IISの新しいセキュリティ・ホールを解説する

深刻度は比較的高くないが対応を，パッチ適用時には注意点が複数

山下眞一郎

2002.11.06

　IIS（Internet Information Server/Services）の新しいセキュリティ・ホールが久しぶりに公開された。2002年6月に公開された「MS02-028」以来である。IISのセキュリティ・ホールはCode RedやNimdaといったワーム（ウイルス）に悪用されて大きな被害をもたらしたこともあり，管理者としては気になるところだ。そこで今回のコラムでは，IISの新しいセキュリティ・ホールについて，その深刻度や対策の緊急性などについて解説したい。併せて，新規に公開されたWindows 2000やXPのセキュリティ・ホールについても解説する。

IISに4種類の新しいセキュリティ・ホール

　2002年10月31日，IISのセキュリティ・ホールに関する「セキュリティ情報」が公開された。

Internet Information Service 用の累積的な修正プログラム (Q327696) (MS02-062)

　影響を受けるのは，IIS 4.0／5.0／5.1を稼働しているWindows NT 4.0／2000／XPマシン。今回公開された新規のセキュリティ・ホールは4種類で，最も深刻なセキュリティ・ホールを悪用されると，IISサーバーのシステム権限を奪取される可能性がある（関連記事）。

　対策は同社が公開するパッチを適用することである。パッチの適用条件は，IIS 4.0の場合がWindows NT 4.0 Service Pack（SP）6a，IIS 5.0の場合はWindows 2000 SP2 または SP3を適用済みであること。IIS 5.1の場合はWindows XP SP1を適用済みであることである。

　なお，IIS 4.0はWindows NT 4.0 Option Packに，IIS 5.0 は Windows 2000 Datacenter Server／Advanced Server／Server／Professional に，IIS 5.1 は Windows XP Professionalに含まれている。ただし，Windows 2000／XP Professional においては，デフォルトではIISは実行されない。

　今回公開された「MS02-062」は，以下の4種類のセキュリティ・ホールが対象である。

　（a）アウト・プロセスの権限の昇格のぜい弱性
　（b）WebDAV のサービス拒否のぜい弱性
　（c）スクリプト・ソース・アクセスの許可のぜい弱性
　（d）IIS 管理ページのクロスサイト・スクリプティングのぜい弱性

　（a）（b）の最大深刻度は「中」，（c）（d）の最大深刻度は「低」である。IIS 4.0が影響を受けるのは（a）と（d），IIS 5.0は4種類すべての影響を受ける。IIS 5.1が影響を受けるのは（c）を除く3種類である。

　今回公開されたパッチは，今までに公開されたIISのセキュリティ・ホールすべてを修正する“累積パッチ”である。さらに，今回のパッチを適用すれば，IIS 5.0／5.1が影響受ける「フラッディング攻撃」の問題も解消できる。フラッディング攻撃の問題とは，多数のリクエストが集中すると，たとえそれらが正当なリクエストであっても，サーバーが正常に動作しなくなるという問題である。

　原因は，IIS 5.0／5.1が備えるバック・ログ監視機能。IIS 5.0／5.1では，処理できないリクエストを「バック・ログ・リスト」に保持しておくのだが，リクエストが集中すると，サーバーが一時的に飽和状態になってしまう。今回のパッチを適用すると，リストを削除する間隔を短くできるので，サーバーの動作が影響を受けにくくなる。なお，IIS 4.0にはバック・ログ監視機能がないので関係はない。

　それでは，今回公開された新しいセキュリティ・ホールを順に解説していこう。

システム権限を奪われる恐れあり，ただし可能性は小

　（a）の「アウト・プロセスの権限の昇格のぜい弱性」を悪用すれば，IISサーバー上で悪意があるアプリケーションをLocalSystem 権限で実行できてしまう。その結果，システム権限を奪い，サーバーを事実上乗っ取ることが可能となる。

　ただし，セキュリティ・ホールを悪用するには，攻撃者はIISサーバーにアプリケーションをアップロードする権限，実行する権限を持っていなければならない。そのため，悪用される可能性は比較的小さいと考えられる。

　今回のようなセキュリティ・ホールの影響を回避するには，信頼できないユーザーにはアップロードの権限を与えないことが重要である。また，信頼できるユーザーのアプリケーションであっても，そのアプリケーションがアップロードされる前にはチェックする必要がある。これらはWebサーバーをセキュアに運用する上でのセオリーである。

