【セキュリティー・プライバシー】

マイクロソフト、IIS用の最新修正プログラムを公開

■URL
http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS01-044
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/itsolutions/security/tools/locktool.asp (「IIS Lockdown Tool」のページ)

米Microsoft「IIS Lockdown Tool」のページ。

 マイクロソフト株式会社は、IIS用の累積的な修正プログラムを発表した。これは、7月~8月に猛威を奮ったウィルス「CodeRed」対策や「URLリダイレクト機能の脆弱性」などを修正するセキュリティーパッチの最新版で、Windows NT 4.0およびWindows 2000でIISを使用しているサーバー管理者が対象。

 IIS用累積的な修正プログラムは、ServicePack5以降に発表されたIIS4.0および5.0の修正プログラムを全て含んでおり、「システムファイル一覧のアクセス権が昇格する脆弱性」や「IIS5.0のサービスを停止させるサービス拒否の脆弱性」などへの対策パッチが含まれている。

 マイクロソフトは、ここのところIISなどのプログラムバグに悩まされている。7~8月は「CodeRed」の蔓延により、多くのIISサーバーが被害を受けた。しかし「CodeRed」が利用するセキュリティーホールは、既に6月に警告および対策を提供しており、サーバー管理者などが対策を行なっていなかったことも一因となっている。この原因としては、セキュリティー関連パッチやプログラムが毎日のように発表されることや、サーバー管理者が手動でこれらに対応しなくてはならないという手間が考えられる。

 なお米Microsoftでは、IISの機能の一部制限や権限を変更するなどのセキュリティー対策を行なうツール「IIS Lockdown Tool」を発表している。これは半自動的にIISの機能制限などを行なうことにより、比較的容易にセキュリティーを上げることができるツールで、主にサーバー管理者向けのツールだ。日本語版への対応については現在不明。

 また、マイクロソフトは一般ユーザー向けに「ホームユーザー向けセキュリティ対策早わかりガイド」を発表している。これは、一般ユーザーが自分の使っているアプリケーション(OutLookなど)を選択し、バージョンを入力するだけで対応したセキュリティーパッチ等がインストールされるというもの。マイクロソフトは、いかに「ユーザーが手間を費やすことなくセキュリティー対策を行なうか」に注力しているようだ。

◎関連記事
マイクロソフト、初心者向けセキュリティー対策ページを開設
ワーム「Code Red」被害拡大~東京めたりっく・インターリンクなど被害続出~

(2001/8/27)

[Reported by otsu-j@impress.co.jp]


INTERNET Watchホームページ

INTERNET Watchグループinternet-watch-info@impress.co.jp