IEの新しいセキュリティ・パッチを解説する

ふさげないセキュリティ・ホールは複数ある，“お勧め”設定の継続を

山下眞一郎

2002.04.03

　Internet Explorer（IE）には，パッチが公開されていないセキュリティ・ホールが複数存在している。マイクロソフトは3月29日，IEの新しいパッチを公開したものの，ふさげないホールは依然存在する。しかも，マイクロソフトの情報では「新しいパッチではどのホールがふさげるのか」，「ふさげないホールについては，どのように回避すればよいのか」が明確にされていない。今回のコラムでは，それらについて解説する。

IEの新しいパッチが公開，2種類のホールをふさぐ

　マイクロソフトは「マイクロソフトセキュリティ情報一覧」にて，新規の日本語情報とパッチを1件公開した。

（MS02-015）2002年3月28日 Internet Explorer 用の累積的な修正プログラム

　公開されたのは，IE 5.01/5.5/6.0 が対象となる，2種類の新しいセキュリティ・ホール情報とそのパッチである。悪用されると，「ローカルコンピュータゾーン」でスクリプトが実行される恐れがある，最大深刻度が“高”のセキュリティ・ホールだ（関連記事）。日本語版対応パッチが公開されているので，早急に適用する必要がある。

　パッチの適用条件は，IE 5.5 用の場合は，IE 5.5 の Service Pack（SP）1 または SP 2 を適用済みであること。IE 5.01 用では，SP 2 を適用済みの Windows 2000 または SP 6a を適用済みの Windows NT 4.0 であること。なお，今回のIE 5.01用パッチでは，サポートするプラットフォームが増えている。以前公開された「MS02-005」のパッチは Windows 2000だけをサポートしたが，今回は Windows NT 4.0もサポートしている。IE 6.0用のパッチには，適用条件はない。

　今回公開されたセキュリティ・ホールは，「Cookie ベースのスクリプトの実行」と「Object タグによるローカル実行可能ファイルの呼び出し」の2種類。

　「Cookie ベースのスクリプトの実行」は，IE の「セキュリティゾーン」を決める機能に不具合があるために発生する。Cookie に埋め込まれたスクリプトを，「ローカルコンピュータゾーン」で実行してしまうセキュリティ・ホールである。IE 5.5/6 が影響を受けるとされる。

　「Object タグによるローカル実行可能ファイルの呼び出し」は，Object タグ処理の不具合が原因。攻撃者が，他ユーザーのパソコン上にあるプログラムを実行できてしまう。影響を受けるのは，IE 5.01/5.5/6。

今回のパッチでどこまで防げるか

　さて一番気になるのは，今までのパッチでは防げなかったセキュリティ・ホールを，今回の累積パッチがどこまでカバーしているかである。残念ながら，マイクロソフトの情報には詳細が記載されていない。

　そこで，マイクロソフト以外の情報を調べることで明らかにしていきたい。まず，米Microsoftの「28 March 2002 Cumulative Patch for Internet Explorer」をチェックする。そこには，スウェーデンのAndreas Sandblad氏に対して，「『Cookie ベースのスクリプトの実行』のセキュリティ・ホールをMicrosoftに報告し，顧客を保護するために協力してくれた」という謝辞（Acknowledgments）が記載されている。それに対して，「Object タグによるローカル実行可能ファイルの呼び出し」については言及されていない。

　実はこの謝辞に記載されるためには，米Microsoftが規定する「Acknowledgment Policy for Microsoft Security Bulletins」に従う必要がある。このポリシーによると，セキュリティ・ホールの発見者は，まず内密にMicrosoftに報告し，パッチ作成のために協力することが求められる。発見者自身による情報公開は，パッチが公開されて脅威が取り除かれた後でなければならない。そのため，Microsoftがパッチを公開する前に，発見者がセキュリティ・ホールの詳細を公開した場合には，原則として謝辞には記載されない。

　このことから，「Cookie ベースのスクリプトの実行」は，今回のパッチ公開前に広く知られていたセキュリティ・ホールではないと思われる。一方，「Object タグによるローカル実行可能ファイルの呼び出し」については，パッチ公開前に発見者によって公開された，既知のセキュリティ・ホールの一つだと考えられる。

　Objectタグに関するセキュリティ・ホールということで，前回のコラムでも紹介した「GreyMagic Security Advisory GM#001-IE」が思い当たる。ただ，同情報のページは3月3日以降更新されていないので，発見者であるGreyMagic Software社から情報を得ることはできない。

　そこで，同サイトに用意されているデモ・ページで実験することにした。まず，「IEを使い続けるための“お勧め”設定　2002年3月27日版」に従って設定されているIEをデフォルトに戻し，デモ・ページを閲覧した。すると，手元のパソコンで電卓（calc.exe）が勝手に起動された。これはデモ・ページが意図した通りの挙動であり，このIEにセキュリティ・ホールがあることを示している。

　余談ではあるが，ウイルス対策ソフト「Norton AntiVirus」ユーザーは，このデモを実行できない。最新のウイルス定義ファイルを使い，Norton AntiVirusを常駐させて「リアルタイム監視」している場合には，このデモの過程で生成されるファイルを「XMLid.Exploit」ウイルスと認識して実行を阻止する。そのため，このデモを実行したい場合には，リアルタイム監視を一時的に停止する必要がある。