　（a）を悪用する代表的なシナリオは，マイクロソフトが公開する「よく寄せられる質問」に記載されている通りである。例えば，何らかの方法で既にユーザー権限を奪取した攻撃者が，このセキュリティ・ホールを悪用してシステム権限を取得する，といったシナリオが想定される。また，ISP が複数のユーザーの Web サイトを 1 台のサーバーにホストし，ユーザー権限を適切に管理していない場合にこのセキュリティ・ホールが悪用されうる，としている。

　また，IIS が「アウト・プロセス」でアプリケーションを実行するように設定されている場合のみ（a）の影響を受ける。IIS 5.0／5.1はデフォルトでアウト・プロセスで実行するように設定されている。IIS 4.0は「イン・プロセス」で実行するように設定されているので，デフォルトでは影響を受けない。

　ただし一言付け加えておくと，アウト・プロセスよりもイン・プロセスのほうが安全，ということではない。イン・プロセスでは通常LocalSystem 権限でアプリケーションが実行されるので，アウト・プロセスよりもセキュリティ上“危険”なのである（アウト・プロセスではWebアプリケーション・マネージャ・アカウントで実行される）。イン・プロセスでは（a）を悪用しなくても，LocalSystem 権限で実行されてしまうのだ。

　（b）「WebDAV のサービス拒否のぜい弱性」と（c）「スクリプト・ソース・アクセスの許可のぜい弱性」は，WebDAV リクエストがサーバー上で実行されることを許可している場合のみ影響を受ける。悪用されると，IISが異常終了する恐れがある。なお，「IIS Lockdown Wizard ツール」を適用している場合には影響を受けない。また，IIS 4.0は WebDAV をサポートしていないので影響を受けない。

　（d）「IIS 管理ページのクロスサイト・スクリプティングのぜい弱性」は，IIS を実行しているマシンで Web ページを閲覧したり，HTML 形式の電子メールを読んだりしている場合のみ影響を受ける。こうした操作をサーバー・マシンで行うことはセキュリティのセオリーに反する。実際，サーバー・マシンでこうした操作を行っているケースは少ないので，影響度は比較的小さいと考えられる。

既に攻撃されている可能性も小

　次に，英文レポートの「Acknowledgments」（謝辞）から，今回公開されたセキュリティ・ホールが，マイクロソフトの公開前に明らかになっていたかどうか調べてみた。

　セキュリティ・ホールの発見者が，マイクロソフトへ事前に報告して，パッチの作成等に協力した場合だけ，発見者名などがAcknowledgmentsの欄に記載される。マイクロソフトが公開する前に，発見者が独自に公表した場合には掲載されない。つまり，Acknowledgmentsに発見者名などが記載されているセキュリティ・ホールについては，事前に公になっている可能性は小さい。

　結論から言うと，今回公開された4種類のセキュリティ・ホールのいずれについても発見者名が記載されている。そのため，今回のセキュリティ・ホールを悪用する攻撃が既に行われている可能性は小さいと考えられる。

　ちなみにそれぞれの発見者は，（a）がA3 Security ConsultingのLi0n氏，（b）がNext Generation Security SoftwareのMark Litchfield氏，（c）がインターナショナル・ネットワーク・セキュリティの佐名木智貴氏である。そして（d）の発見者は，「今週のSecurity Check[一般編]」でもおなじみのラックの新井悠氏である。また，フラッディング攻撃の問題については，Deloitte & Touche Argentinaの Luciano Martins氏が指摘した。

パッチ適用時には「警告」欄に注意

　セキュアな運用を心がけているIISサーバーでは，今回公開されたセキュリティ・ホールの影響をすぐに受けることはないので，あわててパッチを適用する必要はない。しかし，今後設定などを変更する際に，“穴”ができてしまう可能性があるので，できる限り速やかに適用したい。

　また，前回公開されたIIS関連のセキュリティ・ホール「MS02-028」の場合と同様に，今回も「IIS Lockdown Wizard ツール」の有効性が示された。未適用の場合は，ぜひ適用することを検討してほしい。

　なお，パッチを適用する際には，セキュリティ情報の「警告」の欄を確認しておく必要がある。具体的には，同欄に記載されているように，IIS 4.0のセキュリティ・ホールに関する一部のパッチや，Front Page Server Extensions や Index Server に対するパッチの多くは含まれていない。これらについては別途適用する必要がある。

　また，IIS 4.0にパッチを適用する前には，Windows NT 4.0 Service Pack 6a が適用されていることを確認するよう求めている。

　さらに，Site Server 3.0 を使用している場合には注意が必要だ。Site Server にマップされた Web サイトへのログオンが不規則に失敗するという，認証エラーの問題がある。この問題は既に報告されており，「マイクロソフトサポート技術情報」にその解消方法が記載されている。

