セキュリティは扱いにくい問題である。システム管理者は,セキュリティの向上とユーザーの利便性のバランスを取らなければならない。最近,米MicrosoftがExchange Server 2003/2000 Serverに対して行ったメールボックスへのアクセス権の仕様変更は,このトレード・オフの問題をクローズ・アップさせた。アクセス権の変更によって,携帯端末「BlackBerry」を使ったExchange Serverへのアクセスに障害が発生したからだ。

 Exchange Server 2003/2000 Serverにおける仕様変更が「BlackBerry Enterprise Server (BES) for Exchange」にどのような影響を与えたのか,詳しく説明しよう(訳注:BlackBerryはカナダResearch In Motionが販売する携帯端末であり,日本では販売されていない。よって本記事で取り上げるBlackBerry関連のトラブルは,日本では起こらない事例である。なお日本でも「Outlook Mobile Access」を使えば,NTTドコモやKDDI,ボーダフォンの携帯電話機でExchangeを利用できる)。

「なりすまし」に弱かったこれまでのExchange Server

 まず,Exchange 2000以降では,あるユーザーに別のユーザーのメールボックスに対する「フル・メールボックス・アクセス」の権限を与えた場合,そのユーザーには同時に,別のユーザーとしてメールを送信する「送信者」の権限と,別のユーザーとしてメールを受信する「受信者」の権限も与えられていた,ということを理解して頂きたい。つまり,AliceがBobのメールボックスに対する「フル・メールボックス・アクセス」の権限を持っているのなら,AliceはBobのメールを読めるだけでなく,Bobになりすましてメールを送信する(そしてAliceが送信したメールがBobの「送信済みメール」フォルダに入る)ことになるのだ。

 このようなアクセス許可の仕組みになっていたのは,Exchange Serverに関するアクセス許可が,Exchangeデータベースのアクセス許可と,Active Directory(AD)のアクセス許可に分割されていたためだ。つまり,「フル・メールボックス・アクセス」はExchangeデータベースのアクセス許可であり,「送信者」という権限はActive Directoryのアクセス許可であった。そして,Exchange Server 2003/2000 Serverの初期設定では,ユーザーが「フル・メールボックス・アクセス」の権限を持っている場合,「送信者」に関するアクセス権をチェックしないことになっていた。これは,両方のアクセス権をユーザーに与えようと思っている管理者にとっては合理的かもしれないが,Exchangeのアクセス許可とActive Directoryの管理を別々に行っている組織では,管理を非常に難しくする。

 このように2つのアクセス許可を混ぜてしまうことで,2つの望ましくない副作用が発生する。最も分かりやすい問題は,なりすまし(スプーフィング)を許してしまうことである。侵入者はサービス・アカウントを使用して,「フル・メールボックス・アクセス」の権限を持っているメールボックスからメールを送信できる。また,受信者側は,メールボックスの本来の所有者から届いたメッセージと,「フル・メールボックス・アクセス」の権限だけを持つ別のユーザーから届いたメッセージを区別できない。

修正プログラムがサード・パーティ製プログラムに悪影響

 Microsoftはこの問題を解決するために,「store.exe」(Exchange Serverの中核プログラム)の修正プログラムをリリースした。これはExchange 2003 Service Pack 2(SP2)のstore.exe(バージョン7650.23)と,Exchange 2003 SP1やExchange 2000 SP3に含まれるそれ以前のバージョンのstore.exeに適用される。この修正プログラムによって,「送信者」の権限を明示的にチェックするよう,Exchangeの動作が変更された。これは単純かつ十分な変更であり,Exchangeを使用している多くのサイトで実際有効であった。

 ただし,BESや米Good Technologyの「GoodLink」といったソフトウエアを使っている企業や団体では,この修正による影響が発生した。BESやGoodLinkなどのサード・パーティ製アプリケーションは,両方のアクセス許可が同時に与えられていることを前提にしていたのである。BESやGoodLinkのサービス・アカウントに「フル・メールボックス・アクセス」の権限を与えていても,「送信者」の権限を与えていなかったユーザーは,BlackBerryでメールを送信できなくなった。

設定の変更が必要となるアカウントを見つけるスクリプトが公開

 Microsoftはこれに関して,「Exchange 2000 ServerおよびExchange Server 2003で,ユーザーがモバイル・デバイスまたは共有メールボックスから電子メール・メッセージを送信できない」というサポート技術情報を公開している。このサポート技術情報では,問題の原因と対策を詳しく説明しているが,すべてのユーザーが理解できるようには思えない。筆者は先週,Exchangeチームのブログに,この修正プログラムをより詳細に説明した記事が投稿されたのを見て驚いた。その後,サポート技術情報も更新され,「フル・メールボックス・アクセス」の権限は持っているが,「送信者」の権限は持っていないというアカウントを特定するスクリプトなどが紹介された。このスクリプトは,アカウントのリストをタブ区切りテキスト・ファイルとして出力してくれる。これを編集して別のスクリプトに読み込ませると,必要なアカウントに対して「送信者」の権限を付与できる。

 ほかに必要な作業はあるかどうかは,状況によって異なる。BESやGoodLinkを使用しているユーザーは,アクセス許可の設定変更を施す必要がある。サービスの中断を避けるために,作業は修正プログラムの適用前に実行すべきだろう。BESやGoodLinkを使っていない場合でも,スクリプトを実行すると良いだろう。なぜなら,不用意なアクセス許可が施されていないかチェックできるからだ。Exchange Serverの管理を引き継いだ管理者が,前任者によって付与されたアクセス許可に驚き,不愉快な思いをするケースは,決して珍しくないからだ。