Windows HotFix Briefings Windows 2000のWebDAVに未チェック・バッファによる脆弱性（MS03-007） ―― IIS 5.0でWebDAVを有効にしている場合、攻撃者のコードが実行される危険性 ―― デジタルアドバンテージ 2003/03/20

セキュリティ・ホールの概要と影響度

キーワード

■WebDAV：Webブラウズで使われるHTTP（HyperText Transfer Protocol）を拡張し、Webクライアント側からWebサーバ側へのドキュメントの発行を可能にした仕様。

→用語解説

■バッファ・オーバーフロー攻撃：システムがあらかじめ想定しているサイズ以上の大量のデータをバッファに送り込んでバッファ・オーバーフローを起こさせることにより、システムを破壊したり、特別なプログラムを実行させたりする攻撃のこと。

→用語解説

　2003年3月18日、マイクロソフトは、Windows 2000に標準搭載されるInternet Information Services（IIS） 5.0のWebDAV（キーワード参照）にバッファ・オーバーフロー攻撃（キーワード参照）の脆弱性があることを明らかにした（マイクロソフト・セキュリティ情報MS03-007参照）。このセキュリティ・ホールを悪用すると、リモートから送信された攻撃者のコードが実行され、IIS（ひいてはWindows 2000）が乗っ取られる危険がある。最大深刻度は最も危険性の高い「緊急」である。一部、海外の報道によると、すでにこの脆弱性を悪用した不正侵入などが発生しているという。サーバ管理者は、早急に必要な対策を実施する必要がある。

脆弱性の影響を受ける環境

　今回の脆弱性によって影響を受けるのは、以下の環境である。

OS	影響を受ける条件
Windows 2000 Professional	IIS 5.0をインストールした場合
Windows 2000 Server	デフォルト
Windows 2000 Advanced Server	デフォルト

　Windows NT 4.0に付属するIIS 4.0はWebDAVをサポートしていないため、この脆弱性の影響は受けない。またWindows XPに付属するIIS 5.1にもこの脆弱性は存在しないため影響は受けないので、今回の修正プログラムを適用する必要はない。

　表から分かるとおり、特にWindows 2000 ServerとAdvanced Serverでは、デフォルトでIIS 5.0がインストールされる。IIS 5.0がインストールされると、WebDAVはデフォルトで有効化されるので、対象OSの管理者、とりわけインターネット向けにIIS 5.0を使ってサービスを提供している管理者は早急に対策を行う必要がある。

脆弱性に対する対策

　今回の脆弱性を解消するには、修正プログラムの適用が最も効果的である。しかし、ほかのサービスとの関係などから、修正プログラムの検証に時間が必要であるといったこともあるだろう。こうした何らかの理由で修正プログラムの適用が行えない場合は、以下のフローに従って一時的な回避策をとることができる。ただし、これらの対策はあくまで修正プログラムを適用するまでの一時的な回避策である。本来は、未チェック・バッファの問題点を改善するための修正プログラムを早期に適用することが望ましい。

修正プログラム適用以外の回避策

■対策1：修正プログラムを適用する

　この脆弱性の問題を根本的に解決するには、マイクロソフトが提供している以下の修正プログラムをダウンロードして適用する。

• この問題に対する日本語版の修正プログラム

　ただしこの修正プログラムは、Windows 2000 SP2ならびにSP3を対象としている。従ってWindows 2000 SP1以前の環境では、まずSP3を事前に適用した後で修正プログラムを適用することになる。また、Windows 2000 SP2では、Ntoskrnl.exeのバージョンが5.0.2195.4797から5.0.2195.4928の場合は、今回提供された修正プログラムと互換性がないので注意したい。バージョンは、%windir%\system32からNtoskrnl.exeを探し、ファイルのプロパティで確認できる。なお、これらのバージョンはプロダクト・サポート・サービスの修正プログラムのみで配布されたバージョンであるので、修正プログラムを適用する前にプロダクト・サポート・サービスへ連絡してほしい、とマイクロソフトは述べている。

