150種類を超える修正を含む「Microsoft Office 2000 Service Pack 2」が公開された。セキュリティ関連の修正が多数含まれるので,ぜひ適用すべきである。加えて,2001年初のMicrosoft Security Bulletinとなる,新規のセキュリティ・ホール情報が1件公開された。

 また,ロータスからは,ドミノサーバーの致命的なセキュリティ・ホールが報告されている。これはWindows OSに限らず,すべてのプラットフォームのドミノサーバーが影響を受ける。同サーバーを運用している場合には要チェックである。

9種類のセキュリティ アップデートを含むService Pack 2

 マイクロソフトは,Windows対応の統合ビジネスソフト「Microsoft Office 2000日本語版」のサービス パック「Microsoft Office 2000 Service Pack 2」の提供を,1月11日から開始した。これは,MS Office 2000 Service Release 1以降の不具合を修正するアップデート プログラムを集めたサービス パックである。

 サービス パックは,主に企業ユーザーを対象としてリリースされている各種の修正プログラムと,Webなどを通じて既に提供されているセキュリティ アップデート プログラムから構成され,新機能は含まれていない。

 全部で150種類を超える修正のうち,セキュリティ関連では,(1)「Outlook 2000 SR-1 アップデート: 電子メール セキュリティ」,(2)「Word 2000 アップデート: 校正ツール ハイフネーション」,(3)「Word 2000 SR-1 セキュリティ アップデート: メール コマンド」,(4)「Office 2000 セキュリティ アップデート: HTML データ」,(5)「Excel 2000 セキュリティ アップデート: REGISTER.ID」,(6)「Excel/PowerPoint 2000 SR-1 アップデート: HTML スクリプトのセキュリティ強化」,(7)「Outlook 2000 Collaboration Data Objects (CDO) アップデート:セキュリティ」,(8)「Word 2000 セキュリティ アップデート: 差し込み印刷」,(9)「Office 2000 SR-1 フォントのアップデート」の9種類が含まれている。

 いずれも,セキュリティ アップデートとして,Webなどでパッチは提供されているが,重要なセキュリティ・パッチの適用漏れをなくすためにも,このMicrosoft Office 2000 Service Pack 2はぜひ適用すべきである。

 特に(1)「Outlook 2000 SR-1 アップデート: 電子メール セキュリティ」は,大流行した「I LOVE YOU」や「Melissa」などのコンピュータ・ウイルス対策のために作成されたパッチであり,Outlookを安全に利用するためには不可欠である。英語版公開から約1週間後の2000年6月15日に緊急公開されたことからも,このパッチの重要性が分かる。

 このパッチは,Outlookの一部機能に制限を設けることで,メールによって感染を広げるウイルスの被害をできるだけ抑える。具体的には,(a)実行形式ファイルなど,ウイルスである可能性がある添付ファイルは開けないようにする,(b)ウイルスがOutlookを使ってメールを勝手に送信しようとすると,ダイアログを表示して,ユーザーに判断を求める,(c)Outlookの既定のセキュリティ ゾーンを「制限付きサイト」にする。パッチ適用で発生する機能制限については 「Outlook 98/2000 電子メール セキュリティ アップデートの影響を受ける機能」に記載されている。

 なお,このMicrosoft Office 2000 Service Pack 2をインストールするためには,MS Office 2000 Service Release 1を事前に適用しておく必要がある。

新規のセキュリティ・ホール情報は1件

 次に,上記以外の,Windows関連のセキュリティ・トピックス(2001年1月12日時点分)を整理する。

 まず,「Microsoft Security Bulletin」にて,2001年初のセキュリティ速報である,「Patch Available for "Web Client NTLM Authentication" Vulnerability」が公開された。MS Office 2000, Windows 2000, Windows Meが影響を受ける。それぞれに含まれる「Web Extender Client (WEC)」 の実装に,バグがあることが原因だ。バグのために,IE Securityがどのような設定になっていても,NTLM認証を実行してしまい,悪意のあるWebサイトの運営者等から情報入手の手段として不正に使われる恐れがある。その結果,パスワードを知られたり,保護されたファイル等にアクセスされる可能性がある。

 MS Office 2000がインストールされている場合は,Windowsすべてのプラットフォームが対象となる。MS Office 2000がインストールされていない場合でも,Webフォルダが有効な状態の,Internet Explorer 5.0以上が稼働するWindows 2000とWindows Meは対象となる。MS Office 2000に対しては,多国語共通パッチ「Office 2000 SR-1 Update: Web Client Security」が公開された。「Languages Supported」にJapaneseも含まれているので,日本語版にも適用できそうだ。パッチの適用対象は,その名の通り,MS Office 2000 Service Release 1 (SR-1)である。残念ながら,Windows 2000/Meの日本語版パッチは公開されていない。

日本語版パッチは新規に4件

 「マイクロソフト サポート技術情報」のレポートがアップデートされ,3件の日本語版パッチが公開された。(1)「『アクティブ セットアップ ダウンロード』ぜい弱性に対する対策」と(2)「『SSL 証明確認』のぜい弱性に対する対策」,(3)「『不正な IMAP リクエスト』のぜい弱性に対する対策」に関するパッチである。

