TechNet セキュリティ > マイクロソフト セキュリティ アドバイザリ

マイクロソフト セキュリティ アドバイザリ (971888)

DNS デボルブ用の更新プログラム

公開日: 2009年6月10日
要訳

お知らせ内容

更新プログラムの公開

更新プログラム

サポート技術情報 957579

被害報告

なし

回避策

あり

対応方法

サポート技術情報 957579 で提供している更新プログラムをインストールしてください。

マイクロソフトは、お客様のコンピューターを保護された状態に保つ手助けとなる DNS デボルブ用の更新プログラムが利用可能になったことをお知らせします。「contoso.co.us」のように、ドメイン名に 3 つまたはそれ以上のラベルがある場合、または、DNS サフィックスの一覧を構成していない場合、または、次の問題を緩和する要素に該当するものがない場合、誤りにより、クライアント コンピューターが組織の境界外にあるコンピューターを組織の境界内にあるかのように処理してしまう可能性があります。

問題を緩和する要素:

ドメインに参加しており、DNS サフィックス検索一覧をコンピューターで構成しているお客様については、誤りにより、外部のコンピューターが内部のコンピューターのように処理される危険はありません。マイクロソフトはすべてのエンタープライズ カスタマーに DNS サフィックス検索一覧をクライアント コンピューターで設定し、すべての DNS クエリが組織の境界内にあるようにすることを推奨します。

ほとんどの場合、ドメインのメンバーでないホーム ユーザーは DNS デボルブを使用していないため、この危険にさらされることはありません。しかし、ドメインのメンバーでなくても、プライマリ DNS サフィックスを構成しているホーム ユーザーについては、DNS デボルブを使用しているため、誤りにより、外部のコンピューターが内部のコンピューターのように処理されてしまう危険があります。

DNS ドメイン名が 2 つのラベルで構成されている場合、この危険にはさらされません。例えば、「.com」および「.gov」のトップ レベル ドメイン (TLD) の下にお客様登録のドメイン名「contoso」および「fabrikam」がある contoso.com または fabrikam.gov などは影響を受けません。

概説

概要

アドバイザリの目的: お客様がコンピューターを保護された状態に保つ手助けとなるセキュリティ以外の更新プログラムが利用可能となったことをお知らせし、またこの更新プログラムの説明をすることです。

アドバイザリの状況: マイクロソフト サポート技術情報および関連の更新プログラムを公開しました。

推奨する対応策: 関連するサポート技術情報を確認し、適切な更新プログラムを適用してください。

参照情報番号

マイクロソフト サポート技術情報

サポート技術情報 957579

このアドバイザリは次のソフトウェアについて説明しています。

影響を受けるソフトウェア

Microsoft Windows 2000 Service Pack 4

Windows XP Service Pack 2 および Windows XP Service Pack 3

Windows XP Professional x64 Edition Service Pack 2

Windows Server 2003 Service Pack 2

Windows Server 2003 x64 Edition Service Pack 2

Windows Server 2003 with SP2 for Itanium-based Systems

Windows Vista、Windows Vista Service Pack 1 および Windows Vista Service Pack 2

Windows Vista x64 Edition、Windows Vista x64 Edition Service Pack 1 および Windows Vista x64 Edition Service Pack 2

Windows Server 2008 for 32-bit Systems および Windows Server 2008 for 32-bit Systems Service Pack 2

Windows Server 2008 for x64-based Systems および Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for Itanium-based Systems および Windows Server 2008 for Itanium-based Systems Service Pack 2

Top of sectionTop of section

よく寄せられる質問

このアドバイザリの目的は何ですか?
このアドバイザリの目的は、ドメインに参加していても、DNS サフィックス一覧を構成していないコンピューターについて、組織の境界を定義する手助けとなる更新プログラムが利用可能となったことをお知らせすることです。これは「概要」のセクションの一覧に記載されているソフトウェア用の更新プログラムです。

トップ レベル ドメイン (TLD) とは何ですか?
トップ レベル ドメイン (TLD) とは、インターネット ドメイン名の最後の部分です。すべてのドメイン名の最後のドット以降の文字です。例えば、ドメイン名が wpad.western.corp.contoso.co.us である場合、TLD は「.us」です。TLD は主に次の 2 種類に分かれます。国のコードおよび一般的なもの。TLD が国のコードである場合は、各国名を短縮した 2 文字です。つまり、.us は米国 (United States) です。一般的な TLD は、従来からよく目にする短縮された 3 文字 (またはそれ以上) である .com、.net、.org などです。利用可能な TLD の一覧については IANA をご覧ください。

