マイクロソフトから深刻度「緊急」のセキュリティ・ホールが相次いで公開された。これだけ相次ぐと,「またか」と思って深刻に受け止めないユーザーも少なくないだろうが,今回は異なる。3月18日に公開された,IIS(Internet Information Server)サーバーが影響を受けるWindows 2000のセキュリティ・ホールは,本当に深刻なのだ(関連記事)。パッチが公開される前に攻撃コードが存在し,実際に攻撃されたサイトも存在するという。パッチの適用を欠かさないサイトでも,攻撃されている可能性があるのだ。

 相次ぐ「緊急」にマヒすることなく,それぞれのセキュリティ・ホール情報をきちんとチェックするとともに,日ごろからの“基本的”なセキュリティ対策の重要性を改めて認識してもらいたい。後述するように,基本的な対策を施していれば,パッチを適用していなくても攻撃を回避できたのである。

IISサーバーが狙われる深刻なセキュリティ・ホール

 なぜ今回のセキュリティ・ホールが“過去最大級”の危険度であったのかを説明する前に,セキュリティ・ホールの概要を解説する。

 Windows 2000に含まれるコンポーネントの一つに,深刻なセキュリティがあることが3月18日に明らかにされた。IIS 5.0の分散オーサリングおよびバージョン管理 (WebDAV:World Wide Web Distributed Authoring and Versioning)が使用する Windows コンポーネント(Ntdll.dll)に未チェックのバッファが存在する。

 このため,IIS 5.0を稼働させているWindows 2000マシンに,細工が施された HTTP リクエストを送信されると,マシンを停止させられたり,任意のコードを実行させられたりする恐れがある。

 対策はパッチを適用すること。深刻度は最悪の「緊急」である。速やかにパッチを適用しよう。パッチの適用前提は,Windows 2000 SP(Service Pack)2 または SP3を適用していることである。Windows 2000に含まれるコンポーネントのセキュリティ・ホールなので,Windows NTのIIS 4.0やWindows XPのIIS 5.1は影響を受けない。

 今回はIISへの影響が前面に出されているが,あくまでセキュリティ・ホールが存在するのは,WebDAVが使用する Windows コンポーネント(Ntdll.dll)である。IISを経由しない攻撃手法が発見される恐れがあるので,IISを使用していなくても今回のパッチを必ず適用する必要がある。ただし,今回は脅威が明確であるWebDAV関連のIISに絞って話を進めていく。

 なお,パッチの適用に関する警告が,3月19日に追記されているので注意したい。Windows 2000 SP2の環境に適用すると,パッチ適用後の最初の再起動時にエラーが発生して「Stop 0x00000071」というメッセージが表示される場合がある。

 これは,Windows 2000に含まれるプログラム「ntoskrnl.exe」が特定のバージョンである場合に発生する。問題が発生するバージョンは,マイクロソフトの「プロダクト サポート サービス」から配布されたパッチにのみ含まれる。Windows Update や同社のWeb サイトにおかれているパッチには含まれていない。

 問題が発生するバージョン番号やバージョンの確認方法は,セキュリティ情報に記載されているので,SP2の環境にパッチを適用するユーザーは確認したい。問題が発生した場合の復旧方法については,「よく寄せられる質問」に記載されている。パッチ適用前にSP3にバージョンアップすることでも回避できる。

 今回(MS03-007)のセキュリティ・ホールは,リモートから公開用IISサーバーを攻撃できる,とても危険なセキュリティ・ホールである。インターネット セキュリティ システムズが3月21に公開した「米国を中心としたWebサイトの改ざんについて」では,「MS03-007」のセキュリティ・ホールを悪用したWebページの改ざんが行われている可能性があると指摘している。今後,このセキュリティ・ホールを悪用するワームが出現する可能性もある。IISサーバー管理者は一刻も早く対応しなければならない。

パッチ公開前に攻撃コードが存在した

 と,ここまでは“お決まり”の「深刻なセキュリティ・ホール」に関する解説である。「またか」と思われる読者は少なくないだろう。しかし,今回のセキュリティ・ホールは,いつもの深刻なセキュリティ・ホールよりも,より深刻なのである。深刻度は「緊急」でも,最近連発されている,ほかの「緊急」レベルのセキュリティ・ホールとは異なると考えてほしい。その理由として,

  1. デフォルト状態のIIS 5.0が影響を受ける(IIS 5.0では“問題”のWebDAV機能がデフォルトで有効になっている)
  2. 公開用Webサーバーでは開けておく必要がある80番ポート経由で攻撃できる(「Code Red」や「Nimda」といったワームが出現する可能性がある)
  3. セキュリティ情報やパッチが公開される前に,このセキュリティ・ホールを悪用する攻撃コードが存在していた
の3点が挙げられる。

