マイクロソフトは7月14日,Microsoft Outlook98/2000/2001のセキュリティ・ホールを公開した。WebページやHTMLメールを閲覧すると,ユーザーのコンピュータ上で任意のコードを実行される恐れがある。原因は「Outlook ビュー コントロール」という ActiveXコントロールに問題があるため。対策は,Internet Explorer(IE)のセキュリティ・レベルの設定の中の「インターネットゾーン」で,ActiveXコントールを無効にすることと,以前にリリースされた「電子メール セキュリティ アップデート」を適用すること。パッチ(修正プログラム)は現在準備中。
「Outlook ビュー コントロール」とは,OutlookによりインストールされるActiveXコントロールで,メール・フォルダやカレンダなどのOutlookの情報を,Webブラウザから閲覧できるようにするもの。このActiveXコントロールが,単なる情報表示以上の機能を提供してしまうのである。これが,今回のセキュリティ・ホールである。このコントロールを悪用すれば,攻撃者が意図するコードをユーザー・マシン上で実行できてしまう。
具体的には,Webページにこのコントロールを操作するスクリプトを仕込むことで実現する。ユーザーがそのWebページを開くと,被害を受けることになる。また,そのページへリンクを張ったHTMLメールを送られて,誘導される恐れもある。
パッチが公開されていない現時点での対策は,ActiveXコントロールを実行しないようにIEやOutlookを設定すること。IEについては,「インターネットオプション」の「セキュリティ」タブを選択して,「インターネットゾーン」で「カスタム」設定にする。そして「セキュリティ設定」の「ActiveXコントロールとプラグインの実行」を無効にする。
Outlook98および2000は,HTMLメールを「インターネットゾーン」で開くので,上記設定でメールを使った攻撃を回避できる(Outlook2002は「制限付きサイトゾーン」でメールを開くので,デフォルトで回避できるとしている)。ただし,Outlookについては,単に設定を変更するだけではなく,「セキュリティ アップデート」を適用するよう勧めている。「セキュリティ アップデート」を適用すれば,AciveXコントロールを実行しないだけではなく,メールで感染を広げるウイルス対策にも効果がある。
また,米MicrosoftのFAQでは,LAN内のコンピュータすべてに対して同時にActiveXを無効にする方法を公開している。システム管理者は参考にしてほしい。
なお,Outlook98以前のバージョンについてはサポート対象外として影響を受けるかどうかは不明としている。
◎参考資料
■(MS01-038)Outlook ビュー コントロールにより、安全でない機能が利用できる
■Microsoft Security Bulletin MS01-038 Outlook View Control Exposes Unsafe Functionality
■Outlook 2000 SR-1 アップデート: 電子メール セキュリティ
■Outlook 98 電子メール セキュリティ アップデート
