マイクロソフトは,同社のセキュリティに対する取り組み「ストラテジック テクノロジー プロテクション プログラム」の一環として,「ブラウザのセキュリティ チェック」を1月4日に公開した。現在使用している Internet Explror(IE)に,パッチが必要かどうかを確認できる。しかし,「このページではどのセキュリティ・ホール(パッチ)をチェックしているのか」,「そのセキュリティ・ホールによる影響は何か」などについては一切記載されておらず,十分とは言えない。過去のコラムでも何度か指摘しているように,情報公開を徹底してもらいたいものだ。

 また,上記の話題に併せて,今回のコラムでは,年末年始に公開されたセキュリティ情報についてもまとめた。ぜひチェックしてほしい。

情報公開を進めるマイクロソフト,歓迎すべきだが不十分

 マイクロソフトは,2001年10月に発表した同社のセキュリティ対策プログラム「ストラテジック テクノロジー プロテクション プログラム(Strategic Technology Protection Program:STPP)」を進めている([関連記事])。このSTPPには,「問題発生前におけるユーザーへの十分な情報の公開と注意の喚起を積極的に行っていく」という方針が含まれており,実際同社は注力しているようだ。

 例えば,2001年12月に公開された,ユニバーサル プラグ アンド プレイ(UPnP)のセキュリティ・ホールの情報(詳細については後述)に関しては,単に「セキュリティ情報」を提供するだけではなく,「ユニバーサル プラグ アンド プレイ (UPnP)に関するセキュリティ情報について」という,分かりやすい情報を「ホームユーザー向け セキュリティ対策 早わかりガイド」で公開している。

 しかし,こうした歓迎すべき積極的な情報公開への動きの中で,首をかしげたくなるような状況が残っているのも事実である。

 具体的には,2002年1月7日に「セキュリティに関する緊急情報」という題名で,マイクロソフトから送られてきたメールについてである。内容は,Passportユーザーに向けて,利用中のIEにパッチが必要かどうかを確認するWebページ「ブラウザのセキュリティ チェック」の閲覧を強く勧めるものであった。

 そのページでは,ユーザーから送られるブラウザ情報等で,確かに何らかのチェックを行っているようだ。問題がない場合には,「お使いのブラウザには,既にセキュリティ問題の修正プログラムがインストールされています。今回は,特に必要な更新はありません」と表示される。

 閲覧するだけで,IEのセキュリティをチェックしてくれるので,一見便利そうではある。しかし,過去に多数発見されているIEのセキュリティ・ホールの中で,「このページでは,どのセキュリティ・ホール(パッチ)をチェックしているのか」,「そのセキュリティ・ホールを放置しておくと,どのような影響を受けるのか」---などについては,一切記されていない。このページを紹介するために送られてきたメールには「セキュリティ問題に関する詳しい情報」として,「2001 年 11 月 13 日 Internet Explorer 用の累積的な修正プログラム(MS01-055)」へのリンクが紹介されているだけである。非常に不親切である。

チェック対象はPassportのセキュリティ・ホールか?

 チェックの対象となっているセキュリティ・ホールは何であろうか。「MS01-055」で思い出されるのが,過去のコラムで筆者が「意図的に隠された?」と指摘した,Passportのセキュリティ・ホールである。このセキュリティ・ホールを悪用されると,Cookie データを盗まれることにより,個人情報を含む「eWallet」の情報を奪われる恐れがある。

 「ブラウザのセキュリティ チェック」を紹介するメールがPassportユーザーを対象としていること,そしてそのメールでは,「MS01-055」を紹介していることから,上記のセキュリティ・ホールが対象になっていることは間違いないであろう。

 しかし,どうしてセキュリティ・ホールの内容とその影響度を明確に説明しないのであろうか?説明することで,何か不都合があるのだろうか?理解しがたい。

 また,「ブラウザのセキュリティ チェック」の存在も「Microsoft .NET Passport: 簡単,便利で安全にサインイン & オンライン ショッピング」という,Passportユーザー向けのトップページからは分からない。こうしてみると,Passportのセキュリティ・ホールに関しては,マイクロソフトが方針として掲げている「十分な情報の公開」とはかけ離れた状況である。ぜひ,情報公開を徹底してほしい。