Windows 2000のアクセス権に問題，NTユーザーも要注意

　次に，上記以外のWindows関連のセキュリティ・トピックス（2002年11月4日時点分）を，各プロダクトごとに整理して解説する。

　各種OS関連では，「マイクロソフトセキュリティ情報一覧」にて，新規日本語情報およびパッチが2件公開された。

（1）Windows 2000 の既定のアクセス権により，トロイの木馬プログラムが実行される (Q327522) (MS02-064)

　Windows 2000においては，システム・ドライブのルート・フォルダ（通常はC:\）に対するEveryoneグループの権限がフル・コントロールに設定されている。このため攻撃者が，よく使われるプログラムと同じ名前を付けた悪意のあるプログラムをルート・フォルダに置くことで，他のユーザーにそのプログラムを実行させることが可能となる。いわゆる「トロイの木馬」である。

　この場合，プログラムはそのユーザーの権限で実行されるため，不正なプログラムの実行，システム上のデータの変更，ハード・ディスクの初期化など，ユーザーが可能な操作をすべて許してしまう。

　ただし，システム・ドライブのルート・フォルダが検索パスに含まれる場合のみ，悪意のあるプログラムを実行することになる。具体的には，システム・ルートがカレント・フォルダである場合に実行される。具体的には，ログオン・スクリプトが実行されるシステム起動時や，Windows デスクトップからプログラムを起動する場合が該当する。

　対策は設定を変更すること。パッチは公開されていない。具体的には，Windows 2000 のシステム・ルート・ディレクトリのアクセス権を「よく寄せられる質問」の情報に従って変更する。マイクロソフトのサイトには，「セキュリティテンプレート」を使用して，適切なアクセス権を設定する方法も紹介されている。

　なお Windows XP では，システム・ルートに対するEveryoneのアクセス権は読み取りだけなので問題はない。

　セキュリティ情報では言及されていないが，Windows NTユーザーも注意しなければならない。Windows NT 4.0では，システム・ルートだけでなく，すべてのフォルダがデフォルトで Everyone フル・コントロールとなっているので，Windows 2000同様，攻撃者にトロイの木馬を仕掛けられる恐れがある。しかも，Windows 2000よりも事態は深刻である。攻撃者はシステム・ファイルを直接上書きすることさえ可能なのだ。「Windows NT 4.0 Server ベースラインセキュリティチェックリスト」等のドキュメントを参考にして，ファイルとフォルダのアクセス権を適切に設定しておく必要がある。

　ただし，トロイの木馬プログラムをリモートからWindowsマシンに送り込むことはできない。トロイの木馬プログラムを配置するには，攻撃者はシステムに対話的にログオンする必要がある。対話的にログオンできるユーザーを制限することと，パスワードを適切に管理することはセキュリティ上のセオリーである。徹底しよう。

Windows 2000／XPのPPTPにセキュリティ・ホール

（2）PPTP サービスの未チェックのバッファにより，サービス拒否の攻撃を受ける (Q329834) (MS02-063)

　Windows 2000 および Windows XP において，仮想プライベート・ネットワーク（VPN）を実現するためのPPTP（ポイント・ツーポイント・トンネリング・プロトコル）サービスにセキュリティ・ホールが見つかった。

　サーバーとしてPPTP サービスを提供している場合，あるいはクライアントとして PPTP を使用してリモート・アクセスしている場合，DoS（サービス妨害）攻撃を受ける可能性がある。PPTPのコントロール・データを処理するコードのある部分に，未チェックのバッファが存在することが原因である。コントロール・データとは，PPTP 接続の確立，保守，切断するためにやり取りするデータのこと。このため，攻撃者からあるPPTP コントロール・データを送信されると，バッファ・オーバーランが発生して，DoS状態に陥る恐れがある。

　対策はパッチを適用すること。パッチの適用条件は，Windows 2000 用が Windows 2000 SP2 または SP3 を適用済みであること，Windows XP 用が Windows XP SP1 を適用済みであることである。

　なお，Windows NT 4.0／98／98SE／ME でも，オプション・コンポーネントを適用すればPPTPがサポートされるが，これらのOSのPPTPには今回のセキュリティ・ホールは存在しない。

　また，このセキュリティ・ホールは，PPTP サービスを提供するように設定している場合にのみ影響を受ける恐れがある。PPTPはいずれのOSでもデフォルトでは実行されない。そのため，リモート・アクセス・サービス（RAS）でPPTPを使用している場合のみ，パッチを適用すればよいだろう。

セキュリティ警告サービスに誤配信

　ところで，今回紹介した3件のセキュリティ・ホール情報について，マイクロソフトの「プロダクトセキュリティ警告サービス」では誤配信があったようだ。プロダクトセキュリティ警告サービスとは，登録ユーザーに対してセキュリティ情報をメールで通知する便利なサービスである。