 特筆すべきは 3 である。このため,絶えず最新のパッチを適用しているIISサーバーであっても,既に侵入されている恐れがあるのだ。

 アンダー・グラウンドでセキュリティ・ホールが発見され,パッチどころかセキュリティ・ホール情報すらも公開される前に,そのセキュリティ・ホールを悪用する攻撃のことを「ゼロ・デイ・アタック(Zero-day Attack)」と呼ぶ。今回のセキュリティ・ホールについては,ゼロ・デイ・アタックが発生していたようなのだ。大規模なゼロ・デイ・アタックが発生したという明確な証拠はないものの,例えば米TruSecureは,パッチ公開の1週間前に米陸軍のIISサーバーが攻撃を受けていたと公表している(関連記事)。

 セキュリティ・ホール情報の公開前に攻撃コードが存在した――つまり,ゼロ・デイ・アタックが可能であった――IISの深刻なセキュリティ・ホールは,過去にどれほど存在したのだろうか。「マイクロソフト セキュリティ情報」で調べてみることにした。

 IISをキーワードにして,過去のセキュリティ情報を検索すると,30数件のセキュリティ・ホールが表示された。IISサーバーに対する大規模な攻撃としては,「sadmind/IIS(2001年5月初旬~)」,「Code Red(2001年7月中旬~)」,「Code Red II(2001年8月初旬~)」,「Nimda(2001年9月中旬~)」――が挙げられる。筆者が調べた限りでは,これらが発生した2001年9月までに公開された,IIS を容易に乗っ取れるセキュリティ・ホールは以下の6件である。

  1. Patch Available for "Malformed HTR Request" Vulnerability (MS99-019)
    eEye Digital Security 指摘
  2. 「Web サーバー フォルダへの侵入」 の脆弱性に対する対策 (MS00-078)
    セキュリティ研究者 指摘(基になる情報はアンダー・グラウンドで出回っていたようだが,内容が不完全だった)
  3. 「Web サーバーによるファイル要求の解析」 の脆弱性に対する対策 (MS00-086)
    NSFocus 指摘
  4. <ISAPI エクステンションの未チェックのバッファにより IIS 5.0 サーバーのセキュリティが侵害される (MS01-023)
    eEye Digital Security 指摘
  5. 2001 年 5 月 14 日 IIS 用の累積的な修正プログラム (MS01-026)
    NSFocus 指摘
  6. Index Server ISAPI エクステンションの未チェックのバッファにより Web サーバーが攻撃される (MS01-033)
    eEye Digital Security 指摘

 上記6件のセキュリティ・ホールには,それぞれ「」として,セキュリティ・ホールの発見者を記述した。見てお分かりのように,いずれについても,セキュリティの専門家がビジネスや研究の対象として発見している。

 上記は2001年9月までに公開されたセキュリティ・ホールについてであるが,それ以降についても,筆者が調べた限りでは,IISを容易に乗っ取れるセキュリティ・ホールを発見したのは,セキュリティの専門家であった。

 つまり,セキュリティ・ホール情報の公開前に攻撃コードが存在した――つまり,ゼロ・デイ・アタックが可能であった――IISの深刻なセキュリティ・ホールは,今回が初めてと言っていいだろう。短期間であったかもしれないが,公開用IIS 5.0サーバーにとって非常に危険な状態が存在したのである。「今回のセキュリティ・ホールはより深刻」と言った意味が分かってもらえるだろう。デフォルト設定のままのIIS 5.0サーバーを公開している管理者は,「もしかしたら既に攻撃を受けているかもしれない」と考えて,侵入された形跡がないかどうかを念のためにチェックしてほしい。

 チェックする上で参考になる詳細情報が,ラックから公開されている。同社の「SNS Team」は,日本語環境においてこのセキュリティ・ホールを検証することに成功したという。過去,英語環境のみ影響を受けるセキュリティ・ホールが存在するが,今回は日本語環境でも安心できないことが確認されたのだ。

 同情報では,IIS 5.0が具体的な攻撃を受ける手法として,およそ 65500 bytes の文字列を挿入した,WebDAVに対するHTTPリクエストが3種類(LOCK,SEARCH,PROPFIND)掲載されている。ログなどを調べる上で参考になる情報なので,チェックしておこう。

“基本的”な対策で回避可能

 パッチはおろか,セキュリティ・ホール情報の公開前に攻撃コードが存在した今回の「MS03-007」のセキュリティ・ホール。デフォルト設定のままで運用していたIIS 5.0サーバーは,たとえパッチの適用を怠っていなくても,被害に遭っている可能性がある。

