セキュリティ関連のメーリング・リストやWebサイトにおいて,マイクロソフトが7月3日に公開した「ADODB.Streamを無効にするプログラム」を適用しても回避できない攻撃手法が公開されている。同プログラムはセキュリティ・ホールをふさぐパッチではなく,ADODB.StreamをInternet Explorer(IE)から使えないように設定(レジストリ)を変更するプログラムに過ぎないためだ(関連記事)。プログラムを適用したからといって,すべての攻撃を防げるわけではない。
6月以降,修正パッチをすべて適用したIEでも,WebページやHTMLメールを閲覧するだけで被害を受ける攻撃コードが出回っている。それらのコードのうち,「Download.Ject」などは,IEのセキュリティ・ホール「クロスドメインの脆弱性」とADODB.Streamを使う。Windowsに含まれるADODB.Streamは,ファイルを読み書きできるActiveXコントロールで,セキュリティ・ホールとは何ら関係がない。Download.Jectなどがセキュリティ・ホールを突いたときに利用するだけだ。
マイクロソフトが公開したプログラムは,ADODB.StreamをIEから使えないように設定変更することで,Download.Jectなどの攻撃を回避できるようにする。セキュリティ・ホールをふさぐものではない。プログラムを適用しても,セキュリティ・ホールは残っている。このため,ADODB.Stream以外のコントロールを使う攻撃は防げない。米US-CERTでも,「ADODB.Streamを使わない別の攻撃方法がありうることに注意する必要がある」としている。
実際,ADODB.Stream以外のコントロールを使う攻撃手法がインターネット上に出回っている。その攻撃手法を使えば,マイクロソフトが公開したプログラムを適用していても,任意のプログラムをダウンロードおよび実行させられるという。
米US-CERTでは,マイクロソフトから万全の解決策(例えばパッチ)が公開されるまでは,ADODB.StreamをIEから使えないようにするだけではなく,「アクティブ スクリプトやActiveXコントロールを無効にする」「勝手に送られてきたメールなどに記載されたリンクはクリックしない」「ウイルス対策ソフトをきちんと使う」――ことを勧めている。
◎参考資料
◆Internet Explorer Update to Disable ADODB.Stream ActiveX Control(米US-CERT)
(勝村 幸博=IT Pro)
