インターネットのセキュリティ組織である米US-CERTは米国時間4月8日,Internet Explorer(IE)に見つかったセキュリティ・ホールを警告した。細工が施されたWebページやHTMLメールを閲覧するだけで,悪質なプログラム(ウイルスなど)を実行させられる恐れがある。セキュリティ・ホール自体は,2004年2月に公表されている(関連記事)。2月時点でも攻撃コードが存在したが,SANS Instituteによると,現在では複数の攻撃コードが出回っているという。

 現時点では,米Microsoftからはセキュリティ情報やパッチは公開されていない。US-CERTの情報では,今回のセキュリティ・ホールを突く際に使われる「ITS プロトコルハンドラ」を無効にすることを,回避策の一つとして挙げている。具体的には,

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler\ms-its
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler\ms-itss
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler\its
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler\mk

のレジストリ・キーを削除するか,名前を変更する(これらのレジストリ・キーの中には,マシンによってはもともと存在しないものもある)。

 2月の時点では,「『HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler\ms-its』の名前を変えること」が回避策として挙げられていたが,それだけでは不十分であることが明らかとなっている。上記のうち,存在するものすべてを削除あるいは名前変更する必要がある。

 また,ウイルス対策ソフトを使っていれば,攻撃コードをウイルスの一種として検知できる場合もあるので,US-CERTでは,対策ソフトをきちんと使うことも対策の一つとして挙げている。もちろん,過信は禁物である。加えて,IE以外のブラウザを使うことも対策としている。

 今回のセキュリティ・ホールを突かれた場合,悪質なプログラムは最も制限が緩い「マイ コンピュータ(ローカル コンピュータ)ゾーン」で実行される。このため,IEの「インターネット ゾーン」などのセキュリティ設定で「アクティブ スクリプト」や「ActiveXコントロール」を無効にしても,効果はない。

 US-CERTでは,「マイ コンピュータ ゾーン」で「アクティブ スクリプト」や「ActiveXコントロール」を無効にすれば,攻撃の種類によっては防げるとしている(すべての攻撃を防げるわけではない)。しかしながら,「マイ コンピュータ ゾーン」のセキュリティ設定はIEのメニューから変更できない。マイクロソフトの情報にあるように,レジストリを変更する必要がある。ただし,変更によって正規のプログラムやサービスが稼働しなくなる恐れがあるので,同情報では「この情報にあるような変更を加えるのは,“最終手段”と考えてほしい」と警告している。変更する場合には,くれぐれも注意してほしい。

 レジストリなどを変更することなく対策するには,月並みではあるが,「怪しいページ/リンクは,閲覧しない/クリックしない」「メールをテキスト形式で表示させる」「別のブラウザを使う/インターネットとイントラネットでブラウザを使い分ける」「ウイルス対策ソフトをきちんと使う」――ことに尽きる。マイクロソフトからパッチが公開されたら,すぐに適用したい。

◎参考資料
「Vulnerability in Internet Explorer ITS Protocol Handler」(米US-CERT)
「Microsoft Internet Explorer does not properly validate source of CHM components referenced by ITS protocol handlers」(米US-CERT)
Microsoft Internet Explorer .chm file could allow code execution(米Internet Security Systems)
「@RISK: The Consensus Security Vulnerability Alert(April 1, 2004 Vol. 3. Week 13)」(SANS Institute)
「Microsoft Internet Explorer に含まれるITS プロトコルハンドラの脆弱性」(JPCERT/CC Vendor Status Notes)
「Internet Explorer のマイ コンピュータ ゾーンのセキュリティ設定を強化する方法」(マイクロソフト)

(注)下記のリンク先ページには,Exploit(セキュリティ・ホールを検証するコード)の一部が含まれているので,ウイルス対策ソフトが警告を出す可能性がある(実際には,ウイルスなどを実行させられることはない)
「Microsoft Internet Explorer ITS Protocol Zone Bypass Vulnerability」(米SecurityFocus)
「Microsoft Internet Explorer Unspecified CHM File Processing Arbitrary Code Execution Vulnerability (bid 9658)」(米SecurityFocus)

(勝村 幸博=IT Pro)