マイクロソフトは2008年1月9日、Windowsに関するセキュリティ情報を2件公開した。そのうち1件は、最大深刻度(危険度)が最悪の「緊急」。細工が施されたデータを送信されるだけで、悪質なプログラム(ウイルスなど)を実行される危険性がある。対策は、同日公開された修正パッチ(セキュリティ更新プログラム)を適用すること。

 今回公開されたセキュリティ情報は以下の2件。
(1)[MS08-001]Windows TCP/IPの脆弱性により、リモートでコードが実行される (941644)
(2)[MS08-002]LSASSの脆弱性により、ローカルで特権が昇格される (943485)

 (1)は、WindowsのTCP/IPの処理に関するセキュリティ情報。影響を受けるのは、Windows 2000/XP/Server 2003/Vista。最大深刻度は、Windows XP/Vistaが「緊急」、Windows Server 2003が上から2番目の「重要」、Windows 2000は上から3番目(下から2番目)の「警告」。

 (1)のセキュリティ情報には、2種類の脆弱性が含まれる。一つは、TCP/IPのIGMPおよびMLDの処理に関する脆弱性。これらは、マルチキャストの通信を管理するためのプロトコル。これらの処理に脆弱性が存在するため、細工が施されたIGMP/MLDのデータを送信されるだけで、データに含まれる悪質なプログラムを勝手に実行される恐れがある。

 この脆弱性については、Windows 2000は影響を受けない。また、Windows Server 2003は標準設定ではマルチキャストをサポートしないので、マルチキャストを使用するアプリケーションをインストールした場合のみ影響を受ける。

 「データを送信されるだけで悪質なプログラムを実行される恐れがある」ために、この脆弱性を悪用してネットワーク経由で感染を広げるウイルス(ワーム)の出現が心配されるが、同社のセキュリティレスポンス マネージャである小野寺匠氏によると、その危険性は低いだろうという。「Windowsファイアウォール」のようなファイアウオールソフトやブロードバンドルーターなどを使っていれば、細工が施されたデータの受信を防げるためだ。

 ただし、「ビデオ会議システムやオンラインラーニングなどを利用している企業ネットワークでは要注意」(小野寺氏)。これらのシステムでは、マルチキャスト(IGMP/MLD)を使用している可能性がある。その場合には、WindowsファイアウォールなどではIGMP/MLDを通過させる設定になっているので、細工が施されたデータも受け入れてしまう。

 (1)に含まれるもう一つの脆弱性は、TCP/IPのICMP(Internet Control Message Protocol)の処理に関するもの。ICMPとは、TCP/IP通信を行う機器(パソコン)間で、互いの状態などを連絡し合うために利用されるプロトコル。この処理に問題があるため、細工が施されたデータ(ICMPパケット)を送信されると、パソコンの応答が停止し、勝手に再起動する恐れがある。

 影響を受けるのは、ICMPに含まれるプロトコルの一つである「RDP(Router Discovery Protocol)」を有効にしているWindows 2000/XP/Server 2003。RDPは標準設定では無効なので、いずれのWindowsについても標準の状態では影響を受けない。Windows Vistaについては、RDPの有効/無効にかかわらず影響を受けない。

 (2)は、Windowsの認証に関する機能「LSASS(Microsoft Windows Local Security Authority Subsystem Service)」のセキュリティ情報。LSASSには「特権の昇格」の脆弱性が見つかった。この脆弱性を悪用すれば、本来は許されていない権限(管理者権限)を一般ユーザーが奪えてしまう。

 影響を受けるのは、Windows 2000/XP/Server 2003。Windows Vistaは影響を受けない。

 ただし、この脆弱性を悪用するには、攻撃対象のパソコンにローカルでログオンする必要がある。ログオンした上で、脆弱性を突くプログラムなどを実行することで、管理者権限を奪う。匿名ユーザーやネットワーク経由では、この脆弱性を悪用できない。

 いずれの脆弱性についても、同日公開された修正パッチを適用することが対策となる。「Windows Update」や「Microsoft Update」から適用できる。また、自動更新機能を有効にしていれば自動的に適用される。加えて、それぞれのセキュリティ情報のページ(ダウンロードセンター)からも修正パッチをダウンロードできる。