Windows 2000に重大なセキュリティホール

　Microsoftは米国時間3月17日、Windows 2000のウェブサーバのIIS（Internet Information Server）で、セキュリティホールが発見されたことを明らかにした。同社は顧客に対してパッチを当てるなどして対策を講じるよう警告している。

　対象となるのはWindows 2000サーバで稼動するIIS 5.0。Windows NTのIIS 4.0とWindows XPのIIS 5.1は対象外となる。

　このセキュリティホールは、IISでWebDAV（World Wide Web Distributed Authoring and Versioning）プロトコルを処理するソフトウェアコンポーネントに存在する。悪意のあるハッカーが、WebDAVコンポーネントに特別な形式の要求を送信することで、その要求に対する割当メモリをオーバーフローさせ、代わりに悪意のあるプログラムを実行できてしまう。この方法により、攻撃者がサーバを自分の管理下に置くことが可能となる。

　一般的に、セキュリティホールは次のような手順を経て公開される。まず、研究者がセキュリティホールを発見し、それをソフトウェアメーカーに通知する。ソフトウェアメーカーはこれを受けてパッチを用意する。研究者はパッチの準備が整った段階でセキュリティホールを公表する。もし、パッチの完成の前にセキュリティホールが公表されてしまった場合、そのセキュリティホールを悪用するハッカーが増える可能性が高くなり、被害はとてつもなく大きなものになることが予想される。

　今回のケースは、この「もし」の場合と同様の最悪のシナリオとなってしまった。Microsoftが今回のセキュリティホールを知ったのは米国時間3月12日で、これは「攻撃者がセキュリティホールを悪用して顧客のウェブサーバ・セキュリティに侵入した後だった」（Microsoftセキュリティ・レスポンス・センターのマネージャー、Iain Mulholland）。

　セキュリティ対策ソフト大手の米Internet Security Systems（ISS）も、すでに被害を受けた企業について確認しているという。また、セキュリティホールを利用したツールがインターネット上で配布されていることも確認したという。

　ISSリサーチ／開発グループのチームリーダー、Dan Ingevaldsonは次のように語っている。「我々が調査する限り、今のところ被害は広がりを見せておらず、現時点では阻止されているものと考えている。しかし、この状態が長く続くとは思わない」（同氏）。