マイクロソフトからは公表されていない,Internet Explorer(IE)のセキュリティ・ホールがまたもや明らかにされた。当然パッチは公開されていないので,設定変更で対応する必要がある。新しいセキュリティ・ホールが次々と見つかるために,先月紹介した“お勧め”設定ではもはや対応しきれない。新たなお勧め設定をまとめたので,参考にしてほしい。

ファイルを勝手に実行するセキュリティ・ホール

 セキュリティ・ベンダーであるラックは3月18日,IE 6 のセキュリティ・ホールを公開した。同社の「SecureNet Serviceチーム」により発行されたアドバイザリ「SNS Advisory No.48 Microsoft Internet Explorer 6 Still Download And Execute ANY Program Automatically」で明らかにされた(関連記事)。

 マイクロソフトからは,このセキュリティ・ホールに関する情報やパッチは公開されていない。ラックでは2月13日に米Microsoftに通知したものの,30日間経過後も情報が提供されなかったので,セキュリティ・ホールの存在を公開したという。ただし,セキュリティ・ホールの詳細については明らかにしていない。

 ラックのアドバイザリによると,IE 6 には,Webページを閲覧しただけでファイルを自動的にダウンロードして,実行してしまう問題があるという。非常に深刻なセキュリティ・ホールであり,第二の“Nimda騒動”が発生する恐れさえある。

 このセキュリティ・ホールは,過去のすべてのパッチを適用しても対応できない。唯一の回避策は,IEの「インターネットオプション」メニューから,ユーザー自身が必要と思うゾーンに対して,「ファイルのダウンロード」を無効にすることとしている。マイクロソフトからのパッチ公開といった,根本的な対応がなされるまでは,設定変更を徹底しよう。

 なお,ラックのアドバイザリに対して,米Microsoftは「Inaccurate Claims Regarding IE Security Vulnerability」(英語情報,「IEのセキュリティぜい弱性に関する不正確なクレーム」)という反論を,同社の「TechNet Online」Securityコーナーに掲載した。【3月27日 IT Pro注記】米Microsoftは上記反論の掲載を中止した。現時点では同ページにアクセスできない。

 米Microsoftによると,ラックの指摘では「2001 年 12 月 13 日 Internet Explorer 用の累積的な修正プログラム (MS01-058)」のパッチでは取り除けないセキュリティ・ホールがあるとしているが,それは誤りであるという。あるサード・パーティの「media player」がインストールされている場合のみ問題が再現されるので,IE やセキュリティ・パッチとは関係がないとしている。

 しかし,米Microsoftの主張が正しいとしても,ユーザーにとっては関係がない。IE そのものの問題であろうがなかろうが,IE を使用している環境で問題が発生することが重要なのだ。

IEの“新”お勧め設定

 今回のセキュリティ・ホールと,前回のコラムで紹介した「GreyMagic Security Advisory GM#001-IE」が公開されたことで,前々回のコラムで紹介した“お勧め”設定では対応しきれなくなった。そこで,最新のお勧め設定を以下に示す。

◆IEを使い続けるための“お勧め”設定 2002年3月27日版(powered by 「今週のSecurity Check」)

  1. IE の「インターネット オプション」の「セキュリティ設定」において,インターネット・ゾーンとイントラネット・ゾーンの「ActiveX コントロールとプラグイン」の項を,すべて無効にする
  2. 同様に,「Microsoft VM」と「スクリプト」の項をすべて無効にする
  3. 同様に,「ダウンロード」の項の「ファイルのダウンロード」を無効にする(IE 6のみが対象。今回追加)
  4. レジストリを変更して,「マイ コンピュータ・ゾーン」の「未署名の ActiveX コントロールのダウンロード」を自動で実行されないように設定する(今回追加)。具体的には,「regedit」コマンドを使用し,キー「HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0」の「1004」(未署名の ActiveX コントロールのダウンロード)のDWORDの値を,「0」(与えられたアクションを許可)から「3」(与えられたアクションを禁止)に変更する
  5. IE の「インターネット オプション」の「詳細設定」において,「マルチメディア」の項の「Web ページのアニメーションを再生する」,「Web ページのサウンドを再生する」,「Web ページのビデオを再生する」のチェックをすべて外す

 もちろん,現在公開されているIEのセキュリティ・パッチをすべて適用することが前提条件だ。

 ただし,ここまで機能を制限すると,閲覧できないサイトが多くなることも事実だ。そのため,頻繁に訪れるWebサイトをすべて「信頼済みサイト・ゾーン」に登録して,閲覧を可能にしようとするユーザーも多いだろう。

 しかし,安易に信頼済みサイト・ゾーンにサイトを加えてはならない。そのWebサイト自身に悪意がなくても,最近指摘が相次いでいる「クロスサイト・スクリプティング」のぜい弱性があった場合,信頼済みサイト・ゾーンで許している動作を,攻撃者から自由に行われる恐れがあるからだ。

