2000年8月に公開された,Excelのセキュリティ情報が更新された。しかし,Webサイトの情報を見る限りでは,更新内容が分からない。メールなどの情報から,どうやらExcel 97 の修正パッチを知らせるもののようであるが,同パッチは2001年4月に公開されているし,Excel 97 は事実上サポート対象外となっている製品である。情報提供は大歓迎だが,意図が分からない情報はユーザーの混乱を招く。このコラムでは何度も書いていることだが,できるだけ分かりやすく情報を提供してほしい。
また,「サポート技術情報」や「TechNet セキュリティ センター」では,Windows XP やInternet Explorer,ワームなどについての重要なドキュメントがいくつも公開されている。こちらについてもチェックしたい。
Excel のセキュリティ情報が更新
「マイクロソフト セキュリティ情報一覧」では,Excelに関するレポートがアップデートされた。
「Excel REGISTER.ID 関数の脆弱性」に対する対策
このセキュリティ・ホールを悪用すると,攻撃者は Excel 97/2000 ユーザーに対して,Excel のワークシート経由で,悪意のあるコードを実行させることが可能になる。その際,Excel からユーザーへ警告などは発せられない。
このセキュリティ・ホールは,ワークシート関数のひとつである「REGISTER.ID」に問題があることが原因である。Excel のワークシート内で REGISTER.ID 関数を使用すると,システムに存在するすべての DLL(ダイナミック・リンク・ライブラリ) をユーザーに警告することなく呼び出して,実行することができてしまう。つまり,攻撃対象とするユーザーに不正なDLLをあらかじめ送るなどしておき,その後,そのDLLを呼び出すようなExcelのワークシートを開かせれば,対象ユーザーは被害を受けることになる。
悪用可能なセキュリティ・ホールではあるが,上記のように,間接的に悪用できるだけである。ネットワーク経由で直接攻撃できるような,危険度が最大のセキュリティ・ホールではない。アタックを成立させるためには,不正な DLL が攻撃対象ユーザーのマシン上に存在するか,UNC パス* でアクセスできるマシン上に存在する必要がある。
* UNC :Universal Naming Convention の略。ネットワーク上の共有フォルダや共有プリンタなどのリソース名の形式。例えば,「\\コンピュータ名\共有フォルダ名」と指定する。
何が更新されたのか?
セキュリティ・ホール自体は2000年7月(日本語情報は2000年8月)に公開されている。1年以上が経過した今になって,一体何が更新されたのだろうか。同情報のWebページを見ると,「登録日 : 2000/8/1」そして「更新日 : 2001/12/5」と記載されているが,残念ながら更新内容については記載されていない。
しかし,メールにて登録者に送信される「Microsoft プロダクト セキュリティ 警告サービス Update Security」の説明によれば,「Excel 97用の日本語版パッチが公開された」と明記されている。Excel 97/2000 の英語版パッチは 2000年7月に公開されており,日本語版パッチについては,Excel 2000用のみが 2000年8月 に公開されていた。メールで通知されたように,今回の更新は Excel 97用の日本語版パッチ公開を知らせるものと考えてよいのだろうか。
ところが,Excel 97用の日本語版パッチは既に公開されているのだ。Excel 97用の日本語版パッチが公開されているWebページである「Excel 97 セキュリティ アップデート: REGISTER.ID」の最終更新日は 2001年4月26日であり,少なくとも7カ月以上前に公開されていたことが分かる。念のために,現在公開されているExcel 97用の日本語版パッチを確認してみたところ, 電子署名の日付は 2001年4月18日であり,以前から公開されていたことを裏付けるものとなった。
もはや使えない Excel 97
「既に公開されているパッチを,なぜ今になってアナウンスしたのだろうか」---。前回のコラム同様,筆者は今回の更新の意味について考えようとした。しかし,途中で考えるのを止めてしまった。というのも,セキュリティの面で考えれば,Excel 97は事実上使えない製品になっているからだ。そんな製品に関して思いを巡らせても,時間の無駄である。
