米国時間10月10日,米Microsoftは,Windows 95/98/Meのファイル/プリンタ共有機能にセキュリティ・ホールがあることを明らかにした。パスワードを設定した共有ファイルやプリンタに,パスワードを知らないユーザーからアクセスされる可能性がある。英語版の修正プログラム(パッチ)は,同社サイトで公開されている(ただしWindows 95用は準備中)。日本語版については現在準備中であるという。

 原因は,Windows 95/98/Meが備える「共有レベル(share level)」アクセスのパスワード・チェックが不十分であること。共有レベルのアクセスには,ユーザー・アカウントの概念がなく,パスワードだけでアクセス制御する。そのパスワードのチェックにぜい弱性が見つかった。共有レベル・アクセスでは,パスワード全体ではなく,ある特定の部分だけで,入力されたパスワードの正当性をチェックしている。そのため,可能性のあるパスワードをすべて試すよりも,ずっと少ない試行回数で,パスワードを破られる可能性がある。また,このセキュリティ・ホールを突いてパスワードを破るツールが出回っているという。

 Windows NT/2000が備える,アクセスするユーザーのアカウントを登録する「ユーザー・レベル(user-level)」のアクセスには,このセキュリティ・ホールは存在しない。Windows 95/98/Meでも,Windows NTドメインの一部となっていれば,ユーザー・レベルでのアクセス制御が可能なので,Microsoftではその利用を勧めている。

(勝村 幸博=IT Pro編集)

[米Microsoftが公開しているセキュリティ・ホール情報]

[セキュリティ・ホールの詳細情報(FAQ)]

[Windows 98および98 Second Edition(英語版)用の修正プログラム]

[Windows Me(英語版)用の修正プログラム]