 そして,「Microsoft ダウンロード センター」では,「マイクロソフト セキュリティ情報」ではアナウンスされていない,セキュリティ関連のパッチ情報が1件公開されている。以前にお知らせした(4)「『Netmon のプロトコル解析』のぜい弱性に対する対策」に関する,Windows 2000用Windows NT 4.0用の日本語版パッチだ。

 これまでは,こうした「マイクロソフト セキュリティ情報」でまだアナウンスされていないパッチに関しては,「正式にはアナウンスされていないため,自己判断および自己責任で,検討あるいは適用する必要がある」という注意書きを記載していた。しかし,マイクロソフトへ問合せたところ,セキュリティ情報からリンクが張られていなくても,米MicrosoftのWebサイトで公開されているものに関しては,公式の修正プログラムと考えてよいそうだ。通常のサポートオプションの対象になるという。そこで,今回からは,日本語サイトでアナウンスされていなくても,上記のような注意書きは記載しない。もちろん,従来通り,「適用については自己判断」ということには変わりはない。

ノーツ/ドミノ関連の情報が2件

 ロータスから,ドミノサーバーのセキュリティ・ホール情報が公開された。「ドミノサーバーが稼働しているサーバーのファイルシステムへアクセスが可能になるセキュリティのぜい弱性について」である。R5.0 から R5.0.5 まで(英語版は R5.0.6 も含む)の,すべてのプラットフォームのドミノサーバーが影響を受ける。HTTPサービスを提供しているドミノサーバー上のファイル内容を,Webブラウザから読みとることができてしまうという問題である。パス名やファイル名が分かっていれば,公開用のファイルに限らず,サーバー上の任意のファイルを読み出せる。

 対応は現在開発中のR5.0.6aで行われており,現行バージョン用のパッチはリリースされない。ただし,回避方法は公開されている。セキュリティ・ホールを突いて,公開用以外のファイルを読み出すには,「/../」という文字列を含む,ある特定のURLリクエストを送る必要がある。このようなリクエストが送られた場合に,指定したURLへ強制的にリダイレクトするように設定すれば,回避可能である。詳細がロータスのWebサイトで公開されているので,対象システムは今すぐ対応が必要だ。

 また,上記の回避策をとるまでの間に,ファイルの不正な読み取りや,読み取った情報を使用して,何らかの改ざん等が行われている可能性があるという。ロータスでは,セキュリティ・ホール情報の追加情報として,「セキュリティ保全策」も公開している。その中では,ログを調べるなどして,不正な読み取りや改ざんなどの有無をチェックすることを勧めている。

 ロータス社製品関連では,ノーツクライアントのセキュリティ・ホール情報も公開された。「【訂正】ノーツ クライアントと Microsoft Internet Explorer を組み合わせて使用する際のセキュリティ」である。以前から公開されていた,マイクロソフトのJava Virtual Machine(JVM)に起因する,ノーツクライアントR4.6およびR5.0のセキュリティ・ホール情報の訂正版だ。以前のロータスの見解と異なり,ルート・ディレクトリやカレント・ディレクトリ内にあるファイルを読まれる可能性があるとしている。併せて,チェックしておこう。



 ■Office 2000 アップデート: Service Pack 2 (SP-2)

 ■Outlook 2000 SR-1 アップデート: 電子メール セキュリティ

 ■Outlook 98/2000 電子メール セキュリティ アップデートの影響を受ける機能

マイクロソフト サポート技術情報

 ■[OFF2000] Office 2000 SP-2 の入手とインストール方法 (2001年1月10日)

 ■[OFF2000] Office 2000 Service Pack 2 (SP-2) とは (2001年1月10日)

 ■[OFF2000] Microsoft Office 2000 SP-2 に含まれる修正一覧 (2001年1月10日)

Microsoft Security Bulletin (英語情報)

 ■(MS01-001) 「Patch Available for "Web Client NTLM Authentication" Vulnerability」 (January 11, 2001)

マイクロソフト セキュリティ情報

 ■(MS00-042) 「アクティブ セットアップ ダウンロード」ぜい弱性に対する対策 (日本語版パッチ公開:2001年1月11日)

 ■(MS00-039) 「SSL 証明確認」のぜい弱性に対する対策(日本語版パッチ公開:2001年1月11日)

 ■(MS00-001) 「不正な IMAP リクエスト 」のぜい弱性に対する対策(日本語版パッチ公開:2001年1月11日)

Microsoft ダウンロード センター

 ■(MS00-083)「Netmon のプロトコル解析」のぜい弱性に対する対策

 □Windows 2000用の日本語版パッチ(2001年1月4日)

 □Windows NT 4.0用の日本語版パッチ(2001年1月12日)

ロータス

 ■ドミノサーバーが稼働しているサーバーのファイルシステムへアクセスが可能になるセキュリティのぜい弱性について (2001年1月11日)

 ■【訂正】ノーツ クライアントと Microsoft Internet Explorer を組み合わせて使用する際のセキュリティ (2001年1月6日)

山下 眞一郎(Shinichiro Yamashita)
株式会社 富士通南九州システムエンジニアリング
第二ソリューション事業部システムサービス部 プロジェクト課長
yama@bears.ad.jp

 「今週のSecurity Check [Windows編]」は,IT Proセキュリティ・サイトが提供する週刊コラムです。Windows関連のセキュリティに精通し,「Winセキュリティ虎の穴」を運営する山下眞一郎氏に,Windowsセキュリティのニュースや動向を分かりやすく解説していただきます。(IT Pro編集部)