プライマリ DNS サフィックス (PDS) とは何ですか?
これは、コンピューターの単一ラベルのホスト名の右側に付いているドメイン名です。完全修飾ドメイン名 (FQDN) は <ホスト名>.<プライマリ DNS サフィックス> と定義できます。既定で、コンピューターの FQDN のプライマリ DNS サフィックスの部分は、コンピューターが参加している Active Directory ドメインの名前と同じです。しかし、コンピューターの PDS は、[マイ コンピューター] から [プロパティ] ダイアログ ボックスを介し構成された場合、コンピューターが参加している DNS ドメインとは異なる可能性があります。

第 2 レベル ドメイン (SLD) とは何ですか?
第 2 レベル ドメイン (SLD) とは、TLD の「下位」または左側にあるドメインです。前述の例で、wpad.western.corp.contoso.co.us の SLD は「.co」です。SLD の登録で最も一般的なものは、国のコードの TLD の下にあるものです。たとえば、コロラド州については「.co.us」のように、米国は主に米国の州の登録に SLD を使用しています。米国以外の SLD では「.com.sg」のように一般的な TLD 名が頻繁に再使用されます。

DNS デボルブ機能は何を行いますか?
デボルブは Windows DNS クライアントの機能です。デボルブは Windows DNS クライアントが単一レベルの非修飾ホスト名についての DNS クエリを解決するプロセスです。クエリは、ホスト名に PDS を付け加えることにより構成されます。クエリは体系的に、ホスト名 + 残りの PDS 解決となるまで、または削除された PDS で 2 つのラベルのみが残るまで、PDS のいちばん左のラベルを削除することにより、再試行されます。たとえば、western.corp.contoso.co.us ドメインの「Single-label」を見つけている Windows クライアントは、解決するコンピューターを見つけるまで、Single-label.western.corp.contoso.co.us、Single-label.corp.contoso.co.us、Single-label.contoso.co.us、Single-label.co.us と次々にクエリを実行します。このプロセスがデボルブと呼ばれます。DNS クライアント サービスおよびデボルブに関する追加情報は、TCP/IP Fundamentals for Windows, Chapter 9 - Windows Support for DNS (英語情報) の Name Resolution for Single-Label, Unqualified Domain Names のセクションをご覧ください。

何が原因でこの危険が生じますか?
悪意のあるユーザーが組織の境界外にある単一のラベル名を持つコンピューターをホストし、Windows DNS クライアントに DNS デボルブが組織の境界内にあるかのように接続させることができる可能性があるため、この危険が生じます。例えば、エンタープライズの DNS サフィックスが corp.contoso.co.us で、非修飾ホスト名の「Single-Label」を解決しようとする場合、DNS リゾルバーは Single-Label.corp.contoso.co.us を試行します。検出されない場合、DNS デボルブで Single-label.contoso.co.us を解決しようとしますが、それでも検出されない場合、contoso.co.us ドメイン外の Single-label.co.us を試行します。

組織の境界外にいってしまうクエリに対し、どのような影響がありますか?
組織の境界をすり抜けるクエリにより、その影響は異なります。

すべてのクエリが内部の IP アドレスを公開する可能性があります。ネットワーク クライアントは悪意のあるサーバーと資格情報を交換する可能性があります。クエリが WPAD サーバーについてのものである場合、悪意のあるプロキシがクライアント コンピューターに設定されている可能性があります。

この更新プログラムは現在の DNS デボルブの動作を変更しますか?
はい。この更新プログラムは Windows クライアントのドメインがどれであるかをチェックし、DNS クエリをそのドメイン内に制限します。DNS デボルブの動作における変更の詳細情報および例は、サポート技術情報 957579 をご覧ください。

この更新プログラムをインストール後、ユーザー エクスペリエンスに何か変更はありますか?
はい。この更新プログラムのインストール後、DNS リゾルバーは Windows クライアントのドメイン設定に基づくレベルに対してのみデボルブを実行するようになります。これにより、この動作に依存しているアプリケーションまたは構成が破損する可能性があります。DNS デボルブの動作における変更の詳細情報および例は、サポート技術情報 957579 をご覧ください。

これは、セキュリティ以外の更新プログラムに関するセキュリティ アドバイザリです。矛盾がありませんか?
セキュリティ アドバイザリは、セキュリティ情報が必要ないものの、お客様のセキュリティ全体に影響を与える可能性があるセキュリティの変更に対応するものです。セキュリティ アドバイザリは、脆弱性として分類されておらずセキュリティ情報の公開を必要としない問題、またはセキュリティ情報がリリースされていない問題について、マイクロソフトがお客様に提供するセキュリティ関連の情報です。今回の場合、マイクロソフトはセキュリティ更新プログラムを含む今後の更新プログラムの実行に影響する更新プログラムの提供を検討しています。従って、このアドバイザリは特定のセキュリティの脆弱性を解決するというよりはむしろ、お客様のセキュリティ全般に対応するものです。