 そのため,スクリプトを有効にしないと閲覧できない場合や,ファイルのダウンロードが必要な場合には,Java機能を無効にした「Netscape」の最新版を使用することをお勧めしたい。

 以前のコラムでは,「Netscape 6.2.1 日本語版」を紹介したが,現在の最新版は「Netscape 6.2.2 英語版」である。3月21日にリリースされている。日本語版OSでも使用可能である。

 バージョンアップの内容については,英語情報の「Netscape 6.2 - 6.2.2 Release Notes」に記載されている。ただし,この情報に記載されている「Security」の項は,6.2.2そのものとは直接関係がないようだ。英語情報の「Netscape Security Center」を見ると,Netscapeに同こんされている「Sun JRE (Java Runtime Environment)」の問題であることがわかる。6.2.2 に含まれる Sun JRE では,この問題は解消されている。なお,日本語情報の「Netscapeセキュリティ・ノート」には,前回のコラムで指摘した時よりは情報が充実しているものの,この情報についての記載はない。

 原稿執筆時(3月24日現在),公開されている6.2.2 は英語版だけである。しかし,日本語版OSでも使用可能だ。これは,Netscape ブラウザの特徴の一つで,IE とは異なる。メニューなどは当然英語ではあるが,日本語のWebページを問題なく閲覧できる。最近の傾向では,日本語版は英語版から数日遅れで公開されている。しかし,このコラムを読まれた時点でも日本語版が公開されていなければ,英語版の導入をお勧めする。

 なお余談ではあるが,Netscapeブラウザには,IEとは異なる特徴がもう一つある。Netscape ではセキュリティ・ホールが見つかってもパッチを公開せず,アップグレードで対応している。そのため,ユーザーは絶えず最新版にバージョンアップしていく必要がある。覚えておこう。

 また,筆者自身は使用したことがないが,「Opera」という選択肢もあるだろう(関連記事)。

IEの追加情報と更新パッチがそれぞれ公開

 上記以外の,Windows関連のセキュリティ・トピックス(2002年3月24日時点分)を,各プロダクトごとに整理して解説する。

 各種クライアント・アプリケーションについては,「マイクロソフト セキュリティ情報一覧」にて,追加情報と日本語版更新パッチがそれぞれ1件ずつ公開された。

(1)Java アプレットがブラウザ トラフィックをリダイレクトする (MS02-013)

 前回のコラムでお知らせした通り,ビルド 3802 自身を含む3802 までの Microsoft VM のすべてのビルドにおいて,セキュリティ・ホールが見つかった(関連記事)。Microsoft VM ビルド 3805 またはそれ以降にアップグレードすれば回避できる。

 もちろん,今回紹介した“お勧め”設定通りに,「Microsoft VM」の項をすべて無効にすることでも,回避可能である。

 今回,セキュリティ情報が更新され,「MS99-045」で公開された「仮想マシン ベリファイア」 問題の“変種”に関する情報が追加された。このセキュリティ・ホールを悪用されると,ユーザー・マシン上で任意のコードを実行される恐れがある。

 このセキュリティ・ホールについても,ビルド 3805をインストール済みであれば問題はない。情報として押さえておこう。

 なお前回のコラムで,マイクロソフトのレポートでは,JVIEWコマンドによるビルド番号の確認方法が日本語訳されていないことを指摘した。これについては,FAQである「よく寄せられる質問」がようやく和訳され,改善された。

(2)Internet Explorer の不正な VBScript 処理により Web ページがローカル ファイルを読み取る (MS02-009)

 セキュリティ・ホールの内容については,過去のコラムで紹介済みなので割愛する。レポートと同時に公開された日本語版パッチを適用すれば対応可能である。

 ただし,このパッチによって無効にされる,VBScript の動作に依存するサード・パーティのアプリケーションが存在する。それらのアプリケーションは,このパッチを適用したマシンでは正常に動作しないことが確認されている。

 さらに,レポートには記載がないものの,このパッチは一度適用すると,アン・インストールできず,簡単には無効にできない。そのため,業務に支障をきたした事例を,筆者自身耳にしている。

 そこで今回,修正された更新パッチが公開された。今回のパッチは,以前のパッチを適用した環境にそのまま適用できる。この問題については,サポート技術情報の「P319847: MS02-009 の適用後 VBScript とサードパーティ アプリケーションの間で互換性の問題が発生する」にも詳しい。こちらも確認しておこう。

文字化け問題を解決するパッチが公開

 各種OS関連では,「マイクロソフト セキュリティ情報一覧」にて,パッチ情報が1件追加された。

(1)Windows Shell の未チェックのバッファにより,コードが実行される (MS02-014)

