Webコンテンツの改ざんに対する防御策

2001年2月18日ころから、日本のドメインを対象にWindowsやLinuxのWebサーバーが中国のハッカー集団HUC(Hocker Union of China)と見られる不正アクセスが急増し、ウェブページを改ざんする事件が相次いでいることから、日本法人のマイクロソフト社がTechNet Flash臨時号として2001年2月27日に「Webコンテンツの改ざんに対する防御策」発表した。このリリースは、
「このニュースレターは情報提供の目的のためのみに発行されています。
このニュースレターに記載される事柄は、すべて発行時点での情報であり、逐次更新・変更されますので、この情報内容の正確性に関して、マイクロソフトではいかなる保証もいたしません。
このニュースレターに含まれる情報は何等保証のない現状有姿のままで提供されるものであり、商品性、特定目的に対する適合性の保証、および権利非侵害の保証その他一切の保証を、明示であると黙示であるとを問わず、一切負うものではありません。
このニュースレターの正確性およびこのニュースレターの使用から生じるすべてのリスクは、ユーザーが負担しなければなりません。
以下の条件にしたがって、このニュースレターを複製し、頒布することができます。
1. 記事内容を一切、加筆・編集または抜粋しないこと
2. すべてのコピーに、このニュースレターに含まれるマイクロソフトの著作権表示およびその他の注釈が含まれるようにすること
3. 営利目的のために、このニュースレターを転用しないこと」
と明記してあり、このような情報はなるべく多くの人の目に付くことが望ましいと考え、ここに全文を転載する。ただし、データベース上利用できないスクリプトは近い文字に、URLはリンクするように設定した。

Reply-To: (3_10971_D450625D-7B49-A84F-BDF6-0723FEB0EF1F_JP@Newsletters.Microsoft.com)
From: ''Microsoft'' (0_10971_D450625D-7B49-A84F-BDF6-0723FEB0EF1F_JP@Newsletters.Microsoft.com)
To: (jiten@jiten.com)
Subject: Special Edition: TechNet Flash Japan (2001/2/27)
Date: Mon, 26 Feb 2001 23:21:54 -0800
Thread-Index: AcCgjeX6qNsxQ5cuQi6d+FOHNhSwNw==
X-OriginalArrivalTime: 27 Feb 2001 07:21:54.0814 (UTC) FILETIME=[F63909E0:01C0A08D]

このニュースレターの購読の停止や、マイクロソフトホームページのプロファイルセンターで購読されているニュースレターの購読をすべて停止したい方は、このニュースレターの最後にある説明をお読みください。
==========================================================================

_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/

TechNet Flash 臨時号 (2001/2/27)

_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/

__________________________________________________________________________

---------------------------------- [目次] --------------------------------
Internet Information Serverをご利用いただいているお客様へ
Webコンテンツの改ざんに対する防御策についての説明
- Windows 2000 Server/Windows 2000 Advanced Server (IIS 5.0)の場合
- Windows NT 4.0 Server/Windows NT Server, Enterprise Edition 4.0 (IIS 4.0)の場合
- 参考資料
- 本件に関する一般ユーザー様向け問い合わせ窓口

__________________________________________________________________________
---------------------------------- [本文] --------------------------------

■ Internet Information Server をご利用いただいているお客様へ
Web コンテンツの改ざんに対する防御策についての説明

以下の公的機関にて公開されているように、日本で稼動しているWebサーバーへのコンテンツの書換え(改ざん)攻撃が多発しております。

URL(http://www.ipa.go.jp/security/ciadr/webjack_a.html)
URL(http://www.npa.go.jp/hightech/notice/notice.htm)