 しかし,パッチ適用以外の“基本的”なセキュリティ対策――設定変更やセキュリティ・ツールの利用――を施していれば,攻撃を回避できた。具体的には,(1)WebDAVサービスを無効にする,(2)セキュリティ・ツール「IIS Lockdown Wizard tool」 に含まれる「URLScan」をデフォルト設定で適用している――のいずれかを実施していれば,攻撃を回避できた。

 特に(1)については,管理者ならば当然実施しておくべき対策である。というのも,WebDAVサービスに関連したセキュリティ・ホールは過去にも多数見つかっているからだ。代表的なものとしては,以下の4件が挙げられる。

  1. 不正な WebDAV リクエストによりIIS が CPU リソースを使い果たす(MS01-016)
  2. WebDAV Service Provider によりスクリプトがユーザーとしてリクエストを行う(MS01-022)
  3. 2001年8月15日 IIS 用の累積的な修正プログラム(MS01-044)
     (「WebDAV リクエストのサービス拒否」が含まれている)
  4. Internet Information Service 用の累積的な修正プログラム(MS02-062)
     (「WebDAV のサービス拒否の脆弱性」が含まれている)

 そして,上記の中で一番古い情報である「MS01-016」(2001年3月に公開)の時点で,回避策として WebDAV サービスを無効にすることが既に記載されているのである。WebDAVサービスを使用していない場合には必ず無効にしておきたい。

 WebDAV サービスを無効にするには,「%Systemroot%\System32\Inetsrv」フォルダにある「Httpext.dll」に, Everyone 拒否のアクセス権を設定することで実現できる。また,2002年1月に公開された「Windows 2000 Security Rollup Package 1 (SRP1) 」を適用すると作成されるレジストリ・キーの値を変更することでも,WebDAV サービスを無効にできる(変更方法の詳細については,「[IIS] IIS 5.0 の WebDAV を無効にする方法」を参照のこと)。「IIS Lockdown wizard」で WebDAV を無効にすることも可能である。

 今回のセキュリティ・ホールについては,WebDAVサービスを無効にできない場合には,URLの受信バッファを制限して回避する方法などもある。詳細については,「よく寄せられる質問」の「回避策」の項を参照してほしい。

“基本的”なセキュリティ対策の告知を

 既にパッチが公開されている現在では,パッチを適用することが第一の対策である。とはいえ,今後もゼロ・デイ・アタックを可能とするセキュリティ・ホールが出現する可能性は否定できない。パッチを適用するだけでよしとせず,(1)WebDAVサービスを無効にする,(2)セキュリティ・ツールを利用する,といった対策を施しておきたい。

 ところで,今回のゼロ・デイ・アタックにも“通用”した上記の対策は,マイクロソフトが公開するセキュリティ関連ドキュメントに記載されているのだろうか。

 まず,参照されることが多いと思われる「セキュリティ チェックリスト」を見てみよう。IIS 5.0に関するチェック・リストである「IIS 5.0 ベースライン セキュリティ チェックリスト」を見たところ,残念ながら,「WebDAV サービスを無効にする」ことも,「URLScanを適用する」ことも記載されていない。

 次に,「Windows 2000 Server ベースライン セキュリティ チェックリスト」や,「製品とテクノロジ」コーナーに置かれた「設計から堅固な実装へ : IIS 5.0 セキュリティ ガイド」を調べてみたが,これらにも記載はなかった。

 しかし,過去の記事でも紹介した「IIS 5.0 セキュリティ対策ハンドブック」(2001年6月21日公開。筆者は,「Port139」の伊原氏)には,WebDAV サービスを無効にすることが,セキュリティに配慮した最低限の設定として記載されていた。 

 URLScanの適用については,「セキュリティ ツール キット」「新規に Windows 2000 システムをインストールする場合のセキュリティ保護」に記載があった。同ドキュメントの「Internet Information Services をセキュリティ保護する」の項に「URLScan セキュリティ ツールを実行します」と書かれている。

 ユーザーとしては,ひとつのドキュメントだけを頼りにせず,各種ドキュメントをチェックしておく必要があるようだ。とはいえ,数あるドキュメントすべてを細かくチェックすることは容易なことではない。「WebDAVサービスの無効」のように重要な情報については,参照されることが多い「IIS 5.0 ベースライン セキュリティ チェックリスト」などにきちんと記載してもらいたい。

 パッチをいち早く公開することはもちろん重要なことではあるが,“基本的”なセキュリティ対策についても,誰もが分かる形で知らせてほしい。基本的なセキュリティ対策は,ゼロ・デイ・アタックにも有効なのである。今回のセキュリティ・ホールがそのことを証明した。