例えば,Excelに関連する最も新しいセキュリティ問題である「(MS01-050)不正な Excel または PowerPoint の文書がマクロのセキュリティを無視する」を見ても分かるように,Excel 97 についてはパッチが提供されないどころか,サポート対象外となっている。そのため,影響が発生するかどうかさえも不明としているのだ。
マイクロソフトのレポートからは,米Microsoftのサポート対象に関する見解(英語情報)へリンクが張られている。リンク先は,「CLIENT OPERATING SYSTEMS LIFECYCLE ANNOUNCEMENT(クライアント・オペレーティング・システムのライフサイクルに関する発表)」である。そのページでは,製品をセキュアに保つために不可欠な修正パッチ(Hotfix)のサポート期間に関してもコメントされている。
「Hotfix Availability End Date(Hotfix 公開の終了日)」の項において,Excel 97 については「Extended Hotfix Availability date(パッチのサポート終了日)」として“February 28, 2002”と記述されている。
Excel 97 は,前述の「MS01-050」の例からも分かるように,“事実上”パッチのサポート対象外となっている。そして,“正式な”アナウンスの上でも,まもなくパッチのサポートは終了する。つまり,Excel 97 はもはや使えない製品になってしまっているのだ。
なお,同ページのリストを見ると,Internet Explorer(IE) 5.01 が既にパッチのサポート対象外となっていることが分かる。IE 5.01 についても,バージョンアップが不可欠であることは明白だ。
同ページは日本語化はされていないものの,製品サポートに関するMicrosoftの公式見解であり,重要な情報であるため,必ずチェックしておこう。なお,日本語版については,特に古い製品の場合,パッチの提供が英語版に比べて遅れ気味になるので注意が必要だ。日本語版については,「リストの日付まではサポートしてもらえる」と考えるより,「サポートされる可能性はあるものの,日付よりも早くサポート打ち切りになる」と考えたほうがよいだろう。
IIS 5.1 と XP,Cookieのブロック機能に関するドキュメントが公開
「サポート技術情報」では,注目すべきドキュメントが3件公開された。
(1)「[IIS]IIS 5.1 の新機能」と(2)「Windows XP の再インストール,修復,またはアップグレードを行うとデータが失われることがある」,および(3)「[ブロックする]が選択されていても既存cookieを読取れる」である。
(1)では,Windows XP Professional に含まれるInternet Information Services(IIS)5.1 で加わった新機能を紹介している。興味がある読者はチェックしておこう。
(2)のドキュメントは,Windows XP の再インストール,修復,またはアップグレードを行う際に,データが消失する恐れがあるという重要な情報である([関連情報])。
消失する恐れがあるのは,(a)「All Users」フォルダに格納したデータや,(b)「Default Users」フォルダに格納されたプログラムのデフォルト・テンプレートや設定,並びに(c)[スタート] メニューのショートカット,[スタートアップ] 項目,ドキュメント,画像,音楽ファイル,または(d)「共有ドキュメント」フォルダに保存されたファイルである。重要な情報なので,ぜひ内容をチェックしておこう。
そして(3)には,IE 6 の新機能であるCookieのブロック機能に関する重要な情報が記載されている。
具体的には,Cookie をブロックするか,ダイアログを表示するように選択している場合でも,Cookie の作成元 Web サイトは,ダイアログを表示させずに,ユーザー・パソコンにその時点で保存されている Cookie を読み取ることができる場合があるという情報である。
これは,[プライバシー設定の詳細] ダイアログ・ボックスの [ブロックする] および [ダイアログを表示する] オプションの適用対象が,Web サイトによってはパソコンに新しくセットされる Cookie のみであるという“仕様”が原因である。設定にかかわらず,既存の Cookie については,その Cookie の作成元 Web サイトは読み取ることができてしまう。回避するためには,IE 6に移行した際に,パソコンに保存されている既存の Cookie をすべて削除する必要がある。
ワームと“深刻性”の評価に関するドキュメントも公開
