マイクロソフトは3月5日,Internet Explorer(IE)やWindows OSなどに含まれるJava仮想マシン「Microsoft VM(Microsoft virtual machine)」にセキュリティ・ホールがあることを公表した。プロキシ・サーバーを使用している場合,IEとWebサーバー間の通信を第三者に盗聴される恐れがある。対策は,パッチを適用するか,設定を変更してJava仮想マシンを無効にすること。ただし,Windows 2000用のパッチは現在準備中。可能ならば,プロキシを使わないように設定にすることでも回避できる。

【3月5日追記】マイクロソフトは,Windows 2000用のパッチも公開した。新しく公開された情報ページから,ダウンロード用ページ(英語)へリンクが張られている。

 影響を受けるのは,Microsoft VMのビルド 3802以前。 ビルド番号は,Windowsのコマンド・プロンプトから「jview」コマンドを実行すれば確認できる。例えば,

C:\>jview
Microsoft (R) Command-line Loader for Java Version 5.00.3802
Copyright (C) Microsoft Corp 1996-2000. All rights reserved.

と表示された場合には,「3802」がビルド番号である。

【3月5日追記】新たに公開されたページでは,Internet Explorer 4.01 SP1 については,「MSJAVA.DLL」のバージョンでビルド番号を確認するよう勧めている。具体的な確認方法は同ページに詳しい。

 今回のセキュリティ・ホールは,Javaの仮想マシンであるMicrosoft VMにおいて,Javaアプレットからプロキシ・サーバーへ送信されるリクエストの取り扱いに問題があるために発生する。セキュリティ・ホールを悪用するように“細工”されたJavaアプレットをダウンロードして実行すると,その後のWebアクセスは,攻撃者が選択したサイトへリダイレクトされてしまう。そのため,攻撃者はあるWebサイトになりすましたり,あるサイトとユーザー間のWebトラフィックを盗聴したりすることが可能となる。

 ただし,盗聴されるのは,送受信されるデータだけで,パソコン内のファイルなどを読み取られる恐れはない。また,SSL(Secure Sockets Layer)を使用している場合には,盗聴者は暗号化されたデータしか入手できない。

 対策は,パッチの適用や設定変更。Windows 2000のパッチは現在準備中。作成され次第,マイクロソフトのサイトで公開する予定である。Javaアプレットを実行しないように設定変更することでも回避できる。IEの「インターネット オプション」から「セキュリティ」タブを選択し,「レベルのカスタマイズ」で表示される「Microsoft VM」の項で,「Javaを無効にする」をチェックする。

 今回のセキュリティ・ホール対策としてだけではなく,「Javaを無効にする」ことはセキュリティ上重要な設定である。また,「Microsoft VM」に限らず,「ActiveX コントロールとプラグイン」や「スクリプト」の項についても,すべて無効にすることが推奨される(関連記事)。

 今回のセキュリティ・ホールは,プロキシ・サーバーを使っていない限り影響を受けない。そのため,プロキシを使用しない設定にすれば回避できる。しかし,企業ユーザーなどは使用しないわけにはいかないだろう。

◎参考資料
「MS02-013 に関する情報」(要約情報,マイクロソフト)
◆Microsoft Security Bulletin MS02-013「Java Applet Can Redirect Browser Traffic」(英語情報,米Microsoft)
◆(MS02-013) Java アプレットがブラウザ トラフィックをリダイレクトする(マイクロソフト)

(勝村 幸博=IT Pro編集)