米マイクロソフトは2008年3月24日、同社が3月22日に公表した「Microsoft Jet Database Engine(Jet)」の脆弱(ぜいじゃく)性を、公式ブログにおいて詳しく解説した。それによると、この脆弱性は、第三者によって2007年11月に公表されていたという。

 Jetとは、データベースにアクセスする機能などを提供するコンポーネント。今回見つかった脆弱性は、Jetのデータ処理に関するもの。特定のデータベースファイルを読み込むと、「バッファーオーバーフロー」と呼ばれる問題が発生し、ファイルに含まれる悪質なプログラムを実行される恐れがある。

 マイクロソフトの情報によると、この脆弱性自体は、2007年11月に第三者によってセキュリティ関連のメーリングリストに投稿されていたという。細工が施されたデータベースファイル(拡張子がmdbのファイル)を開くと、Jetでバッファーオーバーフローが発生し、悪質なプログラムを実行される恐れがあることが報告されていた。

 しかしながら、同社ではmdbファイルを、実行形式ファイル(exeファイル)などと同様に「安全でない種類のファイル」に分類している。exeファイルなどと同様に、悪意を持って作成すれば、パソコンに深刻な影響を与えることが可能になるためだ。

 例えば、同社のメールソフトである「Outlook」やメールサーバーの「Exchange」では、メールにmdbファイルが添付されている場合には、そのファイルを開けないようにブロックしたり、取り除いたりしている。

 2007年11月に報告された時点では、この脆弱性を悪用するには、細工が施されたmdbファイルを実行させる必要があるとされた。「安全ではない種類のファイル」を実行しなければ悪用できない脆弱性については、同社では修正すべき脆弱性と見なしていない。このため同社では、2007年11月時点で、この脆弱性を認識していたものの、セキュリティ情報やセキュリティ更新プログラム(修正パッチ)などは公開しなかった。

 ちなみに、2005年3月にも、Jetに関する同様の脆弱性が第三者から報告されたが、マイクロソフトはそのときも同様に、セキュリティ情報や修正パッチなどを公開していない。

 ところが今回は、「安全ではない種類のファイル」ではないWordの文書ファイル(拡張子がdoc)を使って、脆弱性を悪用できることが明らかとなった。同社の情報によれば、脆弱性を悪用した「標的型攻撃(スピアー攻撃)」が実際に確認されているという。

 具体的には、脆弱性を悪用するWordファイルが、特定の企業/組織を狙ってメールなどで送られた模様。Wordファイルなので、OutlookやExchangeを利用していても、ブロックされることはなかったと考えられる。

 同社の情報によれば、攻撃には2種類のWordファイルが使われたとしている。これらのファイルをパソコン(ハードディスク)に保存した上で、一方のWordファイルを開くと、Word経由でJetの脆弱性が突かれて被害に遭うという。

 現在マイクロソフトでは、この脆弱性を調査中。解決策の一つとして、「Wordファイルからデータベースファイル(MDBファイル)を警告なしで呼び出せないようにする」パッチをリリースすること検討しているという。

 また、既知の脆弱性を修正したJet(msjet40.dll)は、Windows Server 2003 SP2/Windows Vista/Windows XP SP3ベータ版には同こん済み。このため、これらのOSは、今回の脆弱性の影響を受けない。

 同社では、今回の脆弱性を修正するパッチが提供されるまでは、管理者に対しては「Jetのデータベースファイルをゲートウエイでブロックすること」などを推奨。一般ユーザーに対しては、「覚えのない(添付)ファイルは開かない」よう注意を呼びかけている。