マイクロソフトは10月14日,「10月度月例セキュリティ更新プログラム」のプレス説明会を開いた。2009年10月のセキュリティ情報は合計13件。深刻度別では,「緊急」が8件,「重要」が5件であった。13件という件数は過去最大級。いずれもMicrosoft Updateで対処が可能。早期の適用を推奨している。
セキュリティ情報のうち,緊急「MS09-062」は今後の展開に注意が必要としている。ぜい弱性の影響を受けるソフトウエアが,Windows XP/VistaなどのOS,Internet Explorer 6,Office XP SP3/2003 SP3/2007 SP1やSP2など多数あるためだ。このセキュリティ情報は,GDI+のぜい弱性によってリモートでコードが実行されるというもの。GDI+とは,画像処理用の共有コンポーネントである。
このほか,Microsoft TechNetで企業のIT管理者向け新サービスを10月から始めると発表した(技術情報はこちら)。企業内でIT機器のセキュリティ更新を扱う管理者を対象としたサービスで,具体的にはセキュリティ更新の適用優先順位情報を提供するものだ(写真1)。
「本来はITシステムごとに対処の仕方は異なるのだが,企業のセキュリティ管理者からの『どれが一番危ないのか?』,『どれについて急いで対処しなくてはならないのか?』という声に応えた」(マイクロソフト カスタマーサービス アンド サポート セキュリティレスポンスチーム セキュリティ レスポンス マネージャの小野寺 匠氏)という(写真2)。
「深刻度」やぜい弱性の「悪用可能性指標」などを表示したうえで,「適用の優先度」を表記。3段階で表記され,「1」が一番優先度が高いこと示す。適用の優先度は,ぜい弱性が実際に悪用された例があるかどうかなどを加味して付けられる。
無料セキュリティ・ソフトのターゲット
正規のWindowsをライセンスされたパソコンに向けて9月30日から無料で提供されているウイルス対策ソフト「Microsoft Security Essentials」(以下,Essentials)についても説明があった(ダウンロード・サイトはこちら)。
マイクロソフトでは法人向けのウイルス対策ソフトとして,Microsoft Forefront Client Security(以下,Forefront)を販売している。ForefrontとEssentialsの機能上の大きな違いは,「ITインフラへの統合とカスタマイズ」機能と,「中央管理システムとレポート配信」機能の有無。このうち,ITインフラへの統合とカスタマイズ機能とはActive Directoryが利用できるかどうかを示すものだ(写真3)。
Essentialsが利用するウイルス定義ファイルはこのForefrontとほぼ同一のものを利用する。ウイルス定義ファイルの配布サイクルは,EssentialsもForefrontも非公開である。
TCP/IPのぜい弱性はその後どうなっているのか?
説明会後,マイクロソフトの小野寺氏に,先月の月例プレス説明会で発表した緊急のセキュリティ情報「MS09-048」について聞いた。これは,「Windows TCP/IPのぜい弱性により,リモートでコードが実行される」というもので,セキュリティやネットワークの研究者の間では1年ほど前から話題になっていたぜい弱性に関する情報だ。
Q:このぜい弱性はどういったものか?
A:TCPを使った通信ではTCPコネクションが成立する前,通信元から通信相手に向けて接続リクエストを送る。このときに,通信相手にだけ負荷をかける状態を作り出す攻撃ができるぜい弱性だ。単純なDoS攻撃では,通信相手に負荷をかけると自分も高負荷な状態になってしまうが,高負荷状態を相手にだけ起こすことができる。
Q:SYN FLOOD攻撃でも,通信元がIPアドレスを偽装することで通信相手にだけ負荷をかけたりする。SYN FLOOD攻撃と同じようなものか?
A:SYN FLOODとは別方式だ。プロトコル・スタックの実装方法やTCP/IPの性質を使って効率よく高負荷の攻撃がしかけられる。悪用されてしまうので詳しくは話せないが。
Q:TCPが持つぜい弱性だが,OSで対処できるのか?
A:OSのプロトコル・スタックを改善するセキュリティ・パッチ・ファイルを使えば,TCPのしくみを変えなくてもソフトウエア的に対処できる。Windows 7は考慮済みなので,このぜい弱性の影響を受けない。
Q:Windows XP用のセキュリティ・パッチ・ファイルを提供していないがその理由は?
A:XPは影響を受けないためパッチ・ファイルを出していない。通常使用の範囲では,XPはぜい弱性がない。そもそも,XPはこのぜい弱性を利用した攻撃で狙われる対象ではない。このぜい弱性で狙われるのはサーバーだ。クライアント・パソコンで使われるXPは,接続ごとにIPアドレスが変わるのが基本だ。IPアドレスを総ナメにするような攻撃ならば別だが。それに,XPにドメイン名を振っている人はいない。このような状態を意図的に作らない限りはパッチが必要ない。
Q:XPの後継であるWindows Vistaにはセキュリティ・パッチ・ファイルを用意しているが?
A:Vistaはプロトコル・スタックの作りがXPとは違う。プロトコル・スタックは,OSのメジャー・バージョンアップで変えている。ぜい弱性はプロトコル・スタックの作り以外にも,さまざまな組み合わせで現れたりする。XPはたまたま大丈夫だったともいえる。
Q:1年ほど前からこのぜい弱性について関心を持っている研究者は多かったようだ。セキュリティ情報公開から1カ月たったがその後被害はあったのか?
A:今のところ大きな被害はなく,すごい騒ぎになっているとは聞いていない。サーバーよりも,エッジ・ルーターのメーカーなどが心配しているかもしれない。狙われればネットワーク全部が落ちるからだ。そういう意味で1年前から関心が高い話ではあったと思う。実際に攻撃があったかなかったかではなく,ルーターなどネットワーク周りで話題になり,対処はそちらが先に進んだように思う。例えばプロバイダの機器などへの対処だ。ネットワークへの影響のほうが,サーバーよりも大きい。通信インフラだから,全速力で対処されたのだと思う。
