各種Windowsシステム管理ツールなどを無償公開しているSysinternalsが、クラッキング・ツールであるrootkitを検出する“RootkitRevealer”ツールを公開した。RootkitRevealerを使えば、Windowsシステムにrootkitが隠されていないかを検出できる。

　一時的なサービス拒否攻撃や、愉快犯的なWebコンテンツの改ざんなどと異なり、ほかのシステムを攻撃するための踏み台探しや、金銭目当ての情報窃取などでは、攻撃者はできる限りシステムを自由に操り、同時に侵入の痕跡を残さないようにするために、時間をかけてターゲットとなるシステムを調査する。この際には、対策されずに放置され悪用が可能なセキュリティ・ホールの調査、侵入路がふさがれた場合でも出入りできるようにするためのバックドアの設置、自身の活動を隠蔽するログ改ざんなどを実施する。

　こうしたクラッキングを効率的に実施するにはツールが必要だ。このためのクラッキング「七つ道具」のようなソフトウェア・ツール集を総称してrootkitと呼ぶ。アンダーグラウンドでは、さまざまなrootkitが開発され、インターネットからも入手可能になっている。

　一般にrootkitを使ったシステムの調査にはかなりの時間がかかるので、その間、rootkitが発見されないように隠しておく必要がある。具体的な手法はまちまちだが、例えばアプリケーションによるOSのAPI呼び出し（ディレクトリ一覧のAPIなど）を横取りして、rootkitのファイルが存在しないように見せかけるものや、カーネル内部のプロセス・テーブルを改変して、rootkitのプロセスの存在を隠蔽するものなどがある。

　RootkitRevealerは、このようなrootkitがシステムにインストールされていないかどうかを走査するツールだ。

• RootkitRevealer（Sysinternals）

　RootkitRevealerは、ウイルス対策ソフトウェアのようなパターンマッチ方式ではなく、Windowsシステムやファイル・システム内部の整合性などを検査することで、rootkitが存在する可能性を検査する。パターン・ファイルは不要なので、オフライン環境でも実行できるし、未知のrootkitでも検出できる可能性がある。Windows NT 4.0、Windows 2000、Windows XP、Windows Server 2003で実行が可能だ。ツールにはコマンドライン版とGUI版の2種類があり、用途や環境に応じて両者を使い分けられる。

RootkitRevealer

rootkitらしきプログラムがコンピュータに侵入していないかどうかを走査する。

　特に、インターネット向けにサービスを提供しているサーバ、常時稼働しているクライアントPCなどでは、定期的にこのツールを実行して、システムに不審な兆候がないかどうかをチェックするとよいだろう。ただしRootkitRevealerによる検出も完全ではない。米国のコミュニティなどでは、検出から漏れるrootkitが具体的に指摘されている。あくまでシステム防衛の1つの手段として捉えるべきである。

　マイクロソフトによれば、MS05-011（サーバー メッセージ ブロックの脆弱性により、リモートでコードが実行される）の修正を適用したWindows 2000／Windows XPクライアント・コンピュータから、Windows 9x系OS（Windows 98／98 SE／Me）上の共有フォルダにあるファイルをOfficeアプリケーションで開き、別名で保存しようとすると、次のエラーが発生して保存できない不具合があることを公表した。

• MS05-011 適用後に Win9x 上の共有フォルダにある Office アプリケーションのファイルを別名で保存ができなくなる（MSKB894938）

　この現象は、共有フォルダ上のファイルをOfficeアプリケーションで開き、別名保存を実行した場合にのみ発生する問題だとしている。従ってOfficeアプリケーション以外では発生しない。またOfficeアプリケーションであっても、別名保存ではなく、上書き保存や新規作成については問題がない。いったんローカル・マシンに別名保存してから、共有フォルダに移動することで、この不具合は回避可能だ。

　原稿執筆時点で修正プログラムは提供されていない。

　マイクロソフトは、Windows XP SP2（以下XP SP2）に存在する以下の2つの不具合を修正するプログラムについて、Windows Updateと自動更新向けに提供を開始した。必要ならダウンロード・センターからも入手できる。

1. Windows XP Service Pack 2 または Windows Server 2003 で Stop エラー "Stop 0x05 (INVALID_PROCESS_ATTACH_ATTEMPT)" が表示される（MSKB887742）
   

2. Windows XP 上の Internet Explorer で Shift-JIS 文字エンコードを使用する Web サイトを参照すると、2 バイト文字セット (DBCS) 文字が正しく表示されない場合がある（MSKB886677）

　1．は、IIS 6.0のカーネルモード・ドライバであるhttp.sysにバグがあり、TDI（Transport Driver Interface）フィルタを追加したときに、場合によってスタックを破壊してしまい、ブルー・スクリーンになってしまうという問題である。この問題については、2004年12月3日版のHotFix Briefingsでお知らせした（関連記事の「XP SP2のHttp.sysにある不具合を修正するプログラムが公開」の見出し部分を参照）。TDIフィルタは、ウイルス対策ソフトやファイアウォール関連ソフトウェアなどを追加すると新たに組み込まれる場合がある。