 前回のコラムでお知らせした,上記セキュリティ・ホールに対する新たなパッチが公開された。

 3月8日時点で公開された日本語版パッチを適用すると,文字化けが発生するとの報告が複数寄せられていた。それを受けて,3月12日にマイクロソフトから「一部画面表示が正しく行われない問題が確認されました」との正式コメントが公開され,Windows NT 4.0 アクティブデスクトップ使用環境 (PC/AT 互換機) 用と,Windows NT 98/98 Second Edition 用日本語版パッチの公開が中止された。

 そして3月15日に,上記問題を修正した新しいパッチが公開された。問題があるパッチを適用している場合は,新しいパッチを再適用すれば解消される。加えて,当初は公開されていなかった,Active Desktop を使用していない環境でのWindows NT 4.0用日本語版パッチも公開された。

 なお,Windows 2000用については,当初公開された日本語版パッチに問題はない。Windows NT 4.0 Terminal Server Edision 用のパッチは,現在も準備中である。

SNMPに関するNT用のパッチが公開

 各種サーバー・アプリケーション関連では,「マイクロソフト セキュリティ情報一覧」にて,パッチ情報が1件追加された。

SNMP サービスに含まれる未チェックのバッファにより,任意のコードが実行される (MS02-006)

 以前のコラムでお知らせした,SNMPに関するセキュリティ・ホールのパッチが追加された。当初,Windows XP用とWindows 2000用のパッチが公開されていたが,Windows NT 4.0 用とWindows NT 4.0 Terminal Server Edition 用の日本語版パッチが新たに公開された。

 なお,以前のコラムで述べたように,Windows ME 以外の Windows OS はすべて SNMP を実装しているが,デフォルトではインストールおよび実行されていないので,設定を変更していなければ影響を受けることはない。

 また,エッジ(境界)ルーターやファイアウオールにおいて,「SNMP サービス用ポート(UDP ポート 161 および 162)をブロックする」あるいは「SNMP サービスへの接続をIPアドレスで制限する」ことで,外部からの脅威を回避できる。

ワームの情報が1件公開

 「TechNet Online セキュリティ」では,ワーム(ウイルス)に関するドキュメント「Fbound に関する情報」が公開された。

 Fbound とは,日本語あるいは「Important Message」のタイトルで,「Patch.exe」を添付ファイルに持つワームである。添付ファイルを実行しなければ感染しない(関連記事)。

 前回のコラムでお知らせした「Gibe に関する情報」「Sharpei に関する情報」と同様に,マイクロソフトのセキュリティ情報(パッチ)だと思わせるワームであるが,マイクロソフトから一般のユーザーへパッチが送付されることはない。同じようなワームが今後も出現する恐れがあるので,注意してほしい。



SNS Advisory

SNS Advisory No.48 Microsoft Internet Explorer 6 Still Download And Execute ANY Program Automatically (2002年 3月18日)

マイクロソフト セキュリティ情報一覧

『Internet Explorer』
2002 年 3 月 4 日 VM 用の累積的な修正プログラム (MS02-013)
 (2002年3月22日:セキュリティ情報が更新され,MS99-045 の変種についての情報追加,最大深刻度 : 高)

Internet Explorer の不正な VBScript 処理により Web ページがローカル ファイルを読み取る (MS02-009)
 (2002年3月19日:「警告」の欄が更新され,サードパーティのソフトウェアでの非互換問題と,その問題に対処する変更された修正パッチ公開の情報追加,最大深刻度 : 大)

『Windows 2000/NT 4.0/NT 4.0 Terminal Server Edition/98 Second Edition/98』
Windows Shell の未チェックのバッファにより,コードが実行される (MS02-014)
 (2002年3月15日: Windows NT 4.0[Active Desktop 使用環境], Windows 98/98 Second Edition の日本語版修正パッチの更新,及びWindows NT 4.0[Active Desktop を使用していない環境用]の日本語版修正パッチ公開,最大深刻度 : 中)

『Windows 95/98/98SE/NT 4.0/NT 4.0 Server, Terminal Server Edition/2000/XP』
SNMP サービスに含まれる未チェックのバッファにより,任意のコードが実行される (MS02-006)
 (2002年3月15日: Windows NT 4.0 Terminal Server Edition 用の日本語版修正パッチ公開,最大深刻度 : 中))
 (2002年3月13日: Windows NT 4.0 用の日本語版修正パッチ公開,最大深刻度 :中)

TechNet Online セキュリティ

Fbound に関する情報 (2002年 3月14日)

山下 眞一郎(Shinichiro Yamashita)
株式会社 富士通南九州システムエンジニアリング
第一ソリューション事業部ネットソリューション部 プロジェクト課長
yama@bears.ad.jp

 「今週のSecurity Check [Windows編]」は,IT Proセキュリティ・サイトが提供する週刊コラムです。Windows関連のセキュリティに精通し,「Winセキュリティ虎の穴」を運営する山下眞一郎氏に,Windowsセキュリティのニュースや動向を分かりやすく解説していただきます。(IT Pro編集部)