UPnPにセキュリティ・ホール,特にXPユーザーはパッチ適用を

 次に,年末年始に公開されたセキュリティ情報を解説する。既に対応を済ましている情報もあるだろうが,改めてチェックしてほしい。

 各種クライアント・アプリに関する情報としては,「マイクロソフト セキュリティ情報一覧」にて,新規情報および日本語版パッチが1件公開された。

ユニバーサル プラグ アンド プレイに含まれる未チェックのバッファによりシステムが侵害される (MS01-059)

  Windows ME または XP を使用している場合,もしくはWindows 98/98SE に 「Windows XP インターネット接続共有クライアント」を組み込んでいる場合,バッファのオーバーラン攻撃により,任意のコードが実行される恐れや,DoS(サービス妨害)攻撃を受ける恐れがある,非常に深刻なセキュリティ・ホールである。既に公開されている修正パッチを適用すれば回避できる([関連記事])。

 ユニバーサル プラグ アンド プレイ (UPnP) とは,ネットワークにパソコンや周辺機器などを接続するだけでお互いを自動認識し,通信を可能にするサービスである。Windows ME や XP には標準で含まれる。Windows 98 または 98SE は標準では UPnP 機能を含まないものの,Windows XP に同梱されている「インターネット接続共有クライアント」を組み込むことで,UPnPの利用が可能になる。

 Windows XPの場合には,UPnP を利用しているかどうかにかかわらず,セキュリティ・ホールの影響を受ける。そのため,Windows XP ユーザーは直ちにパッチを適用しよう。

 Windows ME および Windows 98/98SE において,修正パッチを適用できない場合は,UPnP 機能を無効にする。また,ファイアウオールや境界ルータ(エッジ・ルータ)等にてポート 1900 および 5000 をブロックすることでも,外部からの攻撃を回避できる。

 このセキュリティ・ホールに関しては,「セキュリティ情報一覧」のページだけではなく,「ホームユーザー向け セキュリティ対策 早わかりガイド」でも解説されている。同ガイドは,画面写真を多数載せて,設定方法やパッチの公開状況,適用方法などを分かりやすく説明しているページである。

 同ガイドに「ユニバーサル プラグ アンド プレイ (UPnP)に関するセキュリティ情報について」というページが追加され,このセキュリティ・ホールを解説している。Windows ME/98/98SE ユーザー向けに,「UPnP をインストールしているかどうか」,「起動しているかどうか」の確認方法も分かりやすく記載しているので,ぜひチェックしておこう。

 なお,「ホームユーザー向け セキュリティ対策 早わかりガイド」には,Windows XP と Windows 2000 Professionalに関する情報も追加されている。併せてチェックしておきたい([関連記事])。

SQL Serverにセキュリティ・ホール,日本語版パッチは公開済み

 各種サーバー・アプリに関する情報としては,「マイクロソフト セキュリティ情報一覧」にて,SQL Serverについてのセキュリティ・ホール情報と日本語版パッチが公開された。

SQL Server テキスト フォーマット機能が未チェックのバッファを含む (MS01-060)

 情報は1件だが,内容は2つのセキュリティ・ホールを含んでいる。SQL Server 7.0 および SQL Server 2000 において,データベースへのクエリーがテキスト・メッセージを生成できる「テキスト フォーマット機能」を使用している場合,任意のコードが実行されたり,DoS攻撃を受けたりする可能性がある。2つのセキュリティ・ホールに対して,日本語版パッチがそれぞれ公開されているので,そのパッチを適用すれば回避できる。

 1つ目のセキュリティ・ホールは,「テキスト フォーマット機能」が,リクエストされたテキストを保存するためのバッファ・サイズを適切にチェックしないことが原因である。悪用されると,バッファのオーバーランを引き起こされ,SQL Server サービスのセキュリティ・コンテキストでコードが実行されたり,サービスを異常終了されたりする恐れがある。

 2つ目のセキュリティ・ホールは,Windows NT 4.0/2000/XP にインストールされている,SQL Server の機能が呼び出す「C ランタイム機能」に原因がある。C ランタイム機能のある関数は,入力されたテキストを適切にチェックしない。そのため,入力テキストによっては,バッファ・オーバーランを引き起こされる恐れがある。しかし,任意のコードを実行されることはないので,DoS攻撃を受けるに留まる。

 これらの 2 つのセキュリティ・ホールは,どちらも SQL Server が対象であるものの,異なる原因によって発生するため,それぞれに別の修正パッチが存在する。