「TechNet セキュリティ センター」では,ドキュメントが新規に2件公開された。(1)「GONE ワームに関する情報」と(2)「マイクロソフト セキュリティ情報で提供される『深刻性』の評価について」である。
(1)は,先週のコラムでもお知らせした ALIZ ワームや BadTrans.B ワームに引き続いて感染を拡大している「GONE」ワームに関するドキュメントである([関連記事])。
ALIZ や BadTrans.B ワームには,IE のセキュリティ・ホールを悪用する“巧妙さ”があり,同様のワームである Nimda の感染を運良く免れたユーザーが被害者になったと考えられる。
しかし,今回のGONE ワームの拡大は,全く理解できない。感染発病すると,主なウイルス対策ソフトや「ZoneAlarm」などのセキュリティ・ソフトを削除するというやっかいな面があるものの,メールやICQ のメッセージに添付されて送られてくる「GONE.SCR」ファイルを実行しない限り,決して感染しないという“素朴”なワームだからである。
欧州に比較すると,国内では感染してしまう割合が少ないようではあるが,それでも多くの感染事例が報告されている。これまでウイルス対応に追われてきたシステム管理者にすれば,こんな“素朴”なワームでも被害を受けるとなると,空しさに襲われることであろう。
セキュリティに関する啓蒙を地道に行い,個人の意識を高めることも重要であるが,それだけではなく
- サイトの入り口(ゲートウエイ)で一括してワームを遮断する仕組み
- 各パソコン上のウイルス対策ソフトのパターン・ファイルを自動で更新する仕組み
- ユーザーがワーム・ファイルを誤ってクリックしても感染しない仕組み
1 については,ゲートウエイ用ウイルス対策ソフトの利用などが挙げられる。2 については,多くのウイルス対策ソフトが備えている機能である。パターン・ファイルの更新については,過去に危険な事例があったものの,ウイルスによる被害を考えれば,更新は不可欠だ。
3 については,このコラムで何度もお知らせしている通り,セキュリティアップデートなどを適用することが対応する。
Outlook 2000の場合,「Office 2000 Service Release 1(SR-1)」を適用した後,「Outlook 2000 SR-1 アップデート: 電子メール セキュリティ (更新版)」を適用することで,ユーザーが誤ってウイルス・ファイルをクリックした場合でも感染を防止できる。
なお,Outlook 2002 を使用している場合,もしくは「Office 2000 Service Pack 2」を既に適用している場合には,「Outlook 電子メール セキュリティアップデート」を適用する必要はない。
(2)の「マイクロソフト セキュリティ情報で提供される『深刻性』の評価について」は,「(MS01-052)無効な RDP データが Terminal Service を異常終了させる」の情報からようやく明記されるようになった“危険度”に関する解説である。ぜひ内容をチェックしておこう。
マイクロソフト セキュリティ情報一覧
『Excel』
◆(MS00-051)「Excel REGISTER.ID 関数の脆弱性」に対する対策
(2001年12月05日:この問題に対する Excel 97 の日本語版修正パッチ公開)
サポート技術情報
◆[IIS]IIS 5.1 の新機能 (2001年12月 3日公開)
◆Windows XP の再インストール,修復,またはアップグレードを行うとデータが失われることがある (2001年12月2日公開)
◆[ブロックする]が選択されていても既存cookieを読取れる (2001年11月28日公開)
TechNet セキュリティ センター
◆GONE ワームに関する情報 (2001年12月5日公開)
◆マイクロソフト セキュリティ情報で提供される 「深刻性」 の評価について (2001年12月5日公開)
山下 眞一郎(Shinichiro Yamashita)
株式会社 富士通南九州システムエンジニアリング
第二ソリューション事業部システムサービス部 プロジェクト課長
yama@bears.ad.jp
「今週のSecurity Check [Windows編]」は,IT Proセキュリティ・サイトが提供する週刊コラムです。Windows関連のセキュリティに精通し,「Winセキュリティ虎の穴」を運営する山下眞一郎氏に,Windowsセキュリティのニュースや動向を分かりやすく解説していただきます。(IT Pro編集部)
