ファイルにアクセスすることができる(MS02-008)
 *影響を受けるかどうかを確認した上で適用する

SNMP サービスに含まれる未チェックのバッファにより,任意のコードが実行される(MS02-006)

WebDAV Service Provider によりスクリプトがユーザーとしてリクエストを行う(MS01-022)

 「MS02-008」は,Windows 2000ではなく「Microsoft XML Core Services(MSXML)」のセキュリティ・ホールである。そのため当初は,MSXML を含むWindows XP,IE 6.0,SQL Server 2000 が影響を受けるとされていた。Windows 2000にはデフォルトでは含まれていない。

 しかし,MSXMLは市販のソフトウエアや他のマイクロソフト製品に含まれている可能性がある。それらをインストールしている場合には,Windows 2000のシステムも影響を受けることになる。影響を受ける場合にだけ,「MS02-008」のパッチを適用すればよい。

 影響を受けるかどうかの確認方法については,「マイクロソフト セキュリティ情報 (MS02-008):よく寄せられる質問」に詳しい。具体的には,「MSXML2.DLL」「MSXML3.DLL」「MSXML4.DLL」の有無で判断する。

 なお,マイクロソフトの情報である「Windows 2000 SP 2 セキュリティ修正プログラム一覧」でも,今回紹介した一覧と同様の情報は公開されている。

 以前のコラムで指摘したように,同社のサイトでは,更新されずに捨て置かれているページも少なくなかった。しかし,少なくともWindows 2000の場合には,状況が改善されて,きちんとアップデートされているようだ。

 こういった改善は大歓迎である。同社の情報が今後も確実にアップデートされるようなら,ユーザー(筆者自身を含む)がそれぞれパッチ情報を追う必要はなくなる。その日が一日でも早く来ることを期待したい。

IIS に10種類のセキュリティ・ホール

 上記以外の,Windows関連のセキュリティ・トピックス(2002年4月21日時点分)を,各プロダクトごとに整理して解説する。まず,サーバー関連では「マイクロソフト セキュリティ情報一覧」にて,新規の日本語情報とパッチが2件公開された。IIS とSQL Server に関するものだ。まずはIISから説明しよう。

Internet Information Services 用の累積的な修正プログラム (Q319733) (MS02-018)

 IIS 4.0/5.0/5.1 が影響を受ける,10 種類の新しいセキュリティ・ホールが公開された(関連記事)。最も深刻なセキュリティ・ホールを悪用されると,任意のコードをサーバーで実行される可能性がある。

 日本語版パッチは既に公開されている。非常に深刻なセキュリティ・ホールなので,すべてのIISに対し,速やかにパッチを適用する必要がある。

 パッチの適用条件は,IIS 4.0 用修正パッチの場合Windows NT 4.0 SP6aを適用済みであること。IIS 5.0 用の場合は Windows 2000 SP1 あるいは SP2を適用済みであること。IIS 5.1 用の場合は適用条件はない。なお,ビルド 3605 以降の .NET Server ベータ版は影響を受けない。

 なお,レポート公開から2日後に「警告」情報が追加されたので,注意しておきたい。Windows 2000 に Site Server 3.0 がインストールされている場合,今回の修正パッチを適用すると,「Membership 認証」が行われなくなるという(関連記事)。この問題を修正する Site Server のパッチが公開されているので,必要に応じて適用しよう。

セキュリティ上のセオリーは重要

 次に,セキュリティ・ホールの内容について簡単に解説しよう。

 公開されたセキュリティ・ホールは以下の10種類である。それぞれの詳細については割愛するので,マイクロソフトの情報などを参照していただきたい。

  1. 「チャンクされたエンコード転送のバッファのオーバーラン」
  2. 「チャンクされたエンコード転送のバッファのオーバーラン」
  3. 「HTTP ヘッダー処理のバッファのオーバーラン」
  4. 「ASP サーバー側インクルード機能のバッファのオーバーラン」
  5. 「HTR ISAPI エクステンションのバッファのオーバーラン」
  6. 「URL エラー処理のアクセス違反」
  7. 「FTP 状態リクエストによるサービス拒否」
  8. 「IIS ヘルプ ファイル検索機能のクロスサイト スクリプティング」
  9. 「HTTP エラー ページのクロスサイト スクリプティング」
  10. 「リダイレクト応答メッセージのクロスサイト スクリプティング」

 1 から 4は,ASP(Active Server Pages)に関するセキュリティ・ホールである。5 が HTR ISAPI エクステンション,6 が ISAPIフィルタ,7 が FTP サービスに関するもの。8 から 10はクロスサイト・スクリプティング(CSS)に関するセキュリティ・ホールである。

 以上10種類のうち6種類は,セキュリティ上の“セオリー”を守っていれば回避可能である。具体的には,

 (1)不要な場合ASP機能を無効にすること
 (2)HTR ISAPI エクステンションを無効にすること
 (3)匿名の FTPサービスを停止すること

を実施していれば,回避できたのである。最新のパッチを適用していくことはもちろん不可欠ではあるが,セキュリティ上のセオリーを守ることの重要性を改めて認識してほしい。

 また,マイクロソフトが公開しているセキュリティ・ツール「IIS Lockdown」や「URLScan」を適切に使用することでも,今回のセキュリティ・ホールによる影響をある程度回避できるようだ。

パッチはすぐに適用しないほうがよいのか?

