2005年暮れ,Windowsのセキュリティ・ホールがインターネットを騒がせた。セキュリティ・ホールを悪用する画像ファイルが広く出回り,その画像が張られたWebページへアクセスするだけでウイルスなどに感染する恐れがあった。しかも,マイクロソフトからはセキュリティ・ホールを修正するパッチ(更新プログラム)が公開されていなかった。いわゆる“0-day(ゼロ・デイ)”だ。このため,被害が深刻かつ広範囲になることが心配された。
実際,米国では被害が確認されていた。悪質な画像ファイルへリンクを張ったWebサイトが次から次へと出現。セキュリティ・ベンダーや組織は相次いで注意を呼びかけた。しかし幸いなことに,国内では被害はほとんど確認されなかった。「米国とは異なり,国内では大きな問題にはならなかったという印象だ」(ラック SNS事業本部 セキュリティプランニングサービス部 担当部長の新井 悠氏)。「企業および個人ユーザーのいずれからも,問い合わせはほとんどなかった」(マイクロソフト セキュリティレスポンスチームの小野寺 匠氏)
だが,今後同じような事態が起きた場合に被害が小さいとは限らない。パッチ未公開のセキュリティ・ホールが第三者によって公開されることは,現在ではめずらしいことではなくなっている。今回のセキュリティ・ホール“騒動”を参考にして今後に備えたい。今回の件で改めて浮き彫りになったのは,「クライアントが影響を受けるセキュリティ・ホールが見つかると,攻撃の踏み台とするためにWebサーバーも狙われる」「ゼロ・デイ対策には,ウイルス対策ソフトが効果的」---といったことだった。
Webページにアクセスするだけで被害に
まずは,本稿で取り上げているセキュリティ・ホールについて簡単に振り返ろう(関連記事)。
このセキュリティ・ホールは,Windowsメタファイル(WMF)の処理に関するもの。細工が施されたWMF画像ファイルを読み込むと,同ファイルを処理するコンポーネント「GRE(Graphics Rendering Engine)」でバッファ・オーバーフローが発生する。その結果,ファイルに仕込まれた任意のプログラムを実行される恐れがある。
細工が施されたWMF画像を直接開いた場合はもちろんのこと,そういった画像(あるいは画像のURL)が張られたWebページにアクセスするだけで被害に遭う可能性があるので,とても危険なセキュリティ・ホールだ。しかも,マイクロソフトから情報やパッチが公開される前に,セキュリティ・ホールを突く画像ファイル(正確には,画像ファイルを生成するプログラム)がネット上で公開された。最初に公開された日時は定かではないが,米国時間12月28日には広く知れわたっていた。
同日,米Microsoftは「Security Advisory(セキュリティ アドバイザリ)」を公開(関連記事)。セキュリティ アドバイザリとは,修正パッチが作成されていない状況,あるいは修正パッチを必要としない状況での,セキュリティ問題に関する情報とその回避策などを提供するもの。
回避策が公開されたものの,修正パッチは未公開。攻撃者たちは,ここぞとばかりに,悪質な画像ファイルをダウンロードさせるWebサイトを次々と立ち上げた。回避策を施していない環境でそのようなサイトへアクセスすると,ウイルスやスパイウエア,ボットといったマルウエア(悪質なプログラム)を勝手にインストールされてしまう。悪質な画像を添付したメールも出回った。
攻撃者たちの“格好”の標的になった今回のセキュリティ・ホール。事態を重く見たマイクロソフトでは当初の予定を早め,1月6日に修正パッチをリリースした(関連記事)。このパッチさえ適用すれば,悪質画像を開いても問題は発生しない。
サーバー・マシンも狙われる