　次に，「MS02-015」のパッチを適用して，再度デモを実施した。すると，電卓は起動されなかった。この結果から，「Object タグによるローカル実行可能ファイルの呼び出し」は「GreyMagic Security Advisory GM#001-IE」で指摘されたセキュリティ・ホールであると考えてよいだろう。

　今回のパッチを適用すれば，前回のコラムで紹介した“お勧め”設定のうち，「レジストリを変更して，『マイコンピュータ・ゾーン』の『未署名の ActiveX コントロールのダウンロード』を自動で実行されないように設定する」の項目が必要なくなる。この項目はレジストリを変更する必要があるため，パソコンに詳しくないユーザーには，積極的には勧められなかった。今回のパッチにより，この設定変更が必要なくなったので，“お勧め”設定を徹底しやすくなっただろう。

解消されないセキュリティ・ホールも複数

　今回のパッチを適用すれば，「GreyMagic Security Advisory GM#001-IE」のセキュリティ・ホールは解消できる。しかし，それ以外の既知のホールはふさげないようだ。例えば，前回のコラムで紹介した「SNS Advisory No.48 Microsoft Internet Explorer 6 Still Download And Execute ANY Program Automatically」は解消されない。

　なお，このセキュリティ・ホールについては，前回のコラムでもお知らせした通り，Microsoftから「Inaccurate Claims Regarding IE Security Vulnerability」（英語情報，「IEのセキュリティぜい弱性に関する不正確なクレーム」）という反論が出された。

　反論のページでは，「（同セキュリティ・ホールを発見した）ラックの指摘では，『2001 年 12 月 13 日 Internet Explorer 用の累積的な修正プログラム (MS01-058)』のパッチでは取り除けないセキュリティ・ホールがあるとしているが，それは誤りである。あるサード・パーティの『media player』がインストールされている場合のみ問題が再現されるので，IE やセキュリティ・パッチとは関係がない」と述べられていた。

　ところがその後，このページの掲載が中止された。中止した理由は明らかにされていないが，上記の反論が何らかの形で覆されたためと思われる。今後の動向を注目したい。

　また，詳細については筆者は確認していないが，GreyMagic Software社からはパッチ未対応の新たなセキュリティ・ホール「GreyMagic Security Advisory GM#003-IE」が公開されている。このセキュリティ・ホールについては，「アクティブ・スクリプト」を無効にすることで回避できる。つまり，前回紹介した“お勧め”設定で対応することが可能である。

Netscapeは今が巻き返しのチャンス

　IE においては，次々見つかるセキュリティ・ホールに，パッチの公開が追いついていない。そのため，パッチだけではセキュアな環境を維持できない状態が長く続いている。もちろん，“お勧め”設定で回避できるが，スクリプトを有効にしなければならないページの閲覧やファイルのダウンロードはできない。その場合には，何度も紹介しているように，Java機能を無効化した「Netscape」最新版の使用が有効な選択の一つだ。

　しかし，3月21日に「Netscape 6.2.2　英語版」がリリースされたものの，この原稿を執筆している3月30日になっても日本語版は公開されていない。英語版でも日本語ページを表示できる。とはいうものの，IEがこのような状況になっている現在，Netscapeが巻き返しを図る数少ないチャンスである。ぜひ，日本語版の早急なリリースをお願いしたい。【4月3日 IT Pro注】現在は，Netscape 6.2.2 日本語版が公開されている。NetscapeのWebサイトからダウンロードできる。

SNMP関連のホールに，PC-9800 シリーズ用パッチが追加公開

　次に，上記以外のWindows関連のセキュリティ・トピックス（2002年3月30日時点分）を解説する。

　各種OS関連では，「マイクロソフトセキュリティ情報一覧」にて，追加パッチの情報が1件公開された。

（MS02-006）SNMP サービスに含まれる未チェックのバッファにより，任意のコードが実行される

　以前のコラムでお知らせした通り，Windows ME を除くWindows OS には，SNMP関連のセキュリティ・ホールが存在する。SNMPサービスを実行している場合，攻撃者から選択されたコードが実行される，もしくはDoS攻撃を受ける恐れがある。

　セキュリティ・ホールの情報が公開されて以来，各OS用のパッチが順次公開されてきた。今回は，Windows NT 4.0 の NEC PC-9800 シリーズ用の日本語版パッチが追加公開された。

マイクロソフトセキュリティ情報一覧

『Internet Explorer』
◆2002年3月28日 Internet Explorer 用の累積的な修正プログラム (MS02-015)
　（2002年3月29日：日本語情報および日本語修正パッチ公開，最大深刻度 : 大）

『Windows 95／98／98SE／NT 4.0／NT 4.0 Server, Terminal Server Edition／2000／XP』
◆SNMP サービスに含まれる未チェックのバッファにより，任意のコードが実行される (MS02-006)
　（2002年3月28日：Windows NT 4.0 の NEC PC-9800 シリーズ用の日本語版修正パッチが追加公開，最大深刻度 : 中）

山下　眞一郎（Shinichiro Yamashita）
株式会社富士通南九州システムエンジニアリング
第一ソリューション事業部ネットソリューション部　プロジェクト課長
yama@bears.ad.jp

　「今週のSecurity Check [Windows編]」は，IT Proセキュリティ・サイトが提供する週刊コラムです。Windows関連のセキュリティに精通し，「Winセキュリティ虎の穴」を運営する山下眞一郎氏に，Windowsセキュリティのニュースや動向を分かりやすく解説していただきます。（IT Pro編集部）