Microsoftは米国時間3月17日、Windows 2000のウェブサーバのIIS(Internet Information Server)で、セキュリティホールが発見されたことを明らかにした。同社は顧客に対してパッチを当てるなどして対策を講じるよう警告している。
対象となるのはWindows 2000サーバで稼動するIIS 5.0。Windows NTのIIS 4.0とWindows XPのIIS 5.1は対象外となる。
このセキュリティホールは、IISでWebDAV(World Wide Web Distributed Authoring and Versioning)プロトコルを処理するソフトウェアコンポーネントに存在する。悪意のあるハッカーが、WebDAVコンポーネントに特別な形式の要求を送信することで、その要求に対する割当メモリをオーバーフローさせ、代わりに悪意のあるプログラムを実行できてしまう。この方法により、攻撃者がサーバを自分の管理下に置くことが可能となる。
一般的に、セキュリティホールは次のような手順を経て公開される。まず、研究者がセキュリティホールを発見し、それをソフトウェアメーカーに通知する。ソフトウェアメーカーはこれを受けてパッチを用意する。研究者はパッチの準備が整った段階でセキュリティホールを公表する。もし、パッチの完成の前にセキュリティホールが公表されてしまった場合、そのセキュリティホールを悪用するハッカーが増える可能性が高くなり、被害はとてつもなく大きなものになることが予想される。
今回のケースは、この「もし」の場合と同様の最悪のシナリオとなってしまった。Microsoftが今回のセキュリティホールを知ったのは米国時間3月12日で、これは「攻撃者がセキュリティホールを悪用して顧客のウェブサーバ・セキュリティに侵入した後だった」(Microsoftセキュリティ・レスポンス・センターのマネージャー、Iain Mulholland)。
セキュリティ対策ソフト大手の米Internet Security Systems(ISS)も、すでに被害を受けた企業について確認しているという。また、セキュリティホールを利用したツールがインターネット上で配布されていることも確認したという。
ISSリサーチ/開発グループのチームリーダー、Dan Ingevaldsonは次のように語っている。「我々が調査する限り、今のところ被害は広がりを見せておらず、現時点では阻止されているものと考えている。しかし、この状態が長く続くとは思わない」(同氏)。
この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス