ファイアウォールとWebキャッシュ・ソフトウェア「Proxy Server 2.0」「ISA Server 2000」において、DNSの逆引き参照の結果をキャッシュする方法に脆弱性が存在し、その結果、インターネット・コンテンツのなりすましが行われる危険性がある。この脆弱性が悪用されると、Proxy Server 2.0／ISA Server 2000を経由してインターネットに接続しているユーザーは信頼されるインターネット・コンテンツにアクセスしたにもかかわらず、不正なWebサイトのインターネット・コンテンツなどにアクセス先が変更されてしまう。

　DNSの逆引き参照を詐称させるのは、Proxy Server 2.0／ISA Server 2000に対して細工したIPアドレスの逆引き参照を行い、かつ攻撃者が作成したドメイン名へユーザーがアクセスするように誘導することが必要だ。例えば、Windows Updateサイトやウイルス対策ソフトウェアのデータベース更新サイトなどへのアクセスに対して、この脆弱性が悪用されると、Windows Updateを詐称されてウイルスがインストールされたり、ウイルス対策ソフトウェアのデータベースが更新されなくなったりする。この脆弱性が悪用された場合、Proxy Server 2.0／ISA Server 2000を経由してインターネットへアクセスしている全クライアントが攻撃対象（サイト詐称の対象）となるので被害は甚大となる。

　この脆弱性を悪用するのは容易ではないと思われるが、悪用された場合の影響が大きいことが予想されるため、なるべく早期に修正プログラムの適用を行っていただきたい。なおセキュアなHTTPS（SSL）によるWebアクセスではなりすますことはできない（従ってバンキングやトレーディング、ショッピング・サイトなど、HTTPSを利用したサイトに対しては、別のWebサイトに誘導させることはできない）。またマイクロソフトによれば、現在のところこの脆弱性の実証コードや悪用された例は報告されていない。

　Proxy Server 2.0とISA Server 2000は、ファイアウォールとWebキャッシュ（プロキシ）を提供するサーバ向けアプリケーションである。ISA Server 2000は、Proxy Server 2.0の後継製品で、すでにISA Server 2000の後継としてISA Server 2004がリリースされている。マイクロソフトによれば、ISA Server 2004はこの脆弱性の影響を受けない。

　Proxy Server 2.0／ISA Server 2000のDNSの逆引き参照の結果をキャッシュする方法に脆弱性が存在する。逆引き参照でキャッシュした結果は、前方参照（通常の参照）に利用される。これは、受け取られたホスト名が有効なホスト名であることを前提としている。そのため、特定のIPアドレスの逆引き参照が細工されると、不正な結果がキャッシュされる。結果、対応するドメイン名への前方参照が詐称され、実際とは異なるIPアドレスに誘導されることになる。そこで、ユーザーがそのドメイン名へのアクセスを行うと、攻撃者が仕掛けたドメイン（Webサイト）へと誘導されることになる。

　この脆弱性を悪用することで、銀行やクレジット・カード会社を詐称して個人情報を窃取したり、ソフトウェアのダウンロード・サイトを詐称してウイルスをダウンロードさせたりする攻撃が想定される（ただしHTTPSを利用したサイトに対しては、別のWebサイトに誘導させることはできない）。MS04-039の脆弱性は、悪用された場合でも、ユーザーとインターネットの途中となるプロキシに対するものであるため、ユーザーが攻撃を受けていることに気付きにくい。「危険性」で述べたようにクライアントが感染したウイルスが2次攻撃として、この脆弱性を悪用することが懸念される。攻撃が開始される前に早期の対策が必要だ。

■適用テストの結果
　DA Labでは、以下のプラットフォームで修正プログラムの適用テストを行った。

■マイクロソフトがなりすましの脆弱性を回避する方法を公開（2004/11/17 追記）
　マイクロソフトは、MS04-029の脆弱性を回避する方法を「サポート技術情報：889189」で公開した。

・サポート技術情報 889189（マイクロソフト セキュリティ情報 MS04-039 に記載されている ISA Server 2000 と Proxy Server 2.0 の DNS キャッシュのなりすましの脆弱性を回避する方法）：
http://support.microsoft.com/default.aspx?scid=kb;ja;889189

　スタンドアロン・モードのISA Server 2000／Proxy Server 2.0では、レジストリの値を変更してDNSキャッシュのサイズを「0」に設定することで、逆引き参照の結果をキャッシュしないようにできる。詳細な手順については、上記のサポート技術情報を参照していただきたい。なお、キャッシュ・サイズを「0」にする手順を自動的に実行するスクリプトと、DNSキャッシュをクリアするツールも同時に提供されているので、すぐに修正プログラムの適用が行えないような場合は、この回避策を実行することを検討していただきたい。

・マイクロソフト（上記の手順を自動的に実行するスクリプト）：
http://isatools.org/ms04-039.js

・マイクロソフト（ISA Server 2000 Web proxyのキャッシュをクリアするツール）：
http://isatools.org/clrcache.cmd

■ISA Server 2000向け修正プログラムの適用にはローカル・ログオンが必要？
　ISA Server 2000向けの修正プログラムを対象となるWindows Server 2003にローカル・ログオンせずにリモートで適用（サイレント・インストール）を行ったところ、一部のレジストリ値が正しく登録されないことをDA Labで確認した。具体的には、修正プログラム自身が更新したファイルのリストのうち、ほとんどがレジストリに記録されない（キー名は後述の「ISA Server 2000向け修正プログラムで登録されるレジストリ・キーに注意」を参照）。ファイルの適用自体は完了し、アンインストール情報なども登録されるため、実運用上の問題はないものと思われる。

　しかしレジストリ情報が正しく登録されないため、将来的に何らかの障害が発生することも懸念される。資産管理ソフトウェアなどを利用して修正プログラムを適用する場合は、ローカル・ログオンを行った後に実行した方がよいだろう。ただし、ローカル・ログオンの後にシステムの再起動を実行してしまうと、やはりリモートでの適用ではレジストリが正しく更新されなかったので注意していただきたい。なお、Windows 2000ではこの問題は発生しなかった。

■Proxy Server 2.0向け修正プログラムに含まれるファイルのバージョンはSP1と同じ
　Proxy Server 2.0向け修正プログラムに含まれるファイルのバージョンは、Proxy Server 2.0 SP1と同じであるため、バージョン番号から修正プログラムの適用の有無は判断できない。ファイル・サイズと更新日時で確認していただきたい。参考までに、修正プログラムに含まれるファイルのSHA1ハッシュ値を以下に記す。

■ISA Server 2000向け修正プログラムの対象はWindows 2000 Server SP4以降？
　TechNetセキュリティ情報には、ISA Server 2000がインストールされているWindows 2000 Serverのサービスパック・レベルについての記載はない。すでにマイクロソフトは、Windows 2000 Server SP3未満のサービスパックに対する修正プログラムの提供は行っていないことから、ISA Server 2000 SP1／SP2＋Windows 2000 Server SP3／SP4が対象となりそうだ。

　しかし、実際にWindows 2000 Server SP3に適用しようとしたところ、Windows 2000 Server SP4が必要であるというエラーメッセージが表示されてしまった。つまりWindows 2000 Serverの場合、Windows 2000 SP4の適用が必須ということだ。

　ISA Server 2000 SP2の場合はWindows 2000 Server SP4の事前適用が必須のため、これは問題にならない。しかしISA Server 2000 SP1の場合はWindows 2000 Server SP2以降なら運用できるため、注意が必要だ。まだWindows 2000 Server SP3はマイクロソフトのサポート対象ではあるが、すでにWindows 2000 SP4がリリースされて1年以上経つ。なるべく早くWindows 2000 SP4をインストールすることをお勧めする。

■ISA Server 2000向け修正プログラムで登録されるレジストリ・キーに注意
　MS04-039のISA Server 2000向け修正プログラムでは、適用が完了すると以下のレジストリ・キーを作成する。

　これまでの修正プログラムならば、「セキュリティ更新プログラム KB888258」（英語版でも、「Security Update KB888258」）ではなく、以下のように「KB888258」とサポート技術情報番号のみでキーが作成される。

　実際Proxy Server2.0では、サポート技術情報番号のみでキーが作成される仕様になっている。ISA Server 2000向けの修正プログラム（INFファイル）の作成ミスなのか、今後は「セキュリティ更新プログラム ＜サポート技術情報番号＞」という形式に変更になるのか不明だが、レジストリ・キーで修正プログラムの適用を確認する場合には注意が必要だ。