弊社製Webサーバーである Internet Information Server および Internet Information Services (以下 IIS) をご使用のお客様からもコンテンツの改ざんの被害を受けたとのご連絡を受けております。
このような問題は、弊社製品のセキュリティ上の脆弱性や、管理者アカウントに対するパスワードの設定、書き込みアクセス権や、不要な機能を無効にしていないなどの設定不備が起因となっています。
マイクロソフトでは以前より、既に確認されているセキュリティ問題に対する脆弱性の詳細とその対策をお客様にご理解いただくために、セキュリティ情報および修正プログラムを提供しております。また、このような被害に遭わないためのチェックリストも公開しております。
本文書では、IISを悪意のあるユーザーによる攻撃から守るための防御策について、必要最低限な設定を改めて説明しておりますので、是非ご一読いただきセキュアなサイト運営のためにご活用ください。

注意 : 本文書は、IISのコンテンツ改ざんに対する最低限の防御策をまとめたものです。本文書の完全な内容は、以下のWebページをご確認ください。

http://www.microsoft.com/japan/technet/security/iissec.asp

サーバーへの過剰なリクエストを行うDoS (Denial of Service)攻撃や、不正なパケットを送出しサーバーを停止させるサービス不能攻撃などに関しましては、セキュリティ情報ページをご確認ください。

URL(http://www.microsoft.com/japan/technet/security/default.asp)

セキュリティ問題に関連する修正プログラムの一覧は、以下のページをご確認
ください。

URL(http://www.microsoft.com/japan/technet/security/current.asp)


◆ Windows 2000 Server/Windows 2000 Advanced Server (IIS 5.0) の場合
=================================================================
Step 1. サービスパックの適用
~~~~~~~~~~~~~~~~~~~~~~~~~~~~
オペレーティングシステムに対してWindows 2000 Service Pack 1を適用してください。Windows 2000 Service Pack 1の入手方法に関しては下記をご参照ください。

URL(http://www.microsoft.com/japan/windows2000/downloads/recommended/sp1/default.asp)

Windows 2000 Service Pack 1の適用が行われているかを確認するためには、以下の手順で行ってください。
1. スタートボタン上で右クリックし、エクスプローラを起動します
2. [ヘルプ] メニューの [バージョン情報] を表示します

Step 2. セキュリティパッチの適用
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
オペレーティングシステムに応じた上記Service Packを適用した後に下記のセキュリティパッチを適用してください。このページにはMS00-086のセキュリティホールの詳細説明に加えてパッチモジュールの入手方法も記されています。
MS00-086:「Web サーバーによるファイル要求の解析」の脆弱性に対する対策

URL(http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS00-086)

このパッチモジュールを適用することで、以下のファイルが更新されます。インストールプログラムの実行後、修正モジュールの適用状況の確認にご使用ください。

日付 時刻 バージョン サイズ ファイル名
------------------------------------------------------
%systemroot%\system32 以下に格納されるファイル
12/01/2000 10:48a 5.0.2195.2785 122,640 Iisrtl.dll
%systemroot%\system32\inetsrv 以下に格納されるファイル
12/01/2000 10:48a 5.0.2195.2784 357,136 W3svc.dll

Step 3. MDAC の RDS 機能の抑止
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Windows 2000には、MDAC 2.5が含まれており、インストールを行う時点でRDSのセーフモードに対応した製品が利用可能です。しかしながら、RDSの機能を利用していないお客様の環境では、以下の内容に従って RDSを無効に構成することをお勧めいたします。

1. /msadc 仮想ディレクトリをデフォルトの Web サイトから削除する。

2. 次のレジストリ キーを、IIS をホストしているサーバーから削除する。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC
\Parameters\ADCLaunch\RDSServer.DataFactory
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC
\Parameters\ADCLaunch\AdvancedDataFactory
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC
\Parameters\ADCLaunch\VbBusObj.VbBusObjCls

Step 4. Windows 2000の設定
~~~~~~~~~~~~~~~~~~~~~~~~~~~
1. Administratorアカウント名を変更する
Administratorのアカウント名を変更することで、ハッカーに対してアカウントの特定をさせないという意味合いからも効果的です。

