今回のコラムでは,4月30日に公開されたNetscape およびMozilla のセキュリティ・ホールを中心に解説する。パソコン内のファイルを読み取られる恐れがあるこのセキュリティ・ホールについては,ベンダーからはパッチはもちろん,情報も公開されていない。設定変更などで回避することもできないので,Netscapeユーザーは十分注意が必要だ。

Netscape の最新版6.2.2も影響を受ける

 Internet Explorer(IE)のセキュリティ・ホールをいくつも発見してきたイスラエルのGreyMagic Software社は4月30日,「Reading local files in Netscape 6 and Mozilla」というレポートを同社Webサイトに掲載した。レポートでは,Windows版およびUNIX版のNetscape 6.1以降とMozilla 0.9.6以降が影響を受けるセキュリティ・ホールを指摘している。

 GreyMagic Software社は2002年3月30日にこのセキュリティ・ホールを発見し,4月24日にベンダーに報告した。報告の際,5日後までに何らかの返答がほしいとしたものの,何の返答もなかったために公開に踏み切ったとしている。

 セキュリティ・ホールの内容は,IEなどで見つかっている「XMLHTTP コントロールにより,ローカル ファイルにアクセスすることができる (MS02-008)」と同じくXMLHTTPに関するもので,悪用されるとパソコン内のファイルを読み出される恐れがある(関連記事)。なおXMLHTTPとは,主にWebサーバーからXML文書を取得するために使われるコンポーネントのことである。

 GreyMagic Software社のレポートには,セキュリティ・ホールの有無を検証するための「Exploit」および「Demonstration」が掲載されている。実際に筆者の環境である「Netscape 6.2.2日本語版+Windows XP Professional」で試したところ,ファイルの読み取りが可能であることが検証できた。

設定変更では回避できない

 レポートでは,対策方法として他のWebブラウザの使用が推奨されているだけで,具体的な設定変更例などは記載されていない。実際筆者が試してみたところ,JavaやJavaScriptを無効に設定しても,今回のセキュリティ・ホールは再現されてしまうので,設定変更で回避することはできないようだ。事態は非常に深刻である。

 それではベンダーの対応状況はどうだろうか。

 Mozillaについてはパッチが公開され,対応済みである。GreyMagic Software社の「GreyMagic Internet Explorer Advisories」からリンクが張られた「Bugzilla Bug 141061 XMLHttpRequest allows reading of local files」のページに詳細が記載されている。

 しかしながら,Netscape 6.1以降については,パッチが公開されていないばかりか,「Netscape Security Center」を見る限りでは情報も公開されていない。【5月9日IT Pro追記】原稿執筆時(5月5日時点)には公開されていなかったが,5月7日以降に「XMLHttpRequest Vulnerability」として,今回のセキュリティ・ホールに関する情報が追加されている。

 このような状況では,GreyMagic Software社のレポートに記載されているように,Netscape以外のブラウザに乗り換えたほうがよさそうだ。ベンダーから対策方法が公開されるまでは,以前のコラムでお伝えした「お勧め設定」を施したIEなどを使用することで回避したい。

 NetscapeのWebブラウザを使用し続ける場合は,自分が信用できるサイト以外は決して閲覧しないという,消極的な回避方法しかなさそうだ。

 この問題については,引き続きフォローしていきたいと思う。ベンダーには一刻も早い対応を期待する。

【5月9日IT Pro追記】筆者ならびにIT Pro編集部で再度検証したところ,JavaScriptを無効に設定すれば,セキュリティ・ホールの有無を調べるデモは再現されないことが明らかとなった。つまり,「Netscape Security Center」の情報にあるように,JavaScriptを無効にすればセキュリティ・ホールの影響を回避できる

OutlookのエディタにWordを使っている場合には注意

 上記以外のWindows関連セキュリティ・トピックス(2002年5月5日時点分)を,各プロダクトごとに整理して解説する。

 クライアント・アプリケーション関連では,「マイクロソフト セキュリティ情報一覧」にて,新規の日本語情報とパッチが1件公開された。

電子メール エディタの問題により,返信または転送でスクリプトが実行される (Q321804) (MS02-021)

