強烈なセキュリティ・ホール「Brown Orifice」に対応した「Netscape Communicator 4.75 日本語版」のWindowsバージョンがようやく登場した。英語版が公開された約1カ月後の9月16日に,Netscape CommunicationsのFTPサイトで公開された。

 現在は,Netscape Communicationsの日本語のWebページの中のダウンロードのコーナーからも入手可能であるが,「日本語対応製品」欄の「Communicator 4.75 Complete Install」と明示されているリンクをたどる必要がある。他のリンクは以前のバージョンにリンクされている場合が多いので,注意が必要だ。

 この「Brown Orifice」とは,セキュリティ専門家のDan Brumleve氏によって指摘されたセキュリティ・ホールであり,簡単に言うと悪意のあるWebサイトにアクセスした場合,Netscape Communicatorのセキュリティ・ホールを突いたJavaアプレットにより,閲覧者のパソコンの中にあるファイルを勝手に読み出されてしまうというものである。

 Netscape CommunicationsのWebサイトのリリース文では,Netscape Communicatorのバージョン4.0から4.74までのWindows版, Mac OS版,UNIX版のすべてが影響を受けるとされる。しかし,私がテストした結果,Communicatorだけではなく,ブラウザ機能だけを持つNetscape Navigatorのバージョン4.08でも再現した。そのため,CommunicatorとNavigatorの全バージョンを疑った方がよいだろう。なお,新しいJava 2を採用するNetscape 6 プレビュー・リリース1と2は影響を受けない。

 この「Brown Orifice」は一見すると影響が小さいように思えるが,Java House Mailing Listの高木浩光氏が指摘する通り,閲覧者のNetscape Communicatorを乗っ取り,そのNetscape Communicatorを任意のWebサイトにアクセスさせることも可能である等,非常に深刻なものである。また表題の通り,セキュリティ・ホールがいかに深刻なものかを疑似体験できるWebページも公開されている。

 最新のNetscape Communicator 4.75に入れ替えずとも,Java機能を無効にすれば「Brown Orifice」に対応可能であるので,すぐに実行したい。ちなみに「編集」メニューの中の「設定」のカテゴリ「詳細」で「Javaを有効にする」のチェック・ボタンを外せば対応完了だ。また,様々なセキュリティ・ホールが心配な人は,Webサイト側が意図した表示にならないケースもあるが,併せて「JavaScriptを有効にする」のチェック・ボタンも外した方がよいだろう。

 しかし,個人的に非常に残念なのはNetscape Communicationsの対応である。確かに,「ヘルプ」メニューの中の「セキュリティ」からジャンプして「Brown Orifice」の情報を見ることもできるが英語情報のままであり,一般の利用者はまず気がつかないだろう。それより,見るチャンスが確実に多いNetscape Communicationsの日本語のWebページにも,現在は何も警告されていない。様々なWebブラウザのセキュリティ・ホールが注目を集めはじめたのは1997年前半からであるが,当時はセキュリティ情報の公開が後手に回るMicrosoftを尻目に,素早いセキュリティ・ホールへの対応と告知で絶大な信頼を集めていたNetscape Communicationsであるだけに,私は一ファンとしてぜひ頑張ってほしいと思う。

山下 眞一郎(Shinichiro Yamashita)
株式会社 富士通南九州システムエンジニアリング
第二ソリューション事業部システムサービス部 プロジェクト課長
yama@bears.ad.jp

 「今週のSecurity Check [Windows編]」は,IT Proセキュリティ・サイトが提供する週刊コラムです。Windows関連のセキュリティに精通し,「Winセキュリティ虎の穴」を運営する山下眞一郎氏に,Windowsセキュリティのニュースや動向を分かりやすく解説していただきます。(IT Pro編集部)