Internet Explorer(IE)の新しいセキュリティ・ホールが2月22日にまたもや公開された。ユーザーはパッチの適用や設定変更で回避する必要がある。また,過去のアタックを参考に,IEのセキュアな設定方法についてまとめたので,ぜひ参考にしていただきたい。Commerce Server や SQL Server にも深刻なセキュリティ・ホールが見つかっているので,管理者は早急にパッチを適用する必要がある。
ファイルを読み取られるセキュリティ・ホールが相次ぐ
Windows関連のセキュリティ・トピックス(2002年2月23日時点分)を,各プロダクトごとに整理して解説する。まず,クライアント・アプリケーション関連では,IEのセキュリティ・ホール情報が2件公開された。そのうち1件は日本語版パッチが公開されている。
(1)Internet Explorer の不正な VBScript 処理により Web ページがローカル ファイルを読み取る (MS02-009)
IE 5.01/5.5/6 において,ある特定のスクリプトが仕掛けられたWebページやHTMLメールを表示した場合,パソコン内のファイルを読み取られる恐れがあるセキュリティ・ホールだ。その結果,パスワードやクレジット・カード番号といった個人情報を盗まれる可能性がある(関連記事)。
最大深刻度は「高」である。日本語版パッチが公開されているので,至急適用する必要がある。パッチの適用条件は,IE 5.01 用の場合はService Pack 2(SP2)を適用済みのWindows 2000であること,IE 5.5 用はIE 5.5 SP1 または SP2を適用済みであること。IE 6 用の場合は,適用条件はない。
このセキュリティ・ホールは,IE がVBScript を処理する方法に起因する。セキュリティ・ホールを悪用すれば,あるドメインのスクリプトが,フレームで区切られたほかのドメインのコンテンツにアクセスできてしまう。また,ユーザーのローカル・マシン上のファイルを盗まれる恐れがある。さらに,攻撃者のWebサイトを閲覧した後に訪れたサイトでユーザーが入力した情報などを,読み取られる恐れもある。
ただし,攻撃はファイルの読み取りにとどまる。ファイルの作成や削除,変更および実行はできない。また,読み取ることができるファイルの種類は,HTML ファイルや画像ファイル,テキスト・ファイルといった,Webブラウザで表示可能ものに限られる。
このセキュリティ・ホールは,ハンガリーIvy Hungary社のZentai Peter Aron氏が発見したものであり,「Hungarian discovery: a new security gap in Internet Explorer」に概要が記載されている。
パッチの未公開のセキュリティ・ホールは設定変更で
(2)XMLHTTP コントロールにより,ローカル ファイルにアクセスすることができる (MS02-008)
IE 6 あるいは Windows XP,SQL Server 2000 のいずれかを導入している環境において, IEを使って,ある特定のスクリプトが仕掛けられたWebページを閲覧した場合,ローカル・システムの情報を取得される恐れがある。なお,(1)同様,ファイルを読み取られる以外の被害は受けない。
IE 6/Windows XP/SQL Server 2000 に含まれる「Microsoft XML Core Services(MSXML)」のバージョン 2.6,およびそれ以降に不具合があることが原因である。MSXMLに含まれる「XMLHTTP コントロール」が,IE のセキュリティ ゾーンに従わない。
なお,MSXML は市販のアプリケーション・ソフトに含まれている場合もあるので注意が必要である。知らない間にインストールされている可能性がある。「c:\windows」または「c:\winnt」に存在する「system32」ディレクトリ内に,「MSXML2.DLL(8.0.6518.1 以降)」「MSXML3.DLL(7.50.5108.0 以降)」「MSXML4.DLL(4.0.9004.0 以降)」のいずれかが存在する場合には影響を受ける。チェックしておこう。
英語版パッチは公開されたものの,日本語版パッチはまだ公開されていない。Windows XPおよびIE 6を利用している場合の回避方法が,「MS02-008 に関する情報」に記載されているので,ユーザーは対応したい。具体的には,IEのインターネット・オプションの「セキュリティ設定」において,それぞれのゾーンで,ActiveX コントロールとプラグインの項の「スクリプトを実行しても安全だとマークされている ActiveX コントロールのスクリプトの実行」を無効にする。