Windows HotFix Briefings 2004年12月3日版

　2．についても、同じく2004年12月3日版のHotFix Briefingsでお知らせしている（関連記事の「XP SP2を適用し、Shift-JISでエンコードされたWebページをIEで表示すると2バイト文字が正しく表示されない」の見出し部分を参照）。XP SP2のIEにおいて、Shift-JIS形式でエンコードされたWebページを表示すると、2バイト文字（漢字など）が一部文字化けするなどの不具合が生じるというもの。

　従来はダウンロード・センターからの入手のみだったが、今回Windows Updateと自動更新に追加され、簡単に適用できるようになった。

　2005年2月9日付けのマイクロソフトの月例修正プログラム公開日に公開され、以下の2月16日版HotFix Briefings ALERTでもお伝えしたMS05-006（SharePoint ServicesおよびSharePoint Team Servicesの脆弱性により、クロスサイト スクリプティングおよびなりすましの攻撃が行われる）に対して、脆弱性の対象ソフトウェアが当初の情報から追加された。

HotFix Briefings ALERT 2005年2月16日版

　当初のセキュリティ情報では、脆弱性の対象ソフトウェアはWindows Server 2003向けに無償提供されているWindows SharePoint Services（WSS）と、Office XP向けに提供されているSharePoint Team Servicesのみで、エンタープライズ・ポータル向けのサーバ・ソフトウェア製品であるSharePoint Portal Server（SPS）は影響を受けないと明記されていた。上記HotFix Briefings ALERTの記事でも、その旨をお知らせした。

　しかしSPSは、ベース・テクノロジとしてWSSを利用し、その上で統合検索機能やシングル・サインオンなどのエンタープライズ向け機能を提供する製品であり、実際にはWSSの脆弱性の影響を受ける（SPS 2003製品には、WSSが含まれている）。このためマイクロソフトは、当初の情報を修正し、SharePoint Portal Server 2003もMS05-006の影響を受けるソフトウェアとして追加した。

　また、Windows Server 2003を含む中小事業者向け統合パッケージのSmall Business Server 2003（SBS 2003）についても、内部にWSSが含まれており、脆弱性の影響を受けることから、こちらもMS05-006の対象ソフトウェアに追加している。

　SharePoint Portal Server 2003やSBS 2003を利用している場合は、MS05-006の修正プログラムについて再確認が必要である。

　マイクロソフトは、ファイアウォール／Web Proxy製品として2004年8月より発売しているInternet Security and Acceleration Server 2004（ISA Server 2004） Standard Edition向けのService Pack 1（SP1）を公開した。以下のページからダウンロードできる。

• Internet Security and Acceleration (ISA) Server 2004 Standard Edition Service Pack 1 (SP1)

製品レビュー　ISA Server 2004

　ISA Server 2004については、エンタープライズ機能を強化したEnterprise Editionが先ごろ発表されたところだ。上記ページの解説によれば、今回のSP1により以下の点が強化、改善されるという。

• ISA Server 2004 Standard Editionのコード・フィックス後に公開されたすべての修正プログラムの追加

• マイクロソフトの製品サポートへの問い合わせに対応した非公開の修正プログラムの追加

• ISA Serverのサービス、管理ツールの安定性の向上

　ファイアウォール／Web Proxyでは、万一SP1の適用による不具合が発生した場合、外部との通信が遮断されてしまうなど影響が大きいので、SP1の評価と適用計画などは慎重に吟味する必要がある。だが、上記のように多くの不具合が修正されているため、ISA Server 2004 Standard Editionを利用しているなら、SP1の適用準備を開始すべきだ。

• Windows 画像と FAX ビューアで印刷をキャンセルした場合 再度印刷が行えない（MSKB894931）

• Microsoft Windows XP Service Pack 2 で Bluetooth スタックをインストールし Bluetooth デバイスを検出するときに、アクセス拒否のエラー メッセージが表示される（MSKB892891）

• シャットダウン処理の途中でシステムが停止するときがある（MSKB894208）

• Exchange Server 2003 で多くのメッセージを送信しようとすると、 9646 ID イベントが記録されます（MSKB830836）［機械翻訳］

• ハイパースレッド対応のコンピュータで DRM 保護されたファイルをポータブル音楽プレーヤー デバイスに転送すると、Windows Media Player が応答を停止する（MSKB891663）

• 外字 (EUDC) フォントの一部が Windows XP で正しく表示されない（MSKB332134）

• Comctl32.dll の複数のバージョンは、 Windows XP で表示されるために、 Windows XP スタイルと Windows クラシック スタイル ウィンドウが発生します（MSKB884883）［機械翻訳］

• Windows XP 用の更新プログラム （KB884883）

• Windows XP 用のバックグラウンド インテリジェント転送サービス (BITS) 2.0 および WinHTTP 5.1 を含む更新プログラム パッケージ（MSKB842773）

• Windows Server 2003 用バックグラウンド インテリジェント転送サービス (BITS) 2.0 および WinHTTP 5.1 の更新プログラム （MSKB842773）

• Windows XP 用のバックグラウンド インテリジェント転送サービス (BITS) 2.0 および WinHTTP 5.1 を含む更新プログラム パッケージ（MSKB842773）

• Windows 2000 用バックグラウンド インテリジェント転送サービス (BITS) 2.0 および WinHTTP 5.1 の更新プログラム （MSKB842773）

• Internet Security and Acceleration (ISA) Server 2004 Standard Edition Service Pack 1 (SP1)（ダウンロード・センター）