■対策2：IIS 5.0をアンインストールする

　IIS 5.0を利用していないなら、これをアンインストールすれば脆弱性の影響を排除できる。IIS 5.0のアンインストールは、［コントロール パネル］−[アプリケーションの追加と削除]で実行できる。なお、IIS 5.0のサービスを無効化しただけでは、脆弱性は残るので、完全にアンインストールすることが望ましい。

　IIS 5.0のアンインストールを避けたい場合、IIS Lockdown Wizardツールを使うことで、一時的に脆弱性を回避することが可能であるとしている。IIS Lockdown Wizardツールは、匿名ユーザーのアクセス制限（システム・ファイルへのアクセス拒否など）、サンプルや不要な機能の削除と無効化、ログ・ファイルの保護（ログについては後述）などを行うためのツールである。IIS Lockdown Wizardツール実行後、ウイザードの指示に従って、IIS 5.0とWebDAVの機能を無効化すればよい。

• IIS Lockdown Wizard 2.1ツールのダウンロード

■対策3：WebDAV機能だけを無効化する

　IIS 5.0を通常のWebサーバとしてだけ使っているなら、WebDAVの機能は不要なので、この機能だけを無効化することで脆弱性の影響を排除できる。WebDAVの無効化を行うにも、前出のIIS Lockdown Wizardツールを利用できる。

　なおこの場合には、IIS Lockdown Wizardツールとともに提供されるURLScanを導入することで、より安全性が高まる。URLScanは、一般的なWebアクセスから逸脱するようなアクセス要求（例えば、バッファ・オーバーフロー攻撃を加えようとする異常に長いリクエストなど）をIISに届ける前に削除してしまうツールである。

■対策4：URLScanを導入し、受信バッファを制限する

　WebDAVを使用しており、この機能を無効化できない場合には、URL Buffer Size Registryツール（無償提供）を用いて、URLの受信バッファ・サイズを制限することができる。

• URL Buffer Size Registryツール（サポート技術情報：816930）

　ただしこのツールを利用するには、Windows 2000にSP2またはSP3が適用されていなければならない。またこの方法で最大バッファ・サイズを制限するときには、サービス提供に必要なサイズを見極めなければならない。バッファ・サイズを制限しすぎると、サービスの提供に支障が生じる可能性があるので注意したい。ちなみに、マイクロソフトは16Kbytesを推奨している。

修正プログラムの適用テスト

Supported by DA Lab DA Labは、株式会社デジタルアドバンテージが運営する企業システムの評価検証施設です。 →DA Labの詳細はこちら

　DA Labでは、今回の脆弱性の影響を受けるすべてのプラットフォームを検証施設内にて再現して、修正プログラムの適用テストを実施した（DA Labの詳細は「DA Labとは？」を参照）。その結果は以下のとおりである。今回の適用テストでは、いずれの環境も特に障害が発生することなく、適用を完了した。

　今回の脆弱性についてDA Labは、「WebDAVは、サーバ内のファイル操作などが可能になるため、脆弱性の有無にかかわらず、十分なセキュリティを確保した上での利用が求められる。WebDAVを利用していない場合は、修正プログラムの適用とともにWebDAVの無効化を実施していただきたい」と述べている。

　なおこのテストは、あくまで修正プログラムの適用を実施し、その結果をお知らせしているだけであり、修正プログラム自体の機能性（脆弱性が本当に解消されているかどうか）を検証するものではないので注意されたい。

対象OS	適用テスト結果
Windows 2000 Professional SP 2	○
Windows 2000 Professional SP 3	○
Windows 2000 Server SP 2	○
Windows 2000 Server SP 3	○
Windows 2000 Advanced Server SP 2	○
Windows 2000 Advanced Server SP 3	○
修正プログラムの適用テスト結果

　

	関連リンク
		セキュリティ情報（MS03-007）（マイクロソフト）
		よく寄せられる質問（MS03-007）（マイクロソフト）
		サポート技術情報（815021）（マイクロソフト）
		IIS Lockdown Wizard 2.1ツールの概要（マイクロソフト）
		サポート技術情報（816930）（マイクロソフト）

Windows HotFix Briefings

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）