 1つ目のセキュリティ・ホールを悪用するには,攻撃者は,対象とするデータベースにクエリーを発行できなければならない。そのため,攻撃者はある程度限定される。しかし,悪用を許した場合には,任意のコードを実行されてしまう恐れがあるので,深刻である。SQL Server 管理者は速やかにパッチを適用しよう。なお,SQL Server 7.0 の場合は Service Pack 3 の適用が,SQL Server 2000の場合には Service Pack 1 の適用がパッチの前提条件である。

 2つ目のセキュリティ・ホール用のパッチは,C ランタイムの「フォーマット文字列表示関数」が,入力テキストを適切にチェックするように修正を加えるものだ。Windows NT 4.0 の場合は Service Pack 6a の適用が,Windows 2000 の場合は Service Pack 1 または 2の適用が前提条件となる。しかし,C ランタイムは,OSで重要な役割を果たすことと,セキュリティ・ホールの影響度がやや低いことから,マイクロソフトでは適用の必要があるかどうかを慎重に検討することを推奨している。FAQである「マイクロソフト セキュリティ情報 (MS01-060) : よく寄せられる質問」にもこの点については記載されているので,参考にするとよい。

「TechNet Online セキュリティ」ではドキュメントが3件公開

 「TechNet Online セキュリティ」では,ドキュメントが3件公開された。(1)「sulfnbk.exe」に関するデマ・メールを説明した「sulfnbk.exe に関する情報」[関連記事]),(2)長期休暇に入る前に,ウイルスなどの影響から守るための処置を解説した「年末年始のセキュリティ対策について」[関連記事]),そして(3)クリスマス・シーズンに合わせて出現したワーム(ウイルス)を説明した「Maldal.C ワームに関する情報」である。

 (1)で説明されているように,デマ・メールにおいてウイルス・ファイルだと指摘されている「sulfnbk.exe」は,Windows ME または 98/98SE に含まれ,Windows 95/NT/2000/XP には含まれない。また,もし誤って削除した場合も,OS が起動しなくなることはなく,再インストールの方法も(1)に記載されている。慌てることなく,冷静に対処すればよい。

 (2)では,今回紹介した UPnP のセキュリティ・ホールをふさぐパッチを適用することと,IEを 5.5 SP2 あるいは 6(最少構成以外)にバージョン・アップし「MS01-058」の修正パッチを適用すること([関連記事])の重要性を解説している。長期の休暇に入る前に必要な対策が明確で,非常に分かりやすい内容となっている。ぜひ一読してほしい。



マイクロソフト セキュリティ情報一覧

『Windows 98 / 98SE / ME / XP』
ユニバーサル プラグ アンド プレイに含まれる未チェックのバッファによりシステムが侵害される (MS01-059)
 (2002年 1月 9日:「問題を緩和する要素」 への追加項目の記載[ICF はユニキャストを使用する攻撃に対し効果的で,ICS はホーム ネットワークの内部にあるマシンを保護します],及びUPnP サポートを無効にすることに関する情報を追加公開,最大危険度 : 高)
 (2001年12月27日:この修正パッチがサービス拒否のシナリオを排除する方法に関する詳細情報を追加公開,最大危険度 : 高)
 (2001年12月21日:日本語情報&日本語版修正パッチ公開,最大危険度 : 高)

『SQL Server』
SQL Server テキスト フォーマット機能が未チェックのバッファを含む (MS01-060)
 (2002年 1月 9日:ダウンロード センターに Windows XP 用の C ランタイムの修正パッチのページが作成され情報中のリンクが変更[修正パッチには変更無し]/及び,影響を受けるソフトウェアに MSDE を加えた情報を追加公開,最大危険度 : 中)
 (2001年12月21日:日本語情報&日本語版修正パッチ公開,最大危険度 : 中)

TechNet Online セキュリティ

sulfnbk.exe に関する情報 (マイクロソフト:2002年 1月10日)

年末年始のセキュリティ対策について (マイクロソフト:2001年12月25日)

Maldal.C ワームに関する情報 (マイクロソフト:2001年12月21日)


山下 眞一郎(Shinichiro Yamashita)
株式会社 富士通南九州システムエンジニアリング
第二ソリューション事業部システムサービス部 プロジェクト課長
yama@bears.ad.jp


 「今週のSecurity Check [Windows編]」は,IT Proセキュリティ・サイトが提供する週刊コラムです。Windows関連のセキュリティに精通し,「Winセキュリティ虎の穴」を運営する山下眞一郎氏に,Windowsセキュリティのニュースや動向を分かりやすく解説していただきます。(IT Pro編集部)