すべてのWindows OSに「緊急」のホール

 次に,上記以外のWindows関連セキュリティ・トピックス(2003年3月23日時点分)を解説する。

 各種OS関連では,「マイクロソフト セキュリティ情報一覧」にて,冒頭で紹介した「MS03-007」以外の新規日本語情報およびパッチが1件公開された。

Windows スクリプト エンジンの問題により,コードが実行される (814078) (MS03-008)

 すべてのWindows OS(98/98SE/Me/NT 4.0/NT 4.0 TSE/2000/XP)に含まれる,JScript用の Windows スクリプト エンジンにセキュリティ・ホールが見つかった(関連記事)。このため,ユーザーが攻撃者のWebページを閲覧したり,攻撃者から送信された HTMLメールを受信したりすると,システム上で任意のコードを実行される可能性がある。

 対策はパッチを適用すること。システムを乗っ取られる可能性がある,最大深刻度が「緊急」の非常に深刻なセキュリティ・ホールである。速やかにパッチを適用しよう。

 パッチの適用条件は,Windows NT 4.0 用が Windows NT 4.0 SP6a,Windows NT 4.0 TSE(Terminal Server Edition)用が Windows NT 4.0 TSE SP6,Windows 2000 用が Windows 2000 SP2 または SP3 を適用済みであること。その他のOSでは適用条件はない。

 過去の記事で紹介した“お勧め設定”どおりに,IE(Internet Explorer)のセキュリティ設定で「アクティブ スクリプト」を無効にしている場合は,このセキュリティ・ホールの影響を受けない。

 また,デフォルト状態のOutlook Express 6 および Outlook 2002,あるいは Outlook 電子メール セキュリティ アップデートを適用した Outlook 98/2000 を使用している場合には,HTMLメールを見ただけで自動的に攻撃を受けることはない。

 深刻度こそ「緊急」であるものの,基本的なセキュリティ対策を施していれば,回避可能なセキュリティ・ホールである。ただし,今回のパッチはIEではなくWindows OSのコンポーネントに関する修正なので,IEを使用していない場合や,影響を受けないセキュリティ設定にしている場合でも,パッチを適用しておこう。

ISA ServerにDoS攻撃を受けるホール

 各種アプリケーション関連では,「マイクロソフト セキュリティ情報一覧」にて,新規日本語情報およびパッチが1件公開された。

ISA Server DNS アタック検出フィルタの問題により,サービス拒否が起こる (331065) (MS03-009)

 Internet Security and Acceleration (ISA) Server 2000にセキュリティ・ホールが見つかった。ある特定のDNSリクエストをスキャンする際に,問題が発生する場合がある。この結果,ISA ServerでDNS サーバー機能を有効している場合に限り,攻撃者から特定のDNSリクエストを送信されることで,ISA Serverを停止させられる可能性がある。つまり,DoSアタック(攻撃)を許す恐れがある。

 対策はパッチを適用すること。深刻度は「警告」なので,必要に応じてパッチを適用しよう。パッチの適用条件は,ISA Server 2000 SP1 または ISA Server Feature Pack(FP)1を適用済みであること。

「Opera パッケージ版」はセキュリティ・ホールが存在

 トランスウエアが3月20日に発売したWebブラウザ「Opera 7 for Windows」のパッケージ版には,セキュリティ・ホールが存在するOpera 7.02が収録されていることが判明した(関連記事)。購入ユーザーは,必ず7.03へバージョン・アップする必要がある。



マイクロソフト セキュリティ情報一覧

『Windows 2000』
Windows コンポーネントの未チェックのバッファにより Web サーバーが侵害される (815021) (MS03-007)
 (2003年 3月19日:「よく寄せられる質問」に IIS 5.0 に関する質問が追加。「修正プログラムに関する追加情報」の「警告」欄に新しい情報が追加)
 (2003年 3月18日:日本語情報および日本語版パッチ公開,最大深刻度 : 緊急)

『全Windows OS製品』
Windows スクリプト エンジンの問題により,コードが実行される (814078) (MS03-008)
 (2003年 3月20日:日本語情報および日本語版パッチ公開,最大深刻度 : 緊急)

『Microsoft ISA Server』
ISA Server DNS アタック検出フィルタの問題により,サービス拒否が起こる (331065) (MS03-009)
 (2003年 3月20日:日本語情報および日本語版パッチ公開,最大深刻度 : 警告)

山下 眞一郎(Shinichiro Yamashita)
株式会社 富士通南九州システムエンジニアリング
第一ソリューション事業部ネットソリューション部 プロジェクト課長
yamaアットマークbears.ad.jp

 「今週のSecurity Check [Windows編]」は,IT Proセキュリティ・サイトが提供する週刊コラムです。Windows関連のセキュリティに精通し,「Winセキュリティ虎の穴」を運営する山下眞一郎氏に,Windowsセキュリティのニュースや動向を分かりやすく解説していただきます。(IT Pro編集部)