■脆弱性の対象はISA Server 2000本体
　ISA Server 2000では、管理ツールをWindows 2000 ProfessionalなどのクライアントOSにもインストール可能だ。しかしMS04-039の脆弱性は、ISA Server 2000本体に存在するため、管理ツールをインストールしたクライアントOSへの適用は不要だ。DA Labで調査したところ、管理ツールをインストールしただけのクライアントOSには適用が行えなかった（エラーが発生した）。

■適用中にはサービスが再起動される
　ISA Server 2000用修正プログラムを適用している最中には、ファイアウォールやプロキシなどISA Server 2000の中核のサービスがいったん停止され、ファイルのコピー後に再び起動される。ネットワーク構成によってはインターネット接続が一時停止したり、インターネットにファイアウォールなしで接した状態になったりする可能性がある。こうした修正プログラムの適用による影響に留意していただきたい。

■MBSA 1.21の結果
　MBSA 1.21は、ISA Server 2000／Proxy Server 2.0に対応していない。そのため、MS04-039の修正プログラムが正しく適用されているかどうかは、MBSA 1.21では確認できない。

　2004年11月10日に提供が開始されたMS04-039の修正プログラムのうち、ISA Server 2000向けに不具合があることが判明し、それを修正した修正プログラムが再リリースされた。

・サポート技術情報 890097（マイクロソフト セキュリティ更新プログラム MS04-039 のインストール後に複数の障害が発生する）：
http://support.microsoft.com/default.aspx?scid=kb;ja;890097

　不具合は2つあった。1つは、ISA Server 2000 SP1に適用すると、必要なファイルが足りないことからISA Server 2000が正しく機能しなくなるというもの。もう1つは、Windows 2000 Server SP3とISA Server 2000 SP1の組み合わせに対して、修正プログラムが適用できないというものだ。Windows 2000 Server SP3がサポート対象外となっている件については、HotFix Alertの「DA Lab：HotFixテスティング・チームからのコメント」で触れたとおりである。

　10月16日付けで再リリースされた修正プログラムで、この2つの不具合を解消している。ISA Server 2000 SP1では、11月10日付けの修正プログラムを適用している場合でも、再リリースされた修正プログラムの適用が必要になる。ISA Server 2000 SP2では、正常に適用が完了していれば、再リリースされた修正プログラムの適用は不要だ。Windows 2000 Server SP3上でISA Server 2000 SP1を稼働している場合は、古い修正プログラムでは警告が表示されて適用ができなかったが、再リリースされた修正プログラムならば適用可能である。なお、ISA Server 2000 SP2の場合は、それ自身を適用する時点でWindows 2000 SP4の適用が必要なため、Windows 2000 Server SP3＋ISA Server 2000 SP2という組み合わせは存在し得ない。

・ダウンロード・センター（Microsoft Internet Security and Acceleration (ISA) Server 2000 の脆弱性により、インターネットのコンテンツが偽装される可能性がある (888258)）
http://www.microsoft.com/downloads/details.aspx?
FamilyID=7a4c318f-5ac9-4cf2-8792-a4a62076ebe7&DisplayLang=ja

　修正プログラムのダウンロードURLは、ファイル名も含めてまったく変わっていないので、古い修正プログラムをダウンロードしたり実行したりしないよう注意が必要だ。なお適用されるファイルは以下のとおりである。msphlpr.dll以外のファイルが新たに置き換えられる（ISA Server 2000 SP1／SP2で共通）。

　修正プログラムが正しく適用できたかどうかは、以下のレジストリ・キーにある値を調べることで確認できる。

・ISA Server 2000 SP1／SP2：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Microsoft ISA Server 2000\SP2\セキュリティ更新プログラム KB888258

・Proxy Server 2.0 SP1：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\HotFix\KB888258

UpdateEXPERT 6.1

・ISA Server 2000 SP1／SP2：
［展開ビュー］−［ISA］タブに「名前：ISA2000-KB888258-X86-JPN.exe」で登録
注）UpdateEXPERTでは、「HotFixテスティング・チームからのコメント」に記載されているローカル・ログオンの障害を回避するため、再起動を行った後に適用を開始し、適用完了後にも再起動を行うので注意していただきたい。

＊UpdateEXPERT 5.1／6.1ではProxy Server 2.0を、UpdateEXPERT 5.1ではISA Server 2000もサポートしていない。