2. 全てのユーザーアカウントのパスワードを再設定する
9文字以上に設定してください。Windows 2000のパスワードのハッシュ作成方法の特性から、8文字以下の場合よりもパスワードの解析が大幅に困難になります。また、先頭の 7 文字の中には英字以外の記号を使用してください。この作業はサーバーのファイルシステムに書き込み権限があるユーザー全てに対して行ってください。

Step 5. IIS の設定
~~~~~~~~~~~~~~~~~~
1. 仮想ディレクトリに適切なACL(Access Control List)を設定する
この手順は若干アプリケーションに依存するところもありますが、だいたい以下に示されたとおりに適用できます。

ファイル タイプ アクセス制御リスト (ACL)
CGI (.exe, .dll, .cmd, .pl) Everyone (X)
Administrators (フル コントロール)
System (フル コントロール)

スクリプト ファイル (.asp) Everyone (X)
Administrators (フル コントロール)
System (フル コントロール)

インクルード ファイル Everyone (X)
(.inc, .shtm, .shtml) Administrators (フル コントロール)
System (フル コントロール)

静的なコンテンツ Everyone (読み取り)
(.txt, .gif, .jpg, .html) Administrators (フル コントロール)
System (フル コントロール)

2. 未使用のスクリプト マッピングを削除する
IIS は、.asp ファイルや .shtmファイルのような、一般的なファイル名拡張子をサポートするように構成されています。IISでこれらのファイル タイプに対する要求を受信すると、その呼び出しは DLL によって処理されます。これらの拡張子や機能を使用しないのであれば、次の手順に従って、このマッピングを削除する必要があります。
(1) インターネット サービス マネージャ を開きます。
(2) Webサーバーを右クリックし、コンテキスト メニューから[プロパティ]を選択します。
(3) [マスタ プロパティ] 内にドロップダウン リストがあります。
(4) WWWサービスを選択し、[編集]をクリックします。[ホーム ディレクトリ]タブをクリックして[構成]をクリックします。

◆ Windows NT 4.0 Server/Windows NT Server, Enterprise Edition 4.0 (IIS 4.0)
の場合
==========================================================================
Step 1. サービスパックの適用
~~~~~~~~~~~~~~~~~~~~~~~~~~~~
オペレーティングシステムに対して Windows NT 4.0 Service Pack 5もしくは Windows NT 4.0 Service Pack 6aを適用してください。 Windows NT 4.0Service Pack 5の入手方法に関しては下記をご参照ください。

URL(http://www.microsoft.com/japan/products/ntserver/sp5/default.htm)

Windows NT 4.0 Service Pack 6a の入手方法に関しては下記をご参照ください。

URL(http://www.microsoft.com/japan/products/ntserver/sp6/default.htm)

なお、既に最新のサービスパック (Windows NT 4.0 Service Pack 6a) を適用している場合には、Windows NT 4.0 Service Pack 5 を適用する必要はありません。 Windows NT 4.0 にどのバージョンの Service Pack が適用されているかを確認するためには、以下の手順で行ってください。
3. スタートボタン上で右クリックし、エクスプローラを起動します
4. [ヘルプ] メニューの [バージョン情報] を表示します

Step 2. セキュリティパッチの適用
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
オペレーティングシステムに応じた上記 Service Packを適用した後に下記のセキュリティパッチを適用してください。このページには MS00-086のセキュリティホールの詳細説明に加えてパッチモジュールの入手方法も記されています。
MS00-086:「Web サーバーによるファイル要求の解析」の脆弱性に対する対策

URL(http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS00-086)