この更新プログラムはどのように提供されますか?
このセキュリティ更新プログラムはマイクロソフト ダウンロード センターからダウンロードすることができます。「概要」のセクションの「影響を受けるソフトウェア」の表に特定の影響を受けるソフトウェア用の更新プログラムのダウンロード サイトへの直接のリンクを記載しています。この更新プログラムおよび動作への変更に関する詳細情報は、サポート技術情報 957579 をご覧ください。

この更新プログラムは自動更新により提供されますか?
いいえ。これらの更新プログラムは自動更新のメカニズムでは提供されません。このセキュリティ更新プログラムはマイクロソフト ダウンロード センターでのみダウンロードすることができます。「概要」のセクションの「影響を受けるソフトウェア」の表に特定の影響を受けるソフトウェア用の更新プログラムのダウンロード サイトへの直接のリンクを記載しています。

なぜこれはセキュリティ情報で公開されるセキュリティ更新プログラムではないのですか?
これは構成の問題です。DNS デボルブは意図されて動作しており、DNS デボルブに依存して組織の境界外の資産に正当にアクセスし、それらを内部の資産として扱っているお客様もいらっしゃる場合があります。

この更新プログラムはなぜセキュリティ アドバイザリで提供されるのですか?
お客様の環境で Windows クライアントがデボルブを使用していることをご存じでない場合もあります。デボルブにより、クライアントが境界外のコンピューターを内部の資産として扱うことができる可能性があり、このため、資格情報を提供する、またはクライアント自体を情報漏えいの類の脆弱性にさらす可能性があります。

Top of sectionTop of section

推奨するアクション

回避策

マイクロソフトは次の回避策のテストを行いました。これらの回避策は根本的な脆弱性を修正しませんが、既知の攻撃手法を阻止するために役立ちます。回避策により機能性が低下する場合、次のセクションで説明しています。

DNS デボルブを無効にする

自動 DNS のデボルブを無効にするためには、次を .REG の拡張子で保存し、次に regedit.exe /s <ファイル名> を昇格された、または管理者コマンド プロンプトから実行します。

注: UseDomainNameDevolution のレジストリ値に関する詳細情報は、UseDomainNameDevolution (英語情報) をご覧ください。

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient]
"UseDomainNameDevolution"=dword:00000000

変更を有効にするために、DNS クライアント サービスを停止し、再起動してください。これは次のコマンドを使用して昇格した、または管理者のコマンド プロンプトから実行できます。

net stop dnscache & net start dnscache

回避策の影響: DNS リゾルバはデボルブを実行しなくなり、この動作に依存しているアプリケーションまたは構成を破損させる可能性があります。独自の形式のデボルブを実行するアプリケーションはこの設定による影響は受けません。

Top of sectionTop of section
ドメイン サフィックス検索一覧を構成する

ドメイン サフィックス検索一覧を作成するためには、次を .REG の拡張子で保存し、次に regedit.exe /s <ファイル名> を昇格された、または管理者コマンド プロンプトから実行します。

Windows Registry Editor Version 5.00
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
"SearchList"=<domain specific search list>

備考: Windows Server 2003 には、グループ ポリシーを通してドメイン サフィックス検索一覧を配布する機能を含んでいます。詳細については、サポート技術情報 294785 の「DNS サフィックス検索一覧」のセクションをご覧ください。

回避策の影響: クライアント システム上にドメイン サフィックス検索一覧を構成している場合、サフィックス一覧は DNS クエリー内でのみ使用されます。プライマリ DNS サフィックスおよび接続専用の DNS サフィックスは使用されません。DNS リゾルバはデボルブを実行しなくなり、この動作に依存しているアプリケーションまたは構成を破損させる可能性があります。

Top of sectionTop of section
Top of sectionTop of section
Top of sectionTop of section

リソース:

US マイクロソフト セキュリティ アドバイザリ (971888): http://www.microsoft.com/technet/security/advisory/971888.mspx

フィードバックをご提供いただく際は、マイクロソフト サポート オンラインのフォームへ入力をお願いします。

セキュリティ関連、およびセキュリティ更新プログラムに関するご質問や、ご不明な点などありましたら、マイクロソフト セキュリティ情報センターまでご連絡ください。マイクロソフト セキュリティ情報センター利用可能なサポート オプションに関する詳細はマイクロソフト サポート オンラインをご覧ください。

その他、製品に関するご質問は、マイクロソフト プロダクト サポートまでご連絡ください。マイクロソフト プロダクト サポートへの連絡方法はこちらをご覧ください

Microsoft セキュリティ TechCenter では、製品に関するセキュリティ情報を提供しています。

免責:

この文書に含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行いません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。)結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。

更新履歴:

2009/06/10: このアドバイザリを公開しました。


ページのトップへページのトップへ