●Code RedやNimdaといったワームなどで激化しているIISへの攻撃に対処するため,マイクロソフトはIIS 4.0/5.0用のセキュリティ強化ツールを相次ぎ提供する。
●IISの機能を一部制限することでセキュリティを高められるツール,修正モジュールの適用状況などをチェックするツール,不正なHTTPリクエストをフィルタリングして制限するツールなどがある。
●ただし,これらは対策の一部に過ぎない。マイクロソフトが推奨するIIS 4.0/5.0用のセキュリティのチェック・リストに挙げている対策は別途実施すべきである。

 「Code Red」と「Nimda」ワームは,Windows NT/2000 Serverに標準搭載されるInternet Information Server/Services(IIS)にとってきわめて大きな脅威だった。Code Redは,IIS 4.0/5.0のセキュリティ・ホールを利用して,数十万台に被害を与えたとされる。NimdaはCode Red以上の感染力を持つワームである。沈静化に向かっているとはいえ,かつてない深刻な被害をもたらし,セキュリティ対策の重要性について改めて考えさせられた。

 しかし,両ワームが悪用するセキュリティ・ホールはすべて既知の欠陥だった。修正モジュールが既に提供されているにもかかわらず,被害が大きくなったのは,Webサイトのシステム管理者の多くが,修正モジュールの適用などきめ細かな対策に取り掛かれないでいることが原因である。

 Microsoftはそうした状態の解消を長らくユーザーの自助努力に任せていたが,とうとう自らが支援せざるを得なくなったと判断したようだ。8~10月にかけてIIS 4.0/5.0用のセキュリティ強化ツールを相次ぎ同社のWebサイトで提供を公開し始めた(表1)。

ツール名 概  要 提供開始時期
Personal Security Advisor WebブラウザからGUIベースでローカル・マシンに対してパッチの適用状況などをチェックする 米国で8月15日
HFNetChk Personal Security Advisorのネットワーク版。ネットワーク上のほかのマシンに対してコマンド・ライン・ベースでチェックを実行 米国で8月15日
IIS Lockdown Tool Internet Information Server/Servicesの機能を制限したり,設定を変更したりすることによって,セキュリティを高める 米国で8月23日
URLScan Security Tool IIS に送信されるHTTPリクエストをチェックし,不正な文字列が含まれる場合などにフィルタリングする 米国で9月11日
Security Tool Kit 「IIS Lockdown」「HFNetChk」「URLScan Security Tool」の3つのツールを含むWindows NT 4.0/ 2000用のサービス・パックと修正モジュールを集めたもの 米国で10月4日
日本語版は10月22日
表1●Microsoftがここ3カ月で公開したセキュリティ関連のツール

 ツールには,修正モジュールの適用状況などをチェックする「Personal Security Advisor」,WebDAVの無効などIISの機能を一部制限することでセキュリティを高める「IIS Lockdown Tool」,IISに送信されるHTTPリクエストに含まれる文字列をフィルタリングする「URLScan Security Tool」がある。

 日本のマイクロソフトもWindows製品のセキュリティを高めるツールやドキュメント類を収めた「Microsoft Security Tool Kit」日本語版を,10月22日から同社サイト(http://www.microsoft.com/japan/security/)で公開した。同キットには,「HFNetChk」と「IIS Lockdown Tool」「URLScan Security Tool」などが含まれる。日本ではシステム構築にインテグレータが関与する比重が高いため,「ストラテジック テクノロジー プロテクションプログラム」日本版という総合的な対策として提供する計画もある。

注目はIISの機能制限ツール

 日本でも提供されるツールの中で最も注目されるのは,IIS Lockdown Tool(以下,IIS Lockdown)だろう。

 これは,前述のように,IIS 4.0/5.0の機能を一部制限したり設定を変更することによって,セキュリティを高めるツールである。設定変更はこのツールを使わなくとも可能だが,手動では困難な設定もある。このツールを使用すれば,セキュリティを容易に高めることが可能になる。

 このツールを適用すると,表2のようなIISの設定が変更される。これらの中で最も重要なセキュリティ強化は,スクリプト・マッピングの削除だ。

効果 概  要
スクリプト・マッピングを削除する セキュリティ・ホールが見付かっているISAPIエクステンションの影響を受けなくする
WebDAVを無効にする WebDAVによってサーバーにデータを送り込めなくする
コマンドを実行できないようにする セキュリティ・ホールなどをつかれても,コマンドなどを実行できなくする
公開用ディレクトリに書き込みできないようにする セキュリティ・ホールなどを悪用されても公開用ディレクトリに対して,ファイルの書き込みや変更を行えないようにする
scriptsおよびmsadc仮想ディレクトリを削除する scriptsおよびmsadc仮想ディレクトリを通じて不正アクセスされるのを防ぐ
サンプル・プログラムを削除する サンプル・ファイルを通じて不正アクセスされるのを防ぐ
表2●IIS Lockdown Toolで可能な設定変更

