マイクロソフトは10月11日,Internet Explorer(IE)が影響を受ける3種類のセキュリティ・ホールを公開した。そのうちの1つである「ゾーン偽装の脆弱性」は深刻である。悪用されると,インターネット上のWebページを「イントラネット サイト」のセキュリティ設定で開く恐れがある。その結果,悪意があるスクリプトなどを警告なしに実行してしまう可能性がある。日本語パッチは未公開なので,パッチが公開され適用するまでは,インターネット上では IE 5.01/5.5 を使用すべきではない。なお,IE 6 にはこのセキュリティ・ホールが存在しないので,バージョンアップも回避策のひとつである。

【IT Pro追記】マイクロソフトは10月17日,日本語版パッチを公開した

IE に3種類のセキュリティ・ホールが発覚

 マイクロソフトが公開したのは,「不正なドットなし IP アドレスにより Web ページがイントラネット ゾーンで処理されてしまう」というセキュリティ情報で,これには(1)「ゾーン偽装の脆弱性」,(2)「HTTP リクエスト エンコードの脆弱性」,(3)「Telnet 実行の脆弱性の新種」と呼ばれる3種のセキュリティ・ホールに関する情報が含まれる。(1)については IE 5.01/5.5,(2)と(3)については IE 5.01/5.5/6 が影響を受ける。なお,これら以前のバージョンに対しては,サポートの対象外なのでテストをしておらず,影響の有無は不明であるという。

 まず,(1)「ゾーン偽装の脆弱性」は,IE が「ドットなし IP アドレス」を含む URL を処理する方法に問題があることに起因する(「ドットなし IP アドレス」については後述)。WebサイトのURLが,ある特定の「ドットなし IP アドレス」 形式で記述されている場合,そのサイトがインターネット上のサイト(「インターネット サイト」)であっても,IE はイントラネット内のサイトとみなし,そのページを「イントラネット ゾーン」のセキュリティ設定で開いてしまう恐れがある。つまり,攻撃者はユーザーのセキュリティ設定を“う回”させることが可能となる。

 同様のセキュリティ・ホールは過去にも存在した。1998年に「Microsoft Security Bulletin MS98-016」において,情報とパッチが公開されている。

 次に,(2)「HTTP リクエスト エンコードの脆弱性」を悪用すれば,攻撃者はユーザーをある Web サイトに接続させたうえで,攻撃者が意図したリクエストをそのサイトに対して対象ユーザーになりすまして送信することが可能になる。例えば,対象ユーザーの電子メールを削除するコマンドを,そのユーザーが使用している Web ベースのメール・サービスに送ることなどが可能となる。

 そして,(3)「Telnet 実行の脆弱性の新種」は,マイクロソフトセキュリティ情報の「MS01-015」で説明されているセキュリティ・ホールの新種であり,Telnet セッションが IE を介して呼び出される方法に影響をおよぼすセキュリティ・ホールである。悪用すれば,Web を閲覧しているユーザーのシステムに,任意のファイルを書き込むことが可能となる。

 これら3種のセキュリティ・ホールに関する英語版パッチは,セキュリティ速報レポート公開と同時にリリースされた。しかしながら,日本語版パッチはまだ公開されていない。そのため,気になるのはセキュリティ・ホールそれぞれの深刻度である。

 (2)については,不特定多数のユーザーに向けた攻撃に悪用することは難しいとしている。攻撃を成功させるには,対象ユーザーが利用しているサービスなどの個人情報が必要なためだ。しかし,そういった情報を入手した上で,特定のユーザーを標的にした場合には,大きな損害を引き起こしうると,マイクロソフトはFAQで述べている。

 (3)においては,「Services for Unix 2.0」のアドオン・パッケージから Telnet クライアントをロードした場合のみ影響を受け,デフォルトの Telnet クライアントを使用している場合には影響を受けない。そのため,影響度は低いだろう。

 問題は(1)である。レポートを読む限りでは,それほど深刻ではない印象を受けるが,そんなことはない。非常に深刻であると認識する必要がある。

「ドットなし IP アドレス」の処理に問題

 「ドットなし IP アドレス」とは,32ビットのIPアドレスを通常の「8ビットずつ4ブロックに区切られた形式」ではなく,次のように表したもの。まず,IPアドレスの4ブロックの数字をそれぞれ先頭から,2の24乗,2の16乗,2の8乗,2の0乗とかけ合わせて,ブロックごとに10進数でいくつになるかを算出する。算出した4つの数字を全部足し合わせたものが,ドットなしIPアドレスである。例えば,米Microsoft Webサイトのアドレスは,通常のドットで区切られた表記によれば,「207.46.197.113」であるが,ドットなし IP アドレス表記では「3475948913」と表現される。このドットなし表記を,IE が適切に処理できない場合がある。

