SMTP サービスの認証エラーがメールの中継を可能にする

文書番号: 302755 - 対象製品
この記事は、以前は次の ID で公開されていました: JP302755
すべて展開する | すべて折りたたむ

現象

Windows 2000 の SMTP サービスには脆弱性の問題が存在するため、権限のないユーザーが、Windows 2000 Server を使ってメールの中継を実行することが可能になってしまいます。この結果、悪意のあるユーザが、電子メール メッセージの最初の中継ポイントを偽装したり、大量のメール送信にサーバーのリソースを勝手に使用したりすることが可能になります。この脆弱性は、次の条件によって制約を受けます。
  • Windows 2000 標準のメール サービスを実行しているサーバーにのみ影響が及びます。Microsoft Exchange を実行しているメール サーバーは、Windows 2000 を使用していても影響を受けません。
  • スタンドアロン コンピュータとして構成されたサーバー上に Windows 2000 標準のメール サービスをインストールした場合に限り影響が出ます。ドメインコントローラー や メンバ サーバー として構成されている場合には、影響がありません。
  • ファイアウォールの適切な使用により、インターネット ユーザーが、この脆弱性を利用するのを防ぐことができます。
先頭へ戻る | フィードバック

原因

この脆弱性は、Microsoft Internet Information Service (IIS) の一部としてインストールされる SMTP サービスの認証エラーにより発生します。サーバーがドメインのメンバではなく、スタンドアロン コンピュータの場合、権限のないユーザーが、このコンピュータに認証し、メールの中継を実行することが可能になります。
先頭へ戻る | フィードバック

解決方法

マイクロソフトでは、現在この問題を修正する修正プログラムを提供中ですが、この修正プログラムはこの資料に記載されている問題の修正のみを目的としているため、攻撃されるおそれがあると判断したシステムにのみ適用してください。コンピュータの物理的なアクセス可能性、ネットワークやインターネットの接続性などの要因を評価してコンピュータの危険度を判断してください。この判断には、 マイクロソフト セキュリティ情報
(http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS01-037)
が役立ちます。この修正プログラムは、製品の品質保証のために今後さらにテストを受ける場合があります。システムの危険性が高い場合は、この修正プログラムを適用することを推奨します。システムへの危険性が高くない場合、この修正プログラムが含まれる次の Windows 2000 Service Pack がリリースされるまで待つことを推奨します。

この問題を解決するには、次の手順に従って修正プログラムをダウンロードするか、Microsoft Product Support Services にお問い合わせの上、修正プログラムを入手してください。Microsoft Product Support Services の電話番号一覧およびサポート料金については、次の Web ページを参照してください。

http://www.microsoft.com/japan/support/supportnet/default.asp
(http://www.microsoft.com/japan/support/supportnet/default.asp)

:Microsoft Support Professional が、特定のアップデートを適用することにより問題が解決されると判断した場合、まれに、通常サポート依頼にかかる料金が免除されることがあります。ただし、特定のアップデートの対象とならない追加の質問および問題については、通常のサポート料金が適用されます。

下記のファイルは、「Microsoft ダウンロードセンター」からダウンロードできます。
日本語
Q302755_w2k_sp3_x86_ja.exe
(http://www.microsoft.com/Downloads/Release.asp?ReleaseID=31188)


日本語 (NEC)
Q302755_w2k_sp3_nec98_ja.exe
(http://www.microsoft.com/Downloads/Release.asp?ReleaseID=31189)
リリース日 : 2001 年 7 月 5 日

マイクロソフトのサポート ファイルのダウンロード方法を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
119591
(http://support.microsoft.com/kb/119591/EN-US/ )
How to Obtain Microsoft Support Files from Online Services
マイクロソフトでは、アップロード時点の最新のウイルス検査プログラムを使用して、配布ファイルのウイルス チェックを行っています。配布ファイルはセキュリティで保護されたサーバー上に置かれており、権限のない第三者が無断でファイルを変更できないようになっています。

修正プログラム (英語版) の属性は次のとおりです。ただし、これより新しい修正プログラムがリリースされている可能性もあります。 
   日付      時刻    バージョン    サイズ    ファイル名
   --------------------------------------------------------
   25-June-2001  23:13  5.0.2195.3712  320,784  Aqueue.dll
   25-June-2001  23:13  5.0.2195.3712   66,832  Mailmsg.dll
   25-June-2001  23:13  5.0.2195.3649   38,160  Ntfsdrv.dll
   25-June-2001  23:13  5.0.2195.3779  434,448  Smtpsvc.dll

先頭へ戻る | フィードバック

状況

マイクロソフトでは、この問題により Microsoft Windows 2000 においてある程度のセキュリティ問題が生じる可能性があることを確認しています。

この問題を解決するためのモジュールは、Windows 2000 日本語版サービスパック 3 以降に含まれております。
関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
260910
(http://support.microsoft.com/kb/260910/JA/ )
最新の Windows 2000 Service Pack の入手方法
先頭へ戻る | フィードバック

詳細

この問題に関する関連情報については、次のマイクロソフト Web サイトを参照してください。
http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS01-037
(http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS01-037)
Windows 2000 Datacenter Server 用修正プログラムの入手方法を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
265173
(http://support.microsoft.com/kb/265173/JA/ )
Datacenter Program と Windows 2000 Datacenter Server
一度の再起動で複数の修正プログラムをインストールする方法についての追加情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
296861
(http://support.microsoft.com/kb/296861/EN-US/ )
Use QChain.exe to Install Multiple Hotfixes with One Reboot
Windows 2000 と Windows 2000 の修正プログラムを同時にインストールする方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
249149
(http://support.microsoft.com/kb/249149/JA/ )
Microsoft Windows 2000 および Windows 2000ホットフィックスのインストール
先頭へ戻る | フィードバック

関連情報

この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 302755
(http://support.microsoft.com/kb/302755/EN-US/ )
(最終更新日 2001-07-06) を基に作成したものです。

先頭へ戻る | フィードバック

プロパティ

文書番号: 302755 - 最終更新日: 2006年3月24日 - リビジョン: 2.3
この資料は以下の製品について記述したものです。
  • Microsoft Windows 2000 Professional
  • Microsoft Windows 2000 Service Pack 1
  • Microsoft Windows 2000 Service Pack 2
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Service Pack 1
  • Microsoft Windows 2000 Service Pack 2
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Advanced Server
キーワード:?
kbbug kbfix kbwin2000presp3fix kbtool kbwin2000sp3fix kbenv kbmgmtadmin kbhotfixserver KB302755
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"
先頭へ戻る | フィードバック

フィードバック

 
先頭へ戻る先頭へ戻る