 IISは,IIS関連付けされた「.asp」や「.printer」などの拡張子を持つファイルが要求されると,ISAPIエクステンションと呼ばれる機能(.dll)を呼び出す。この関連付けを,スクリプト・マッピングという。

 スクリプト・マッピングを削除するのは,ISAPIエクステンションに関するセキュリティ・ホールを突く攻撃が多いためだ。実際Code Redワームは,ISAPIエクステンションの1つである「idq.dll」を攻撃する方法を用いている。スクリプト・マッピングを削除することで,ISAPIエクステンションの影響を受けなくなる。ただし,当然それらの機能も使用できなくなる。

 マッピングを削除するといってもすべてのマッピングを削除するわけではない。削除対象となるのは,【1】Active Server Pages(.ASP)【2】Index Server Web Interface(.IDQ)【3】Server-Side Includes(.SHTML,.SHTM,.STM)【4】Internet Data Connector(.IDC)【5】Internet Printing(.PRINTER)【6】HTR Scripting(.HTR)の6つ。

ウィザードは簡単に実行できるが不用意に実行してはならない

図1●IIS Lockdown Toolの設定はウィザードで簡単
設定は[Express Lockdown]と[Advanced Lockdown]の2つから選べる。[Advanced Lockdown]は対象機能をウィザード形式で1つずつ選んで制限するモード。[Express Lockdown]は,対象機能をすべて制限するモード。
図2●不用意に実行すると,必要なものまで変更される
図3●IIS 4.0/5.0を使う場合のその他のチェック項目の例
IIS 4.0/5.0を使用する場合,IIS Lockdown Toolだけでは安心してはならない。そのほかにも,様々な設定や注意すべき点がある。

 IIS Lockdownには,設定変更の方法として[Advanced Lockdown][Express Lockdown]の2つのモードから選べる(図1[拡大表示])。

 Advanced Lockdownは,対象機能をウィザード形式で1つずつ選んで制限するモードである。ウィザードは,削除したいスクリプト・マッピングを指定する画面と,サンプル・ファイルを削除するなどその他の設定を変更する画面の2つで構成され,デフォルトではすべて変更するにチェック・マークが付いている。変更したくない設定があれば,外せばよい。

 これに対して,Express Lockdownはすぐに設定変更するモードだ。ボタン1つで,表2に挙げた設定変更をすべて実行する。Microsoftによれば,Express Lockdownを使用すれば,修正モジュールを適用していなくても,Code Redワームが利用したような過去のセキュリティ・ホールの悪用からIISサーバーを守れるとしている。

 しかし,自社のサイトに適しているかどうかを調べずに,不用意に実行してはならない。必要なものまで変更されてしまうからだ(図2[拡大表示])。Express Lockdownを実行すると,これまで使っていたWebアプリケーションが動かなくなる可能性がある。例えば,ASP(Active Server Pages)は,サーバー上でVBScriptやJavaScriptなどのスクリプト言語やActiveXコントロールを実行し結果をHTMLとして動的に生成する仕組みだ。IIS 3.0から実装されている実行環境であるため,この環境で動作するプログラムは少なくない。IIS Lockdownを使う前に,まずこのツールを適用して問題ないか,確認しておくほうがいいだろう。

 なお,IIS Lockdownには「アンドゥ」機能があり,ツールを適用する前の設定に戻すことができる。ただし,ツール実行後1回前の状態に戻すことしかできないので注意が必要だ。

ツール以外の対策も実施すべき

 IIS Lockdownは,Code Redに対するセキュリティ対策として即効性は高い。ただし,一般にはIIS Lockdownだけでは十分ではない。IIS LockdownはWebサーバーの機能に限定した対策を施すツールであり,それ以外のFTPやTelnet,SMTPなどは対象外だ。それらのサービスについては,個別にパッチを適用したり,設定変更を施す必要がある。

 また,マイクロソフトが推奨する「Internet Information Server 4.0セキュリティチェックリスト」や「Internet Information Services 5セキュリティのチェックリスト」に挙げているセキュリティ項目はすべて一度は実施を検討してほしい(図3[拡大表示])。これを見るとIIS Lockdownが設定変更する項目はほんの一部にしか過ぎないことが分かる。

 IIS 4.0の場合,「成功/失敗したログオン/ログオフを監視する」「最後にログオンしたユーザー名を非表示にする」など数十項目が具体的に挙げられている。IIS 5.0の場合は,「マイクロソフトが用意するセキュリティ・テンプレートを使用する」などがある。このテンプレートは,手動で変更しなくてはならない項目を集めた定義ファイルのようなものだ。

(小野 亮=akono@nikkeibp.co.jp)