 もちろん,「ドットなし IP アドレス」をすべてイントラネット ゾーンとして取り扱うわけではない。ある特定の文字列を挿入された場合のみ,イントラネット ゾーンとして処理してしまう。しかし,英語版パッチがリリースされ,英語版については回避策が公開されたため,同時にその手法についても公開されている。そのため,だれでも容易に攻撃手法を知ることができる。

 マイクロソフトの説明によれば,「イントラネット ゾーン」と「インターネット ゾーン」のデフォルト設定における違いはわずかであるとしている。そして,それらの相違点のいずれを悪用しても,有害な操作をすることはできないという。そのため,レポートを読む限りでは,このセキュリティ・ホールの影響度は低いような印象を受けるが,実際にはそうではない。

 IE のセキュリティ ゾーンは,基本的には「インターネット ゾーン」「イントラネット ゾーン」「信頼済みサイト ゾーン」「制限付きサイト ゾーン」に区分される。このうち,「イントラネット ゾーン」のデフォルト設定では,ほとんどのコンテンツが警告無しに実行される。具体的には,ActiveX コントロールやJava アプレット,および各種スクリプトが一部条件付きながら動作してしまうのだ。

 もちろん,デフォルト設定を変更して,「イントラネット ゾーン」においてもスクリプトなどが警告なく実行されることを防ぐことはできる。しかしながら,セキュリティを考慮して「インターネット ゾーン」のデフォルト設定を変更しているユーザーでも,「イントラネット ゾーン」の設定を変更するケースは少ないのではないだろうか。

 事実,筆者自身も「インターネット ゾーン」についてはデフォルトを変更し,スクリプトなどの動作を厳しく制限している。しかし,「イントラネット ゾーン」は通常は影響を受けないため,デフォルトのままである。

 こうしたことから,インターネット上のサイトを「インターネット サイト」ではなく「イントラネット サイト」とみなし,それらのサイトのページをイントラネット ゾーンのセキュリティ設定で開いてしまうという今回のセキュリティ・ホールは,非常に深刻であるといえる。

 そのため,パッチがリリースされていない日本語版 IE では,「怪しい Web サイトに近づかない」という消極的な自己防衛手段では心もとない。パッチが公開され,それを適用するまでは,インターネット上での IE の利用を禁止することが最も有効な回避策である。また,IE 6 にはこのセキュリティ・ホールは存在しないため,アップグレードするのもよいだろう。ただし IE 6 では,一部のWebコンテンツについてはレイアウト表示が適切に行われないことが報告されているので,要注意である。

 なお,(1)のセキュリティ・ホールの発見者である Michiel Kikkert 氏によれば,対象となるIEのバージョンは 5.x だけではなく,4.x も含まれるという。マイクロソフトでは“サポート対象外”として言及されていないが,4.x ユーザーも注意しなくてはならない。

『Windows NT 4.0』は新規の日本語版パッチが1件

 次に,Windows関連のセキュリティ・トピックス(2001年10月12日時点分)を,各プロダクトごとに整理して解説する。

 『Windows NT 4.0』関連は,「マイクロソフト セキュリティ情報一覧」にて,新規の日本語版パッチが1件公開された。

(1)RPC Endpoint Mapper への不正なリクエストにより,RPC サービスが異常終了する

 セキュリティ・ホールの内容については,既に紹介済みである。「RPC Endpoint Mapper」とは,現在 RPC サービスに割り当てられているポート番号を,RPC クライアントが確定するためのサービスである。このサービスに問題があるため,ある特定のデータを含むリクエストを受け取ると,異常終了する可能性がある。

 今回,当初から公開されていたAT互換機用日本語版パッチに加え,NEC PC-9800 シリーズ用の日本語版修正パッチが公開された。

 ただし,RPC Endmapper が動作するポート番号 135 を閉じることでも回避可能であるため,影響度は少ないであろう。繰り返しになるが,過去のコラムでも書いているように,Windowsネットワーク環境では「TCPおよびUDPのポート番号 23,135,137,138,139,445」が,エッジ・ルーターで閉じることが不可欠である。改めて確認しておこう。

