米国のIT系メディアは8月18日(米国時間)に,独heise Security(http://www.heise.de/)がWindows XP Service Pack 2(SP2)に固有のセキュリティぜい弱性を発見した――と報じた。しかし,日経Windowsプロ編集部で試したところ,それがセキュリティ上のぜい弱性かどうかは疑問であると感じられた。
ぜい弱性として指摘されたのは次のような内容だ。
まずWindows XP SP2では,Internet Explorer(IE)やOutlook Express(OE)を使ってファイルをダウンロードした場合,そのファイルがどこからダウンロードしたものなのか記録される。そして,例えばInternet Explorerの設定で「インターネット・ゾーン」にあるサイトからダウンロードした実行ファイルは,起動しようとすると[セキュリティの警告]という画面が表示される。
独heise Securityの指摘は,この「どのサイトからダウンロードしたのか」という記録は「ZoneID」と呼ばれるもので,実際にはテキスト・データで保持されているだけであり容易に書き換え可能であるほか,ファイル名が変更された場合にZoneIDが消えてしまう可能性がある――というものだった。そして,ZoneIDが書き換えられることによって「本来出るはずだった警告が出なくなってしまう」ことが,セキュリティ上の問題であるとしていた。
日経Windowsプロ編集部で試してみたところ,確かにZoneIDは,ダウンロードしたファイルの「代替データ・ストリーム」という領域に,プレーンなテキスト形式で保存されており,Windows標準の「メモ帳」などでも簡単に書き換えてしまえることが分かった。ZoneIDには4つの値があり,インターネットからダウンロードした場合は「3」の値があるが,この値を別のものに書き換えたり,代替データ・ストリームそのものを削除したりすると,本来出るはずだった[セキュリティの警告]は出なくなった。
また代替データ・ストリームはNTFS特有の機能なので,FATでフォーマットされているフロッピ・ディスクやハードディスクなどにファイルをコピーすると,コピーされた側ではZoneID情報は消えてしまう。
ただし,これがセキュリティ上のぜい弱性かどうかは疑問である。
そもそも[セキュリティの警告]の画面は,ファイルのアイコンを右クリックして表示される[プロパティ]の画面で,「このファイルは他のコンピュータから取得したものです。このコンピュータを保護するため,このファイルへのアクセスはブロックされる可能性があります」という説明の脇にある[ブロックの解除]というボタンをクリックすると消せる。
また,代替データ・ストリームを削除したり編集したりするためには,ローカル・コンピュータ上でプログラムやスクリプトを実行させる必要がある。ユーザーが悪意のあるプログラムをローカル・コンピュータ上で実行しないと,ZoneIDが消されることはないだろう。つまり今回見つかったZoneIDの問題は,攻撃者による侵入を許したり,悪意のあるプログラムの実行を許したりすることの,直接的な原因になるものではない。
もっとも,Windows XP SP2で実装された「IEやOEでダウンロードしたファイルをユーザーに実行させないようにする」という機能に,元々過大な期待を抱いてはならない。ユーザーは,Windows XP SP2のインストール後も「インターネットからダウンロードした不審なファイルは気安く実行しない」という原則を肝に銘じる必要があるだろう。