　登録ユーザーである筆者には，3件のセキュリティ・ホールを伝えるメールが11月1日にそれぞれ1通ずつ送られてきた。ところが11月2日の未明に，「MS02-063」と「MS02-062」については1通ずつ，「MS02-064」については7通，同じメールが再び送られてきた（IT Pro注：編集部の登録ユーザーにも，「MS02-063」と「MS02-062」が1通ずつ，「MS02-064」については2通重複して送られてきた）。

　実害はなかっただろうが，新手のメール攻撃かとビックリした登録ユーザーも多かったのではないだろうか。マイクロソフトからは何のアナウンスもない(11月4日現在）。同サービスを頼りにしているユーザーは多い。運用には十分注意して頂きたい。

各セキュリティ情報へジャンプするページが公開

　TechNet Online　セキュリティでは，「マイクロソフトセキュリティチームに連絡を取る」というページが公開された。

　このページのプルダウン・メニューを選択することで，セキュリティに関するさまざまなページにジャンプすることができる。例えば，「マイクロソフトの Web サイトの問題を報告したい」，「セキュリティ修正プログラムの問題を報告したい」，「マイクロソフト製品のセキュリティを向上させるための提案をしたい」，「マイクロソフト製品のぜい弱性の報告をしたい」といったメニューが並んでいる。

　筆者が注目したのは，「マイクロソフト製品のぜい弱性の報告をしたい」であった。このメニューを見たとき，日本語でセキュリティ・ホールの報告ができるように改善されたのかと期待した。ところがメニューを選択すると，以前から公開されていた「セキュリティ問題に関する情報をお寄せください」というドキュメントにジャンプするだけだった。そこでは以前同様，英語で報告するよう求めている。がっかりである。報告の間口を広げるために，ぜひ日本語でも報告できるよう改善していただきたい。

アンチウイルス・ベンダーからトピックが2件

　最後に，マイクロソフト以外から公開された，ウイルス対策ソフトの話題を2件紹介して今回のコラムを締めくくりたい。

　アンチウイルス・ベンダーのシマンテックからは，同社ソフト「Norton Internet Security 2003」のトラブル情報が11月1日付けで公開された。メールに含まれるウイルスをチェックし駆除する同ソフトが，ウイルスを含まない正常なメールを削除してしまうというトラブルである。同社は現在原因を調査中であり，原因や対処方法が判明したら，同社ページで公開するという。同製品ユーザーは注意しておこう。

　日本ネットワークアソシエイツのウイルス対策ソフトにもトラブルが見つかっている。「Insane」ウイルスを誤検知する（ウイルスに感染していないファイルを，感染していると報告する）トラブルが10月17日付けで公開されている。

　具体的には，10月17日時点の最新の定義ファイルである「4229」を，既にサポートが終了したバージョンのエンジン「4.0.70」，「4.0.90」，「4.1.40」で使用すると「W32/Insane.dam」を誤検出する。当時，ウイルスが含まれると誤検知された無害なファイルを，ユーザーが誤って削除してしまうというトラブルが，筆者の知る範囲でも確認されている。同社製品のユーザーは十分注意していただきたい。

マイクロソフトセキュリティ情報一覧

『IIS 4.0／5.0／5.1』
◆Internet Information Service 用の累積的な修正プログラム (Q327696) (MS02-062)
　（2002年10月31日：日本語情報および日本語版累積修正プパッチ公開，最大深刻度 : 中）

『Windows 2000』
◆Windows 2000 の既定のアクセス権により，トロイの木馬プログラムが実行される (Q327522) (MS02-064)
　（2002年10月31日：日本語情報およびWindows 2000 のシステム・ルート・ディレクトリのアクセス権の変更箇所の公開，最大深刻度 : 中）

『Windows 2000／XP』
◆PPTP サービスの未チェックのバッファにより，サービス拒否の攻撃を受ける (Q329834) (MS02-063)
　（2002年10月31日：日本語情報および日本語版パッチ公開，最大深刻度 : 高）

TechNet Online　セキュリティ

◆マイクロソフトセキュリティチームに連絡を取る

山下　眞一郎（Shinichiro Yamashita）
株式会社富士通南九州システムエンジニアリング
第一ソリューション事業部ネットソリューション部　プロジェクト課長
yama@bears.ad.jp

　「今週のSecurity Check [Windows編]」は，IT Proセキュリティ・サイトが提供する週刊コラムです。Windows関連のセキュリティに精通し，「Winセキュリティ虎の穴」を運営する山下眞一郎氏に，Windowsセキュリティのニュースや動向を分かりやすく解説していただきます。（IT Pro編集部）