ただし,「MS02-008 に関する情報」の「注意」の欄に記載されているように,設定を変更するとWindows Updateを使用できなくなる。そのため同欄には,「修正モジュールの準備ができましたら本設定を戻し,[スクリプトを実行しても安全だとマークされている ActiveX コントロールのスクリプトの実行]を[有効にする]を選択してください」と記載されている。
だが,これはセキュリティの観点からは明らかに誤りである。なぜならば,「ActiveX コントロールとプラグイン」は,非常に便利な反面,非常に危険だからである。たとえ「MS02-008」のパッチ(修正モジュール)をマイクロソフトが準備したとしても,この設定は無効のままのほうがよい。
これ以外にも,いくつか“お勧め”の設定がある。いずれも,過去の様々なアタック手法から判断したものだ。IEをセキュアに使い続けるために,ぜひ実践していただきたい。
IEを使い続けるための“お勧め”設定(powered by 「今週のSecurity Check」)
- IE のインターネット・オプションの「セキュリティ設定」において,インターネット・ゾーンとイントラネット・ゾーンの「ActiveX コントロールとプラグイン」の項は,すべて無効にする
- 同様に,「Microsoft VM」と「スクリプト」の項もすべて無効にする
- IEのインターネット・オプションの「詳細設定」において,「マルチメディア」の項の「Web ページのアニメーションを再生する」「Web ページのサウンドを再生する」「Web ページのビデオを再生する」のチェックをすべて外す
もちろん,現在公開されているIEのセキュリティ・パッチをすべて適用することが前提条件だ。
どうしてもWindows Updateを使用したい場合には,「信頼済みのサイト」に「windowsupdate.microsoft.com」(Windows XPの場合は「*.windowsupdate.microsoft.com」)を登録するとともに,信頼済みのサイトでは「ActiveX コントロールとプラグイン」の項を有効(デフォルトは有効)にすればよい。ただし,これは自己判断で行ってほしい。
なお,「MS02-008」のセキュリティ・ホールは,既に見つかっていたものだ。前回のコラムで,「IEの既知のセキュリティ・ホールのうち,解消されていないものが複数存在する」と書いたが,そのなかの一つである。今回一つ解消されたが,解消されていないセキュリティ・ホールは依然存在する。そのため,今回のコラムで紹介した設定を参考にして,身を守っていただきたい。
また,信用できないWebサイトの閲覧には,他のWebブラウザを使用することも有効である。ただし,セキュリティ情報の公開や対応の速さについては,マイクロソフトに劣るベンダーは多い。セキュリティ・ホールがベンダーから公開されていないだけで,攻撃者には知れわたっているかもしれない。「IE以外ならば安全」と盲信することは禁物だ。
筆者自身は,上記の“お勧め”設定とすべてのパッチを施したIE 6を,いつもは使用している。ただし,スクリプトを有効にしていないと閲覧できない場合には,設定変更でJava機能を無効化した「Netscape 6.2.1」(現在の最新版)を使用している。
Commerce Server 2000にセキュリティ・ホール
各種サーバー・アプリケーション関連でも,深刻なセキュリティ・ホールが2件公開され,同時に日本語版パッチも公開された。管理者は早急に対応してほしい。
(1)ISAPI フィルタの未チェックのバッファにより,Commerce Server が攻撃を受ける (MS02-010)
Commerce Server 2000において,ISAPI フィルタを使用して認証を行っている場合には,攻撃者から選択されたコードがLocalSystem 特権で実行されたり,DoS(サービス妨害)攻撃を受けたりする恐れがある。極めて深刻なセキュリティ・ホールである。
当初日本語版パッチは公開されていなかったものの,情報公開の翌日には,土曜日であったにもかかわらずパッチが公開された。このことからも,深刻さが想像できるだろう。至急パッチを適用して,影響を回避する必要がある。なお,パッチの適用条件は,Commerce Server 2000 Service Pack 2を適用済みであること。
ISAPIフィルタ中の,特定の認証リクエストを処理するコードに,未チェックのバッファが含まれることが原因である。なお,ISAPI フィルタはデフォルトで組み込まれるが,Microsoft 管理コンソール (MMC) の Commerce Server マネージャを使用して有効にしなければロードされない。そのため,明示的に有効にしている場合のみ影響を受ける。
今回のセキュリティ・ホール対策として,セキュリティ・ツール「URLScan」の使用もある程度有効である。しかし,万全とはいえず,DoS攻撃を受ける恐れは依然として残る。やはり,パッチの適用は不可欠である。
SQL Serverにもセキュリティ・ホール
(2)SQL Server のリモート データ ソース関数に未チェックのバッファが含まれる (MS02-007)
SQL Server 7.0およびSQL Server 2000を使用している場合には,攻撃者から選択されたコードがSQL Serverのセキュリティ・コンテキストで実行されたり,DoS攻撃を受けたりする恐れがある。
日本語版パッチが公開されているので,早急に適用する必要がある。パッチの適用条件は,SQL Server 7.0 の場合は SQL Server 7.0 SP 3 を,SQL Server 2000 の場合は SQL Server 2000 SP 2を適用済みであること。
リモート・データ・ソースへの接続に「ad hoc」接続を許可した場合,OLE DB プロバイダ名の処理に,未チェックのバッファが存在することが原因である。信頼できないユーザーからの接続を許している場合,今回のセキュリティ・ホールを突くクエリーを直接送信される恐れがある。また,検索機能などを提供するために,ユーザー入力を基にクエリーを作成するWebサイトでは,入力を“工夫”されることで,セキュリティ・ホールを悪用される恐れがある。
今回のようなセキュリティ・ホールの影響を事前に防ぐためにも,信頼されないユーザーからのクエリーを拒否することと,すべてのクエリーを処理前にチェック(フィルタリング)することが,最低限必要であろう。
「TechNet Online セキュリティ」ではドキュメントが2件
「TechNet Onlineセキュリティ」では,ドキュメントが2件公開された。(1)「企業セキュリティのベスト プラクティス」と(2)「Microsoft Exchange による SMTP 中継処理の制御」である。
(1)は,企業ネットワークのセキュリティに焦点を当てた各種ホワイト・ペーパーへのリンク集である。各種ホワイト・ペーパーを,「セキュリティ概説」「セキュリティ入門」「セキュリティ ベスト プラクティス」の3つにグループ化して,アクセスしやすいように工夫している。
ただし英語情報が多く,リンクが張られているペーパーの半分ほどしか日本語化されていない。同ページでは,それぞれ個人の経験と興味に応じて見てほしいとしているが,まずは日本語化が完了している「セキュリティ入門」を中心にチェックすればよいだろう。
(2)は,SMTP 中継処理の概要と危険性,そしてExchange における不正な中継処理をブロックする手法に関する情報である。インターネット上でSMTP中継機能をオープンにしているExchangeサーバーはないとは思うが,管理者はドキュメントに基づいて念のためにチェックしておこう。
マイクロソフト セキュリティ情報一覧
『Internet Explorer』
◆(MS02-009) Internet Explorer の不正な VBScript 処理により Web ページがローカル ファイルを読み取る
(2002年2月22日:日本語情報&パッチ公開,最大深刻度 : 高)
◆(MS02-008) XMLHTTP コントロールにより,ローカル ファイルにアクセスすることができる
(2002年2月22日:日本語情報公開,最大深刻度 : 高)
『Commerce Server 2000』
◆(MS02-010) ISAPI フィルタの未チェックのバッファにより,Commerce Server が攻撃を受ける
(2002年2月22日:日本語情報公開,最大深刻度 : 高)
(2002年2月23日:Commerce Server 2000 用の日本語版修正パッチ公開,最大深刻度 : 高)
『SQL Server』
◆(MS02-007) SQL Server のリモート データ ソース関数に未チェックのバッファが含まれる
(2002年2月21日:日本語情報&パッチ公開,最大深刻度 : 中)
TechNet Online セキュリティ
◆企業セキュリティのベスト プラクティス (マイクロソフト)
◆Microsoft Exchange による SMTP 中継処理の制御 (マイクロソフト)
山下 眞一郎(Shinichiro Yamashita)
株式会社 富士通南九州システムエンジニアリング
第一ソリューション事業部 ネットソリューション部 プロジェクト課長
yama@bears.ad.jp
「今週のSecurity Check [Windows編]」は,IT Proセキュリティ・サイトが提供する週刊コラムです。Windows関連のセキュリティに精通し,「Winセキュリティ虎の穴」を運営する山下眞一郎氏に,Windowsセキュリティのニュースや動向を分かりやすく解説していただきます。(IT Pro編集部)