このパッチモジュールを適用することで、以下のファイルが更新されます。インストールプログラムの実行後、修正モジュールの適用状況の確認にご使用ください。

日付 時刻 バージョン サイズ ファイル名
----------------------------------------------------
%systemroot%\system32 以下に格納されるファイル
11/08/2000 03:29p 4.2.753.1 214,544 adsiis.dll
%systemroot%\system32\inetsrv 以下に格納されるファイル
11/09/2000 07:25p 4.2.753.1 330,672 asp.dll
11/08/2000 02:39p 11,396 httpext.h
11/09/2000 07:25p 4.2.753.1 55,904 httpodbc.dll
11/08/2000 03:29p 4.2.753.1 98,912 iischema.dll
11/08/2000 02:39p 28,851 iiscnfg.h
11/09/2000 07:25p 4.2.753.1 185,792 infocomm.dll
11/09/2000 07:25p 4.2.753.1 38,768 ssinc.dll
11/08/2000 03:28p 4.2.753.1 25,360 sspifilt.dll
11/09/2000 07:25p 4.2.753.1 229,008 w3svc.dll

ご注意:
Windows NT 4.0に対してMS00-086を適用した後に、イベントログにイベントID:5のエラーが書き込まれる例が確認されておりますが、これはパッチのインストーラーの問題によるものです。このエラーによる機能的な問題は一切ありませんので、イベントID: 5のエラーは無視していただきますようお願い致します。また、Step 1 のサービスパックの適用を行わない状態で 本修正モジュールを適用した場合、正しく IIS が起動できない状態となります。そのため、サービスパックの適用は確実に行ってください。

Step 3. MDAC の RDS 機能の抑止
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
下記ページの手順に従って Microsoft Data Access Components(MDAC)のRemote Data Service(RDS)の機能を抑止してください。RDS機能が必要な場合には、MDACをアップグレードしてセーフモード構成に切り替えてください。

RDSの機能を IISから利用不可能な構成を作るには、以下の方法があります。

1. /msadc 仮想ディレクトリをデフォルトの Web サイトから削除する。

2. 次のレジストリ キーを、IISをホストしているサーバーから削除する。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC
\Parameters\ADCLaunch\RDSServer.DataFactory
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC
\Parameters\ADCLaunch\AdvancedDataFactory
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC
\Parameters\ADCLaunch\VbBusObj.VbBusObjCls

また、MDAC 2.1 以降が適用されている場合には、RDS をセーフモードとして構成することが可能です。この構成を行うためには、以下の手順で作業を行います。

1. URL(http://www.microsoft.com/technet/security/exe/handsafe.exe)ファイルをダウンロードします。

2. handsafe.exeを実行すると、ファイルの展開先を求められますので、任意のディレクトリに展開します。

3. HANDSAFE.REM という名前を持つファイルが作成されますので、これをHANDSAFE.REG という名前に変更します。

4. HANDSAFE.REG ファイルをダブルクリックし、レジストリ中の

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\DataFactory\HandlerInfo\handlerRequired

レジストリエントリに1(セーフモード)を設定します。

尚、Windows NT 4.0 Option Packをインストールした後に MDAC 2.1以降をインストールいたしましても、既定の状態ではセーフモードに構成されませんので上記の作業を行う必要があります。

これらの情報の詳細は以下のページでも確認することができます。

URL(http://www.microsoft.com/japan/support/kb/articles/J049/3/49.htm)

Step 4. Windows NT 4.0 の設定
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
1. パスワード長を設定する
9 文字以上に設定してください。Windows NT のパスワードのハッシュ作成方法の特性から、8 文字以下の場合よりもパスワードの解析が大幅に困難になります。また、先頭の 7 文字の中には英字以外の記号を使用してください。

2. Administratorアカウント名を変更する
これは、''あいまいさによるセキュリティ'' の例であると同時に、ハッカーにとってはadminアカウントを決定するためにしなければならない作業が増えることになります。''偽の'' 管理者を追加することで、アカウント攻撃の検出に役立てることを考慮してください。

