第2回 Windows XP SP2の導入でセキュリティを向上


他力本願堂本舗
杉谷智宏
2004/10/23



 Windows XP SP2のファイアウォール機能

  SP2でのファイアウォール機能はどのようになったのだろうか。SP1ではデフォルトで無効となっていたファイアウォールだが、SP2ではデフォルトで有効になっている。これは、SP2を導入し再起動後に表示されるセキュリティセンターで分かる。セキュリティセンターとはSP2で新しく導入されたセキュリティ対策の統合コンソールだ。

図4 セキュリティセンター

 まず、SP2での設定画面を見てみよう。SP1の設定画面と比べてより細かく設定できるようになっていることが一目で分かる。

図5 SP2のファイアウォール設定画面

 デフォルトで有効となったファイアウォールはどのように動作しているのだろうか。まずは先ほどと同じように、Nmapによるスキャンを行ってみることにしよう。SP1でファイアウォールを有効にしたときと同じオプションを適用する。結果は図6のとおりである。

図6 XP SP2でファイアウォール設定ありのNmap

 十分な防御がなされている、と考えてもいい結果だ。同時に、SP2ではSP1のときに不完全だった部分も改善されている。これまでSP1では、外部からの接続についてはファイアウォールを適用することでブロックを行うことができた。しかし、能動的に設定を変更することができないため、一部の環境ではFTPが使えないといった問題があった。

 未知なる通信をブロック

 SP2ではファイアウォールの機能が向上し、(ファイアウォールにとって)未知のプログラムが外部と通信したとき、警告を表示するようになった。これにより新たにプログラムが通信する必要が発生したとき、ユーザーはどのプログラムが通信しようとしているのかを判断材料にして、その可否を決定することができる。サードパーティ製のファイアウォール製品を利用している方には心当たりがあるだろう。何らかのプログラムがネットワーク接続を行おうとした場合に、「この接続を有効にしますか?」といったダイアログが表示される、というものだ。

 実際に試してみよう。Windowsにはコマンドラインで使えるFTPクライアントが標準でインストールされている。FTPの接続先にはマイクロソフト社の公開FTPサーバ(*2)を選択した。コマンドプロンプトから「ftp ftp.microsoft.com」と入力し、ユーザー名に「anonymous」、パスワードにメールアドレスを入力する。続いてディレクトリ一覧を取得したところで、ファイアウォールがFTPが外部と通信することを許可するかどうか尋ねるダイアログが表示された。

図7 接続のブロック

(*2)
ftp://ftp.microsoft.com
Windows向けのリソースキットやツールなどが公開されている

 これはFTPコマンドがftp.microsoft.comからディレクトリ一覧を受け取ろうとしたことが理由となって、外部からの接続を検出すると同時に遮断したものだ。ダイアログが表示されるタイミングは、若干のズレがあるもののFTPのPORTコマンドを送信した直後だった。タイミングから推測すると、FTPコマンドがデータを受け取るために端末のポートを開いたところだろう。

 Internet ExplorerでWebサイトを見る場合には、データを受け取るためにポートを開いて待ち受ける必要はないが、FTPの場合には、パッシブモードを使わなければクライアント側でポートを開いてデータを待ち受けることになるため、外部からの通信を受け取るかどうか決めなくてはならない。

 このダイアログで接続を許可した場合、ファイアウォールの詳細設定画面で追加されていた「例外」タブで表示される一覧にプログラムが追加される。

 この動作により、一般的なバックドアを検出することができる。多くのバックドアはポートを開いて通信を待ち受けるため、その待ち受けを検出してSP2のファイアウォールが警告を出してくれるだろう。これが見覚えのないプログラムであれば、通信をブロックすることで被害を抑えることができる。

 残念ながら、FTPでテストした際にはブロックしたタイミングから推測して、ログインのための接続はブロックできなかった。つまり、自分から能動的に接続を行うリバースコネクト型のバックドアには対応しきれない可能性を示している。過信することは避けた方がよいだろう。

 SP1のファイアウォール機能ではポート番号しか判断材料がなかった。そのため、「HTTPを許可する」という設定によりPort 80での通信を許可していると、ここを通るすべての通信が許可されてしまった。だが、SP2ではどのプログラムが通信しようとしているのかを把握したうえでその可否を決定できる。ファイアウォールの機能がより高度に進化したといえる。

 なお、SP1のファイアウォールではOSの起動中などには保護されなかったが、SP2ではこのようなささいなタイミングのズレまで修正されている。SP2環境でデフォルトの状態では、ネットワークに接続する瞬間、すでに保護されていると考えられる。

2/3


Index
Windows XP SP2の導入でセキュリティを向上
  Page1
Windows XP SP2の登場
Windows XP SP1環境でのセキュリティ対策
Windows XP SP1のファイアウォール機能
  Page2
Windows XP SP2のファイアウォール機能
未知なる通信をブロック
  Page3
ウイルス対策ソフトとの連携
Windows Updateの自動更新機能
セキュリティセンターからアクセスできる保護機能
導入すべきか、見送るべきか


関連記事
クライアントセキュリティチャンネル
管理者のためのウイルス対策の基礎
Windows XP SP2のセキュリティ機能 (Windows Server Insider)
ノートPCからの情報漏えいを防ぐ便利グッズ (System Insider)

Security&Trust記事一覧


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Security & Trust 記事ランキング

本日 月間