各種クライアント・アプリは新規のセキュリティ・ホール情報が2件

 各種クライアント・アプリについては,「マイクロソフト セキュリティ情報一覧」にて,コラム冒頭で紹介したもの以外に,新規のセキュリティ・ホール情報が1件公開された。

(1)不正な Excel または PowerPoint の文書がマクロのセキュリティを無視する

 Windows 版の場合,Excel 2000/2002 と PowerPoint 2000/2002 においては,マクロのセキュリティ機能に問題があるため,それらのアプリが検知できないマクロを攻撃者は作成可能である。その結果,セキュリティ設定にかかわらず,Excel または PowerPoint データを開いた際に,悪意のあるマクロを自動的に実行してしまう可能性がある([関連記事])。

 なお,ExcelとPowerPointの 2000/2002以外のバージョンについてはサポート対象外であるため,影響を受けるかどうかは不明とされている。

 英語版パッチは,セキュリティ速報レポート公開と同時にリリースされたが,日本語版パッチはまだ公開されていない。Microsoft Office の「Download Center」における,各パッチの「Languages Supported」の欄には,英語版用として公開されているパッチは日本語版にも適用可能であるとの情報が記載されている。しかし,マイクロソフトからは正式にアナウンスされていない。詳細な情報を待ちたい。

TechNet セキュリティ センターでは注目すべきドキュメントが5件

 「TechNet セキュリティ センター」にて,注目すべきドキュメントが5件公開された。

 最初の4件は,Internet Information Server/Services 4.0/5.0,もしくは NT 4.0 Workstation/Server における「ベースライン」のセキュリティ チェックリストである。ここで言う「ベースライン」とは“基本的なレベル”を意味しており,従来の「セキュリティ チェックリスト」と比較すると,チェック対象を絞り込んだ内容となっている。

 ただし,単なる“抜粋版”であり,分かりやすい表現にしているわけではないので注意したい。とはいえ,優先順位の高いセキュリティ設定がまとめられているので,ぜひチェックしておこう。

(1)Internet Information Services 5.0 ベースライン セキュリティ チェックリスト

(2)Internet Information Server 4 ベースライン セキュリティ チェックリスト

(3)Windows NT 4.0 Workstation ベースライン セキュリティ チェックリスト

(4)Windows NT 4.0 Server ベースライン セキュリティ チェックリスト

 5件目は,ISA Server のセキュアな設定方法を記載したドキュメントである。

(5)Code Red ワームを阻止するための ISA Server の設定方法

 ISA Server の「あて先セット」の機能を使えば,特定の文字列を含むリクエストなどを制限して,「Code Red」および「Code Red II」ワームの拡散を防止できる。このドキュメントでは,その設定方法を具体的に説明している。必要なユーザーのみチェックすればよいだろう。



マイクロソフト セキュリティ情報一覧

『Internet Explorer』

◆(MS01-051)不正なドットなし IP アドレスにより Web ページがイントラネット ゾーンで処理されてしまう
 (2001年10月11日:日本語情報のみ公開,パッチ無し)

『Windows NT 4.0』

◆(MS01-048)RPC Endpoint Mapper への不正なリクエストにより,RPC サービスが異常終了する
 (2001年10月9日:Windows NT 4.0 Workstation,NT 4.0 Server,および NT 4.0 Server, Enterprise Edition の NEC PC-9800 シリーズ用日本語版修正パッチ公開)

『Excel / PowerPoint』

◆(MS01-050)不正な Excel または PowerPoint の文書がマクロのセキュリティを無視する
 (2001年10月5日:日本語解説のみ公開,パッチ無し)

TechNet セキュリティ センター

Internet Information Services 5.0 ベースライン セキュリティ チェックリスト (2001年10月12日)

Internet Information Services 4 ベースライン セキュリティ チェックリスト (2001年10月12日)

Windows NT 4.0 Workstation ベースライン セキュリティ チェックリスト (2001年10月12日)

Windows NT 4.0 Server ベースライン セキュリティ チェックリスト (2001年10月12日)

Code Red ワームを阻止するための ISA Server の設定方法 (2001年10月 9日)

山下 眞一郎(Shinichiro Yamashita)
株式会社 富士通南九州システムエンジニアリング
第二ソリューション事業部システムサービス部 プロジェクト課長
yama@bears.ad.jp

 「今週のSecurity Check [Windows編]」は,IT Proセキュリティ・サイトが提供する週刊コラムです。Windows関連のセキュリティに精通し,「Winセキュリティ虎の穴」を運営する山下眞一郎氏に,Windowsセキュリティのニュースや動向を分かりやすく解説していただきます。(IT Pro編集部)