11月9日,またもやInternet Explorer(IE)に深刻なセキュリティ・ホールが発覚した。Cookie の情報を盗まれたり改ざんされたりする恐れがある。IE および Outlook/Outlook Express のユーザーは,アクティブ スクリプトを無効にするなどして,早急に対策を施す必要がある。Netscape 6.2 などの別のブラウザに乗り換えることも有効な回避策の一つだ。
【11月16日 IT Pro追記】米Microsoft は日本時間11月15日までに,日本語版を含む数カ国語版のパッチを公開した([関連記事])。
危険な状態が続くInternet Explorer
IE のセキュリティ問題は一向に解決しない。過去のコラムで指摘した,パッチを適用しても解消しない「ドットなしIPアドレス」問題が依然存在する IE に,またもや深刻なセキュリティ・ホールが見つかった。「Internet Explorer の Cookie データが,スクリプトを介し漏えいまたは変更される」である([関連記事])。
今回のセキュリティ・ホールの影響を受けるのは,IE 5.5 および 6。これら以外のバージョンについてはサポート対象外として,影響を受けるかどうかは不明としている。
原因は,IE 5.5/6 の Cookie の取り扱い方法に不具合が存在するためである。悪意がある Web サイト管理者もしくはHTMLメールの送信者が,URL 中に特定の文字列を“仕込む”ことで,そのURL(リンク)をクリックしたユーザーのCookie 情報を取得できてしまう。また,内容を改ざんすることも可能となる。
セッション情報などの管理のために,多くのWeb サイトで Cookie は使用されている。そして,Cookie にユーザーのメール・アドレスやパスワードなどの個人情報を保存するサイトも多数存在する。そのため,Cookie 情報を取得されるということは,個人情報の漏えいにつながる深刻な問題なのだ。
実際,「MS01-052」の情報から明記されるようになった“危険度”を見ると,今回のセキュリティ・ホールは,「インターネット サーバー」「イントラネット サーバー」「クライアント システム」のすべてにおいて,初めて「高」とされている。
IE および IE のコンポーネントを使う Outlook/Outlook Express のユーザーは,早急に対策を施す必要がある。しかしながら,日本語版パッチはおろか,英語版パッチもまだ公開されていない。そのため,パッチの適用以外の方法で回避しなくてはならない。具体的な回避方法を以下に示す。
- IE を使用している場合,「インターネット ゾーン」および「イントラネット ゾーン」でアクティブ スクリプトを無効にする。
- Outlook Express を使用している場合, 「制限付きサイト」ゾーンでメールを開くように設定する。制限付きサイトでは,アクティブ スクリプトは無効になっているからだ。なお,Outlook Express 6 ではデフォルトで制限付きサイトに設定されている。
- Outlookを使用している場合,「Outlook 電子メール セキュリティ アップデート」を適用する。なお,Outlook 2002 を使用している場合,あるいは「Office 2000 Service Pack 2」を適用済みの場合には,このセキュリティ アップデートを適用する必要はない。
なお,IE のアクティブ スクリプトを無効にする具体的な手順は次の通りである。まず,IE の「ツール」メニューで,「インターネット オプション」をクリックする。そして,「セキュリティ」タブをクリックし,「レベルのカストマイズ」をクリックする。その後,「設定」のボックスをスクロールさせ「スクリプト」セクションの「Javaアプレットのスクリプト」と「アクティブ スクリプト」をそれぞれ「無効にする」を選択し,「OK」で確定する。
併せて,今回のセキュリティ・ホールには直接関係はないが,「スクリプトによる貼り付け処理の許可」についても「無効にする」を選択しておこう。同機能のぜい弱性が,セキュリティ関連のメーリング・リストなどで報告されているからだ。“ついでに”,こちらについても備えたい。
以上については,「インターネット ゾーン」および「イントラネット ゾーン」のそれぞれで設定する必要がある。
加えて,別のブラウザに乗り換えるのも有効な回避策である。例えば,10月31日にダウンロード可能となった「Netscape 6.2」日本語版が,代替ブラウザの有力候補である。同バージョンでは Windowns XP に対応するとともに,安定性の向上も図られている。
繰り返しになるが,今回のセキュリティ・ホールはとても深刻である。そのため,上記の回避策を施すまでは,あるいはパッチが公開されて適用するまでは,IE を“使用禁止”にしたい。
なお,今回のセキュリティ・ホールを実証するデモ・サイトが,既にいくつか存在する。セキュリティ・ホールを突く方法は一部で公開されているので,同様のサイトは今後も登場するだろう。つい試してみたくなるのも分かるが,デモを試行すること自体が危険なので,控えたほうがよい。
『Windows NT Server 4.0』は新規のパッチが1件
Windows関連のセキュリティ・トピックス(2001年11月9日時点分)を,各プロダクトごとに整理して解説する。
『Windows NT Server 4.0』関連では,「マイクロソフト セキュリティ情報一覧」にて,新規のパッチが1件公開された。
無効な RDP データが Terminal Service を異常終了させる
セキュリティ・ホールの内容については紹介済みなので割愛する。10月23日に公開されたWindows 2000 用の日本語版パッチに続いて,今回11月7日にWindows NT Server 4.0, Terminal Server Edition用の日本語版パッチが公開された。
なお,マイクロソフトでは最大危険度を「中」としているが,通常であれば,ターミナル サーバーをインターネット上で運用することはないので,外部からの脅威は小さいはずである。必要に応じてパッチを適用すればよいだろう。
『Windows 98/98SE/ME/XP』は情報が1件
『Windows 98/98SE/ME/XP』関連は,「マイクロソフト セキュリティ情報一覧」にて,新規のセキュリティ・ホール情報が1件公開された。
