Internet Information Services

読み：インターネット・インフォメーション・サービス
外語：IIS: Internet Information Services

品詞：商品名

Microsoftが提供する、インターネットにおける諸機能を提供するサーバーソフトウェア。

製品情報

現時点での最新版は以下の通りである。

製品名 ‐ Internet Information Services
使用途 ‐ Webサーバー
初出年 ‐ ?
設計者 ‐ ?
開発者 ‐ Microsoft
最新版 ‐ IIS 7.0
影響関係
- 被影響 ‐ Apache HTTP Server
- 加影響 ‐ 不明
動作環境 ‐ Microsoft Windows (Win32、Win64)
ライセンス ‐ プロプライエタリー・ソフトウェア

概要

元々は、Windows NT Server用に提供された製品で「Internet Information Server」という名前であった。

Windows 2000以降は、Serverエディションにおける標準機能となり、名を「Internet Information Services」に改めて標準搭載されるようになった。

特徴

提供される機能

バージョン

IISはWindows NT以降に同梱されているため、Windows NTのバージョンも併記する。

バージョン4.0まではInternet Information Serverが正式名称であった。

IIS 1.0 ‐ Windows NT 3.51のアドイン
IIS 2.0 ‐ Windows NT 4.0
IIS 3.0 ‐ Windows NT 4.0 SP3
IIS 4.0 ‐ Windows NT 4.0 Option Pack

バージョン5.0以降はInternet Information Servicesと名称が改められた。

IIS 5.0 ‐ Windows 2000
IIS 5.1 ‐ Windows XP Professional
IIS 6.0 ‐ Windows Server 2003、Windows XP Professional x64 Edition
IIS 7.0 ‐ Windows Vista、Windows Server 2008
IIS 7.5 ‐ Windows 7(予定)、Windows Server 2008 R2(予定)

セキュリティホール

問題

バージョン5.1までのIISは、そのセキュリティホールがインターネットに対して多大な被害を与えたことで悪名高い。そのため、スキルの低いユーザー以外にはあまり好まれていなかった。

その一方、朝鮮人や支那人のクラッカーに人気が高かった(ただし、自分で使うのではなく攻撃や中継の対象として!)。

実際に、Code Redに汚染されたサーバーは支那、南鮮に異常なほど大量に存在していた。

攻撃の実例

バックドア

IIS自体がバックドアとなるセキュリティホール。

"http://ドメイン名/scripts/iisadmin/ism.dll?http/dir" のうちのドメイン名の部分にIISを採用したWebサーバーのドメイン名を入れてアクセスすると、インターネットサービスマネージャーがインストールされていれば認証画面が表示される。

この画面から適当にあたりをつけてアクセスに成功すれば、あとは好きなだけサーバーのデータなどを破壊したり改竄することができた。

バッファーオーバーフロー(MS01-033)

IISのバッファーオーバーフローが原因となったセキュリティホール。

Code Red、Code Red Ⅱがその感染活動のために利用した。

Webサーバーフォルダーへの侵入(MS00-078)

Unicode Directory Traversalへの対処が行なわれていなかったというセキュリティホール。

Nimdaがその感染活動のために利用した。

アーキテクチャーの見直し

あまりの実用性の無さをMicrosoftも痛感したらしい。

バージョン6.0からはソースコードの殆どが書き換えられたと言われるほど、徹底的にセキュリティ対策が行なわれた。

その結果、近年はIIS 6.0(以降)のシェアを伸ばしつつあり、遂にミッションクリティカルの分野まで進出することができた。

リンク

用語の所属

Webサーバー

通信	電算
科学	国土
鉄道	軍事
文化	萌色
短縮

通信	電算
科学	国土
鉄道	軍事
文化	萌色