【 ここから本文 】

ITマネジメント

ソーシャルブックマークに登録 : Yahoo!ブックマークに登録 はてなブックマークに登録 del.icio.usに登録 newsing it!に登録 Buzzurlにブックマーク livedoorクリップに登録 Slashdotにタレコむ イザ!ブックマークに登録 Twitterでつぶやく
print 印刷用ページの表示

[世界]
Windows ServerとLonghornに未パッチの深刻な脆弱性

攻撃者が不正なRPCパケットをサーバに送信

(2007年04月16日)

 米国マイクロソフトは4月13日、同社の既存サーバOSで最近明らかになった未パッチの脆弱性が、Longhorn Serverのベータ版コードにも存在することを認めた。

 同社広報担当者は13日に配信した電子メールの中で、「Longhorn Serverも影響を受けるのは確かだ」としている。

 12日遅くに発表されたセキュリティ速報によると、Windows 2000 Server(SP4)とWindows Server 2003(SP1、SP2)に含まれるDNS Server Serviceの未パッチの脆弱性を攻撃者が悪用し、不正なRPC(Remote Procedure Call)パケットをサーバに送信しているという。

 マイクロソフトは未パッチの脆弱性の深刻度の評価を明らかにしていないが、ほとんどのセキュリティ企業や団体が、この脆弱性の深刻度を、それぞれの基準で最も重大かそれに近いレベルにあると判定している。

 例えば、デンマークの脆弱性調査会社セキュニアは、「Highly Critical」(きわめて重大)、イーアイ・デジタル・セキュリティは「Critical」(重大)と評価している。

 イーアイの速報には、「リモート管理のためのRPC機能を利用して、攻撃者は匿名でスタック・ベースのバッファ・オーバーフローを発生させることができる。このコードはSYSTEMコンテキストで実行されるため、システムが完全に乗っ取られる危険がある」と記されている。

 ちなみにRPCは、Windowsがネットワーク内のほかのマシン上のアプリケーションにサービスを呼び出す際に使用される。

 マイクロソフトのセキュリティ速報では、Longhorn Serverは今回の脆弱性の影響を受けるOSに含まれていなかった。これについて、同社広報担当者は、「マイクロソフトは通常、リリースしていない製品や技術の脆弱性については、公式説明を行わない」と弁明している。

 DNS Server Serviceの未パッチの脆弱性は、マイクロソフトが新OSに再利用している既存コードの不具合を、解消しきれていないことを示しており、こうした問題が表面化するのはここ2週間で今回が3度目となる。

 最近、Windows Vistaのアニメーション・カーソルのレンダリングと、エラーメッセージ処理の各脆弱性が明らかになっているが、これらも旧バージョンのOSに存在するものだ。

 クオリスのリサーチ・ラボのマネジャー、アモル・サーワット氏は、「Longhorn Serverはまだテスト段階にあり、今回の問題を解決するための時間が残されている。重要なのは、Longhornのベータ版ではなく正式版に既存コードのバグが紛れ込まないよう、ソフトウェア開発ライフサイクル(SDL:Software Development Lifecycle)を有効に機能させることだ」と述べている。

 そのうえで同氏は、「マイクロソフトはLonghornのテストの過程で、今回の脆弱性を発見すべきだった。テスト・プロセスはSDLの一部なのだから」と指摘している。

 SDLは、マイクロソフトが安全なコードの作成を目的に、VistaとLonghorn Serverの設計および開発プロセスに採用した施策だ。

 マイクロソフトは、DNS Server Serviceの未パッチの脆弱性に関するセキュリティ速報で、この脆弱性が悪用されるのを防ぐためのいくつかの方法を推奨しているが、パッチの配布日は明らかにしていない。だが同社は、「この脆弱性に対応するWindowsセキュリティ更新プログラムを完成させつつある」と説明している。

 サーワット氏はこのパッチが、月例セキュリティ更新プログラムの次の公開日である5月8日より前にリリースされると見ている。「マイクロソフトは、この脆弱性を悪用するコードがいくつか登場し、限定的な攻撃が発生していると認めているからだ」

 Longhorn Serverは6月末までにベータ3がリリースされる見通しだが、マイクロソフトは、同OS向けにもパッチを提供することを示唆している。同社広報担当者は、「Longhorn Serverのベータ版に関する正式なサポートは提供されていないが、マイクロソフトは、このベータ版の利用顧客に影響する問題に対応する更新プログラムを、必要に応じて提供する」と述べた。

 DNS Server Serviceの未パッチの脆弱性は、1週間前、SANSインスティチュートのインターネット・ストーム・センターが同サービスなどのWindowsコンポーネントを狙った攻撃コードについて報告したことで発覚した。

(グレッグ・カイザー/Computerworld オンライン米国版)

関連記事

▲ページの先頭へ戻る

ホワイトペーパー

「リアルタイムLANアナライザ」とは?

ネットワーク・トラブルにまつわる諸問題を解決する「リアルタイムLANアナライザ」とは?

高いコスト・パフォーマンスと操作性――最新製品に備わる特徴と機能

キャッチアップ

IT運用管理の「今ある課題」と「解決へのアプローチ」[前編]

“システムの大規模化・複雑化”と“時代的ニーズ”にどう対応するか

IT運用管理の「今ある課題」と「解決へのアプローチ」[後編]

新たな課題への対応と運用管理ソフト市場の今後

ITガバナンス講座

「VMO」はなぜ必要か――手遅れにならないための体系的ベンダー管理

ITソーシング先との関係維持がコスト削減を成功に導く

COBITの開発元ITGI、新たな危機管理フレームワークの開発に着手

ITソーシング先との関係維持がコスト削減を成功に導く

高まるプロジェクト管理への関心、IT予算額の減少が一因

ITソーシング先との関係維持がコスト削減を成功に導く

企業のITリスク管理が進展、総合的・バランス重視の傾向に

セキュリティ技術重視の企業は減少

専門家がアドバイスするオフショアを成功に導く10の方法

自社に最適なオフショア・ベンダーを見つけだし、海外プロジェクトを円滑に進めるにはどうするべきか?

「全社横断型の戦略部門」への転換がIT部門の未来を切り開く

企業の“DNA”に沿った事業戦略をITで具現化するという「大役」を果たすためには

チェンジ・マネジメントの自動化を促進せよ

現行プロセスを見直し、効率性・管理性・監査性を再検証する

セキュリティ強化にはどの標準/フレームワークが“適役”か

COBIT/ISO 27001/ITIL/SAS 70/NIST

SOX法対策で再び注目を集めるフレームワーク「COBIT」

コスト評価、サービス・レベルなどの課題をITで解決

EVM(アーンド・バリュー・マネジメント)に乗り遅れるな!

ITプロジェクトも、いまやEVM抜きでは管理できない時代に

ITマネジメント研究

データセンター管理のキーワードは「ITIL」と「自動化」――2つの調査に見るユーザー意識の高まり

「いずれも効率的なIT環境の実現に貢献」とアナリストが指摘

IT運用管理で用心すべき「5つの隠れたコスト」

ソフトウェア製品のコスト格差/ベンダー・ロックイン/生産性低下……

データセンター内をさまよう“幽霊サーバ”を暴き出せ!

存在していないはずなのに金だけは食う、やっかいものの正体とは

電子メール・アーカイブの構築を急ぐ米国企業

「訴訟対策」にとどまらない多大なメリットに期待

大容量データ時代のバックアップ新標準「データ・デデュープ」

バックアップ容量を大幅に削減する新技術のメカニズムを知る

Vistaのセキュリティを検証する

UAC、BitLockerなど主要強化点の実用度をチェック

「体感速度」の向上に着眼したアプリケーション監視手法

エンド・ツー・エンドのボトルネック検出でビジネス損失を回避する

データセンターを“サービス指向”で管理するSOMA

SOAにならい、管理オペレーションをサービスとして実装

ITプロジェクトは「スピード最優先」の時代に

競争優位に立つために、投資の早期回収を目指せ

データ漏洩・盗難対策を“完璧”に近づける「マルチレベル暗号化」のすすめ

ライフサイクル全般にわたるデータ保護を実現する

ILMの導入で、IT運用コストを引き下げろ!

ILMを成功裏に導入するための“6つのステップ”

スパム・メールとの終わりなき戦い

急増する脅威に対して、セキュリティ担当者がとりうる防御策とは?

サーバ・コンソリデーションの「計画ステップ」と「交渉ステップ」

綿密な計画を立てたのち、ベンダーから有利な契約条件を引き出す

新たな「電子開示」規則に企業はいかに対応すべきか

ドキュメントをより適切に分類/抽出/保管する

「シン・プロビジョニング」でストレージ・リソースの“無駄づかい”を撤廃する

手付かずの容量を有効活用するためのアプローチ

適切な要求仕様を仕上げるための8つの秘訣

“曖昧さ”がコストを肥大化させる

サーバ・プロビジョニングを最適化する

新世代の「boot-from-SAN」の実力に迫る

進化する「マネージド・サービス」

「New Data Center」は企業に何をもたらすか

資産管理ソフトウェアでIT投資の最適化を図る

TCO削減に加えコンプライアンス/セキュリティ対策にも有効

ITマネジメントの課題

ITIL採用の陰に潜む“習熟度”の問題――CIOへの調査結果で明らかに

多くのCIOがスキル不足を懸念。「ITILを本格的に実践」との回答は米国で10%未満

「仮想化サーバの管理に自信が持てない」とするCIOが半数以上に

懸案事項は、セキュリティ/異種インフラ管理/システム利用の最適化

社員のアクセス管理は「無法状態」――組織の分散化が原因?

「アクセス権に関する責任の所在は特定が困難で、検討機会もない」

企業の情報漏洩対策、最大の課題は従業員の意識改革

半数以上が社外秘情報を無断で持ち出した経験アリと回答

ITマネジャーがITILの導入を躊躇する10の理由

運用効率の向上とサービス管理の強化を約束するITILに、彼らが飛びつかないのはなぜ?

企業が陥るストレージの過剰購入

リソース管理ソフトを駆使して計画的な導入を!

先進ユーザーから学ぶサーバ仮想化導入の「落とし穴」

ネット構成、ライセンス、セキュリティに細心の注意を!

ストレージ・リソース管理(SRM)ソフトは使い物になるか?!

有用なチャージバック・モデル開発など、課題が山積

企業のコンプライアンス対応はいまだ不十分

完全な自動化を実現している企業はわずか3%

ITILの効果は顕著だがROIの計測は困難

有効な評価手段を持っている企業はわずか4%

ITマネジャーを悩ます携帯ストレージ・デバイスのセキュリティ・リスク

USBドライブなどの普及で増大する情報漏洩リスクに立ち向かう

Weekly Ranking

集計期間:11/27〜12/03

Computerworld Global
米国
英国
中国
ドイツ
オーストラリア
シンガポール
その他の国