 前述のように,レポート公開から2日後には,パッチを適用するとSite Serverの認証に不具合が発生することが明らかとなった。実はレポート公開直後から,この件についてはメーリング・リストなどで指摘されていた。そのため,たとえSite Serverを導入していなくても,状況が明らかになるまでは,パッチの適用を見送った管理者も多かったようだ。

 この判断は正しかったのだろうか。はっきり言って現在では「誤り」である。速やかに対応しなければならなかった。

 なぜならば,今回のセキュリティ・ホールに関しては,マイクロソフトから情報が公開された直後から,アタックの有効性を検証するコード(いわゆる「Exploit」コード)や,セキュリティ・ホールを悪用するための情報が出回ったためだ。

 一昔前なら,「すぐにはパッチを適用しない」というのも,一概には誤りと言い切れず,場合によっては良い判断だった。というのも,品質が悪いパッチも多く,適用した途端にシステムが動かなくなることもままあったからだ。

 それに,パッチを適用しなくても,すぐにアタックを受けるということはほとんどなかった。パッチの品質を見極める時間的な余裕があったのだ。

 ところが,現在ではその時間的な余裕はほとんどない。今回に限らず,深刻なセキュリティ・ホールが見つかれば,すぐにExploitや悪用方法が出回るのである。様子を見ている間にアタックを受ける恐れは十分にある。

 そのため,深刻なセキュリティ・ホールの場合には,インターネット上のIISに対しては速やかにパッチを適用し,問題が発生すれば改めて対応するというアプローチが必要である。

 もし,業務への影響が懸念されるのであれば,テスト機を使ってセキュリティ・ホールの影響やパッチの有効性を検証した上で,速やかに対応することだ。とにかく,パッチの適用が大前提なのである。

SQL Server にセキュリティ・ホール

SQL 拡張プロシージャ機能に未チェックのバッファが含まれる (Q319507) (MS02-020)

 SQL Server 7.0/2000において拡張ストアド・プロシージャを使用している場合,SQL Server サービスを異常終了させられたり,任意のコードを実行されたりする恐れがあるセキュリティ・ホールだ。

 原因は,拡張ストアド・プロシージャ機能に含まれる未チェックのバッファである。そのため,ある特定のクエリーにより,バッファ・オーバーランを引き起こす恐れがある。なお,任意のコードは SQL Server が実行されているセキュリティ・コンテキストで実行される。

 既に公開されている日本語版パッチを適用すれば回避できる。パッチの適用前提は,SQL Server 7.0 用パッチの場合 SQL Server 7.0 SP3を適用済みであること。SQL Server 2000 の場合には,SQL Server 2000 SP2を適用済みであること。

 なお,セキュリティ上のセオリー通りに,信頼されていないユーザーからのクエリーの読み込みや実行を許可していない場合や,処理前にクエリーの内容をチェックしている場合には影響を受けない。こういった対策をきちんと実施している場合には,必要に応じてパッチを適用すればよいだろう。

ゴールデンウィーク中は要注意

 「TechNet Online セキュリティ」では,ドキュメントが2件公開された。(1)「Klez に関する情報」と(2)ゴールデンウィーク中のセキュリティ対策について」である。

 (1)は,亜種が多く特徴を特定することが困難な「Klez」ワーム(ウイルス)に関する警告である(関連記事)。感染自体ももちろん危険であるが,重要機密を漏えいしてしまうという危険性も指摘されている(関連記事)。対応を徹底しよう。

 (2)は,ゴールデン・ウィークの長期休暇に入る前の対策を促す警告レポートである。特に,IISに関しては,対策として「Internet Information Services 用の累積的な修正プログラム (Q319733) (MS02-018)」の適用が挙げられている。過去には,管理者の対応が手薄になる年末年始をターゲットにしたアタックが数多く発生している。ゴールデン・ウィーク中も十分注意しよう。



マイクロソフト セキュリティ情報一覧

『Internet Information Server/Services』
Internet Information Services 用の累積的な修正プログラム (Q319733) (MS02-018)
 (2002年4月10日:日本語情報および日本語版修正パッチ公開,最大深刻度 : 高)
 (2002年4月12日:レポートが更新され,修正パッチの適用後IIS 4.0 システムを再起動する必要がないとの情報と,「警告」 の欄で Site Server の認証問題を追加,最大深刻度 : 高)
 (2002年4月16日:レポートが更新され,IIS 5.0 の NEC PC-9800 シリーズ用の日本語版修正パッチ公開の情報追加,最大深刻度 : 高)

『SQL Server 7.0/2000』
SQL 拡張プロシージャ機能に未チェックのバッファが含まれる (Q319507) (MS02-020)
 (2002年4月18日:日本語情報および修正パッチ新規公開,最大深刻度 : 中)

TechNet Online セキュリティ

Klez に関する情報 (2002年 4月18日)

ゴールデンウィーク中のセキュリティ対策について (2002年 4月17日)


山下 眞一郎(Shinichiro Yamashita)
株式会社 富士通南九州システムエンジニアリング
第一ソリューション事業部ネットソリューション部 プロジェクト課長
yama@bears.ad.jp


 「今週のSecurity Check [Windows編]」は,IT Proセキュリティ・サイトが提供する週刊コラムです。Windows関連のセキュリティに精通し,「Winセキュリティ虎の穴」を運営する山下眞一郎氏に,Windowsセキュリティのニュースや動向を分かりやすく解説していただきます。(IT Pro編集部)