さて,今回のセキュリティ・ホールに関する一連の出来事を振り返って,何が教訓になるだろうか。今回のセキュリティ・ホールの影響を主に受けたのは,Webページを閲覧したり,HTMLメールを読んだりするクライアント・マシンだった。このため,ユーザーの心がけが最も効果的な対策だった。具体的には,「信頼できないファイルやWebページにアクセスしない」ことが重要だった。
ただし,このことはセキュリティのセオリーであり,今回のセキュリティ・ホール対策に限った話ではない。
今回の一連の出来事について,ラックの新井氏は別の点に注目する。公開サーバーのセキュリティである。悪質な画像ファイルによって直接被害を受けるのはクライアント・マシンだったが,今回のケースではサーバーも狙われた。「悪質画像の“配布元”として,多数のドメインのサイトが確認された」(新井氏)。セキュリティの甘いWebサーバーが不正侵入を受けて,悪質画像へのリンク(タグ)がWebページに書き込まれたり,悪質画像の置き場所にされたりしたのだ。
つまり,セキュリティ・ホール自体はクライアント・マシンだけが影響を受けるものであっても,そのホールを突くための踏み台を作るために,サーバー・マシンへの不正侵入が“活発”になるのである。このためサーバー管理者は,パッチが未公開で,かつ悪用が容易なセキュリティ・ホールが公表された場合には,その攻撃対象がクライアントだけであっても,いつも以上にセキュリティに気を使う必要がある。
「今回のように,他人のサイトを悪用するケースは増加傾向にある。自分のサイトが犯罪に悪用されるとなると,社会的にも大きな問題になる。『ユーザーがパッチを適用したから一件落着』とは考えずに,今回を機に,サーバーのセキュリティ対策を改めて見直すことをお勧めする」(ラックの新井氏)。
ウイルス対策ソフトはウイルス以外にも有効
加えて今回のケースでは,パッチ未公開のセキュリティ・ホールを突く攻撃には,ウイルス対策ソフトが有効な場合があることが示された。
前述のように,パッチの公開以前に,悪質な画像やプログラムが多数出回ったものの,被害は小さかった。この理由の一つとしてマイクロソフトの小野寺氏は「(セキュリティ・ホールを突く悪質な画像に)ウイルス対策ソフトがいち早く対応したため」とする。「ホームユーザーのほとんどは,(12月28日に公開した)回避策を実施していなかっただろう。しかしながら,対策ソフトが対応していたために,被害を免れたケースは少なくないと思う」(同氏)。
ウイルス対策ソフトは元来,別のファイルやパソコンに感染を広げるウイルス(ワーム)を検出・駆除するためのプログラムである。しかし近年では,悪質なプログラム(マルウエア)全般を検出・駆除の対象としている。もちろん,検出・駆除するためには,ウイルス対策ソフト・ベンダーがそのプログラムに対応したウイルス定義ファイル(パターンファイル)を提供する必要がある。
だが,修正パッチを作成するよりは,定義ファイルのほうが圧倒的に早く作れるのが現状のようだ。「セキュリティ・ホールをふさぐだけのパッチは比較的すぐに作成できる。時間がかかるのは検証作業だ。パッチを適用しても,パソコンの動作や他のアプリケーションに影響を与えないことを確認することに,多くの時間を費やしている」(小野寺氏)。
定義ファイルについては互換性の検証作業はほとんど必要ない。対策ソフト・ベンダーが“検体”を入手して解析さえできれば作成できる。このため,パッチ未公開のセキュリティ・ホールを突くプログラムについては,パッチよりも定義ファイルのほうが,早くリリースされることが期待できる。今回は,まさにそのケースだった。
もちろん過信は禁物。必ず守ってくれるとは限らない。対応する定義ファイルをベンダーが作成していなければ検出・駆除できない。新たな攻撃プログラム(ファイル)が次々と出現した場合には,対応が遅れる可能性は十分にある。ただし今回のケースでは,「さまざまな攻撃ファイルが出回ったが,当初公開されたファイルをベースにしているものが多かった」(小野寺氏)ため,ほとんどのケースで検出・駆除できたようだ。