無効なユニバーサル プラグ アンド プレイのリクエストがシステムのオペレーションを妨害する
Windows ME および XP,あるいは インターネット接続共有 (ICS) クライアントをインストールした Windows 98/98SE で使用できる「ユニバーサル プラグ アンド プレイ(UPnP)」サービスは,ある種類の無効な UPnP リクエストを適切に処理できないという問題がある。そのため,そのようなリクエストを受け取ると,システムのパフォーマンス低下やシステムの異常終了が発生する恐れがある。
なお,UPnP サービスとは,コンピュータがネットワーク・ベースのデバイスを自動検知して,使用可能にするサービスのことである。
11月2日,日本語情報と同時に日本語版パッチも公開された。
なお,UPnP サービスが使用するポート 1900 および ポート 5000 をファイアウオールなどでブロックしていれば,外部からの攻撃を回避できる。そのため,マイクロソフトの最大危険度は「低」に設定されている。必要に応じてパッチを適用すればよいだろう。
ただし,現在公開されている Windows ME 用のパッチは決して適用してはいけない。米Microsoft は 11月8日付けで「Important Information Regarding MS01-054 and Windows ME(MS01-054とWindows MEに関係する重要な情報)」という題名のメールを配信し,「ME 用のパッチには問題があるので適用してはいけない」との注意を呼びかけている(Windows 98 と XP用パッチは問題無し)。そして,米MicrosoftのWebサイトからはパッチが削除されている。
ところが,信じられないことに日本語のWebサイトには,問題があると思われる日本語版Windows ME用のパッチが11月12日昼まで掲載されていた。ダウンロードしたものの,まだ適用していないユーザーは,決して適用しないように注意してほしい。
適用してしまった場合の回避策は,上述の米Microsoftのメールによれば,「%windir%\system(通常はc:\windows\system)フォルダで,“regsvr32 upnp.dll”を実行し,リブートする」ことであるという(原文は“Customers who are experiencing problems as a result of the Windows ME patch can go to the %windir%\system directory and run "regsvr32 upnp.dll" (no quotes). Reboot. ”)。
マイクロソフトからは情報が提供されていない。しかし,修正プログラムの不具合については無償で応じてくれるとのことなので,不明な点は同社に問い合わせるとよい。
サポート技術情報でドキュメント公開が1件
サポート技術情報では,注目すべきドキュメントが1件公開された。「[IIS]INFO: URLScan セキュリティ ツールについて」である。内容は,米Microsoftから9月13日にリリースされた,ISAPI フィルタの一種であるセキュリティ・ツール「URLScan」の概要を説明したものである。
「URLScan」は,Internet Information Server/Services(IIS)サーバーに送信された URL リクエストを一度遮り,管理者が設定した規則に基づき通過させるというセキュリティ・ツールである([関連記事])。規則を的確に設定すれば,ファイアウオールをすり抜ける,ポート番号80経由のアタックを防御できる。つまり,Code Red や Nimda などの,最近頻発しているワームのアタックを防げる。
米Microsoftが公開した「URLScan」は日本語版環境でも動作可能である。しかしながら,マイクロソフトではその動作を保証せず,日本語ドキュメントも存在しなかった。やっと今回,公式の日本語ドキュメントが登場した。ただし,「URL Scan」の日本語版については近日公開としている。
「URL Scan」日本語版は,Windows製品のセキュリティを高める「Microsoft Security Tool Kit」日本語版に,「Hfnetchk」,「IIS Lockdown Tool」と合わせて収録される予定のツールである。「Hfnetchk」については日本語版が公開されているが,「URL Scan」と「IIS Lockdown Tool」は公開が延期されている。日本語版の正式公開前ではあるが非常に有益なツールである。システム管理者はチェックしておこう。
マイクロソフト セキュリティ情報一覧
『Internet Explorer』
◆(MS01-055)Internet Explorer の Cookie データが,スクリプトを介し漏えいまたは変更される
(2001年11月9日:日本語情報公開&修正パッチ無し,最大危険度 : 高)
『Windows NT 4.0 または Windows 2000 のターミナル サーバー』
◆(MS01-052)無効な RDP データが Terminal Service を異常終了させる
(2001年11月7日:NT Server 4.0, Terminal Server Edition の日本語版修正パッチ公開,最大危険度 : 中)
『Windows 98/98SE/ME/XP』
◆(MS01-054)無効なユニバーサル プラグ アンド プレイのリクエストがシステムのオペレーションを妨害する
(2001年11月2日:日本語情報&修正パッチ公開,11月12日:ME用パッチの公開取りやめ,最大危険度 : 低)
サポート技術情報
◆[IIS]INFO: URLScan セキュリティ ツールについて (2001年10月22日最終更新)
山下 眞一郎(Shinichiro Yamashita)
株式会社 富士通南九州システムエンジニアリング
第二ソリューション事業部システムサービス部 プロジェクト課長
yama@bears.ad.jp
「今週のSecurity Check [Windows編]」は,IT Proセキュリティ・サイトが提供する週刊コラムです。Windows関連のセキュリティに精通し,「Winセキュリティ虎の穴」を運営する山下眞一郎氏に,Windowsセキュリティのニュースや動向を分かりやすく解説していただきます。(IT Pro編集部)