Step 5. IISの設定
~~~~~~~~~~~~~~~~~~
1. 仮想ディレクトリに適切な ACL (Access Control List) を設定する
この手順は若干アプリケーションに依存するところもありますが、だいたい以下の表に示されたとおりに適用できます。
ファイル タイプ アクセス制御リスト (ACL)
CGI (.exe, .dll, .cmd, .pl) Everyone (X)
Administrators (フル コントロール)
System (フル コントロール)

スクリプト ファイル (.asp) Everyone (X)
Administrators (フル コントロール)
System (フル コントロール)

インクルード ファイル Everyone (X)
(.inc, .shtm, .shtml) Administrators (フル コントロール)
System (フル コントロール)

静的なコンテンツ Everyone (読み取り)
(.txt, .gif, .jpg, .html) Administrators (フル コントロール)
System (フル コントロール)

Windows NT 4.0 Server/Windows NT Server, Enterprise Edition 4.0 (IIS 2.0, 3.0)
==========================================================================
Internet Information Server 2.0及び 3.0につきましては、修正モジュールの開発を予定しておりません。そのため、インターネット上で IIS をご利用いただく場合には、IIS 4.0 もしくは IIS 5.0 をご利用いただくようお願いいたします。

◆ 参考資料
===========
冒頭の説明にもありますように、本説明はこのたび問題になっているコンテンツの改ざんに対する最低限の防御策を説明するものです。より安全なサイトの運営のためには以下の完全な説明文書をご確認ください。

URL(http://www.microsoft.com/japan/technet/security/iissec.asp)

さらに詳細なIISの設定については、以下のチェック リストをご確認ください。

1. Internet Information Services 5.0 セキュリティのチェックリスト
URL(http://www.microsoft.com/japan/technet/security/iis5chk.asp)

2. Internet Information Server 4.0 セキュリティ チェックリスト
URL(http://www.microsoft.com/japan/technet/security/checklist.asp)


◆ 本件に関する一般ユーザー様向け問い合わせ窓口
============================================

今回のWebページの改ざん問題に対し、弊社ではマイクロソフトWebサイトでの本文書によるIISセキュリティ対策の告知とともに、「マイクロソフトIISセキュリティ情報センター」を設置いたしました。当窓口ではIISのセキュリティパッチ適用に関し本文書や関連する弊社Webサイト上の情報だけではわかりづらいといった場合のご質問やIIS Webページ改ざんに関する技術的対応方法の情報提供を目的としております。通常の製品サポートを行うものではございませんので、ご質問の内容によりましては弊社の有償サポート
(http://www.microsoft.com/japan/support/supportnet/default.asp)をご案内させていただくこともございます。当センターの主旨を是非ご理解いただきご利用くださいますようお願い申し上げます。

「マイクロソフトIISセキュリティ情報センター」
TEL: 0120-69-0196
営業時間: 9:30-12:00 / 13:00-19:00 (土日祝祭日・弊社休業日を除く)
運営期間：2月27日（火）13:00より 3月30日（金）まで
なお、3月3日（土）、3月4日（日）の以下の時間については上記の限りではございません。

9:30-12:00 / 13:00-17:00

サービス開始当初は、電話がつながりにくくなることが予想されます。その際はお手数ですが、お時間を空けて再度ご連絡いただきますようよろしくお願いいたします。

ご利用方法:
弊社IISをお使いの正規ユーザーに限ります
お名前、ご住所、電話番号、Eメールアドレスをお伺いいたしますのでご了承ください

注意事項：
セキュリティ対策作業実施に伴う、お客様のアプリケーション稼働環境保証、検証等は当窓口ではお答えできかねます。Webサイト公開情報をもとに、お客様自らテストを実施するか、ソフトウェアベンダー様やシステムインテグレーター様にお問い合わせいただくようお願い申し上げます。

==========================================================================
----------------------------------------------------------------------
発行 マイクロソフト株式会社
編集人 マイクロソフト株式会社 TechNetグループ
Copyright(C) マイクロソフト株式会社 2000