マイクロソフトは4月14日,同社のメール・ソフト「Outlook Express」のセキュリティ・ホール情報とパッチを公開した。セキュリティ・ホールを悪用されると,HTMLメールを開いただけで悪質なプログラム(ウイルスなど)を実行させられる恐れがある。セキュリティ・ホールの深刻度は最悪の「緊急」。対策はパッチを適用すること。「Windows Update」やセキュリティ情報のページから適用できる。いつもはOutlook Expressを使っていなくても,Outlook Expressがマシンにインストールされている場合には,すぐにパッチを適用しよう。
今回マイクロソフトから公開されたセキュリティ・ホールは,2004年2月にセキュリティ関連のメーリング・リストなどで既に公表されている(関連記事)。このセキュリティ・ホールを突くウイルスやコード(プログラム)は既に出現しており,4月8日には米US-CERTなどが警告している(関連記事)。
今回のセキュリティ・ホールはInternet Explorer(IE)に関するセキュリティ・ホールであり,Outlook ExpressやOutlookといったメール・ソフトは,HTMLメールの表示にIEを使うために,同じように影響を受けるとされている。マイクロソフトの情報を読む限りでは,今回公開されたパッチを適用すればOutlook Expressを経由する攻撃は防げるものの,Outlook Express以外のメール・ソフト(例えば Outlook)を経由させた攻撃や,Webページに細工を施して,悪意があるプログラムをIEに直接送り込まれる攻撃は回避できないようである。
【4月21日追記】今回公開されたパッチは,Outlook Expressに実装された「MHTMLプロトコル・ハンドラ」のセキュリティ・ホールをふさぐものである。このため,このパッチを適用すれば,Outlook Expressに限らず,IEなどを経由させた「mhtml://」を含むURLを使った攻撃も回避できる。【以上,4月21日追記】
Webページを使った攻撃を回避するには,IEの「マイ コンピュータ」 ゾーンのセキュリティ設定を厳しくする必要がある。「マイ コンピュータ」 ゾーンのセキュリティ設定を厳しくする方法や,今回のセキュリティ・ホールの詳細については,「今週のSecurity Check [Windows編]」に記載されているので,ぜひ参考にしてほしい。マイクロソフトでも,「マイ コンピュータ」 ゾーンのセキュリティ設定を厳しくすることを,回避策の一つとして挙げている。
IEを使用するOutlook Express以外のメール・ソフトを使っている場合には,HTMLメールをテキスト形式として表示させることも対策となる。Outlook 2002での設定方法については,マイクロソフトのサポート技術情報を参照してほしい。
Outlook Expressを経由する攻撃しか防げないものの,今回のセキュリティ・ホールを突くようなHTMLメール(ウイルス)が既に出回っている。パッチを適用して対策を施すことは必須である。「Windows Update」やセキュリティ情報から,早急にパッチを入手して適用しよう。
パッチの適用対象は,Outlook Express 5.5 SP2/6/6 SP1。なお,今回のセキュリティ・ホールはWindows 98/98 SE/Meにおいても「緊急」とされているので,Windows 2000/XP/Server 2003/NT 4.0 だけではなく,98/98 SE/Me上のOutlook Expressにもパッチを適用できる。
また,Windows NT 4.0でIE 5.xを利用している場合には,「Windows Update」にアクセスできないので,代替ページ「http://windowsupdate.microsoft.com/r1150/v31site」にアクセスするか,セキュリティ情報のページからパッチをダウンロードして手動で適用する(関連記事)。
◎参考資料
◆Outlook Express 用の累積的な修正プログラム (837009) (MS04-013)
◆マイクロソフト セキュリティ情報 (MS04-013) : よく寄せられる質問
◆2004 年 4 月のセキュリティ情報 (Windows)
◆CAN-2004-0380
◆Outlook Express MHTML protocol handler does not properly validate location of alternate data
◆Microsoft Outlook Express MHTML URL Processing Vulnerability
(勝村 幸博=IT Pro)