 Outlook 2000/2002において,エディタとして Microsoft Word を使用するオプションを設定している場合,ユーザーが攻撃者からのメールを転送または返信する際に,そのメールに埋め込まれたスクリプトを実行させられる恐れがある。

 対策は既に公開されている日本語版パッチを適用すること。パッチの適用前提は,Office 2000 SR-1 以降あるいは Office XP SP-1 以降であること。

 Outlook は HTML 形式の電子メールを表示する際,IE のセキュリティ・ゾーン設定を適用して,スクリプトが勝手に実行されないようにする。しかしながら,Word で編集する際に適用されるセキュリティ設定では,スクリプトはブロックされない。それが今回のセキュリティ・ホールである。

 なお,マイクロソフトが最大深刻度を「中」に設定しているように,このセキュリティ・ホールによる実質的な影響は比較的小さいと思われる。そのため,パッチは必要に応じて適用すればよいだろう。

 というのも,影響を受けるのは,Word を電子メールのエディタとして使用している Outlook のユーザーだけであるからだ。さらに,Office XP SP1 で導入された機能を有効にして,HTML 形式のメールをテキスト形式として読んでいるユーザーは影響を受けない。

 また,攻撃者からのメールを読むだけでは,メールに含まれたスクリプトが実行されることはない。転送あるいは返信する際に初めてスクリプトが実行される。

SNMP関連のWindows 98/98SE用日本語版パッチが公開

 各種OS関連では,「マイクロソフト セキュリティ情報一覧」にて,パッチおよび追加情報がそれぞれ1件ずつ公開された。

(1)SNMP サービスに含まれる未チェックのバッファにより,任意のコードが実行される (MS02-006)

 以前のコラムで何度もお知らせしている通り,Windows OS のSNMP サービスには,任意のコードを実行される,あるいはDoS攻撃を受ける可能性があるセキュリティ・ホールが存在する。

 現在までに,各Windows OSについての日本語版パッチが順次公開されており,今回Windows 98 および 98SE 用パッチが公開された。とはいえ,SNMP サービスはデフォルトではインストールおよび実行されていないので,必要に応じてパッチを適用すればよいだろう。

(2)XMLHTTP コントロールにより,ローカル ファイルにアクセスすることができる (MS02-008)

 セキュリティ・ホールの内容については,何度かお伝えしているので割愛する。このセキュリティ・ホールの影響を受けるのは,Microsoft XML Core Services(MSXML)バージョン 2.6,3.0 および 4.0であり,それぞれのパッチが既に公開されている。

 今回,MSXML バージョン 3.0用のパッチが更新されたことに伴い,情報が追加された。以前のパッチでもセキュリティ・ホールは解消できるので,通常は更新されたパッチを再適用する必要はない。しかし,HFNetChk などのツールは,更新されたパッチの適用の有無をチェックすることが考えられ,最初のパッチのままでは警告を出す可能性があるとしている。そのため,必要に応じて更新されたパッチを再適用する必要がある。

「Microsoft セキュリティ」では初心者向け情報サイトがオープン

 Microsoft セキュリティでは,(1)「Microsoft セキュリティスクエア」と(2)「パーソナル コンピューティング セキュリティのための 7 つの手順」が公開された。

 (1)は,コンピュータのセキュリティ対策をわかりやすく解説した,パソコン初心者向けの情報サイトである。4月26日に公開された。内容は,「セキュリティ度チェック」「タイプ別 ウィルス基礎知識」「個人情報を保護しよう」「ウィルス対策をしよう!」「マイクロソフトの取り組み」の5項目から構成されている。

 従来からマイクロソフトは,パソコン初心者向けの情報サイトとして,「ホームユーザー向け セキュリティ対策 早わかりガイド」を公開している。このサイトでは,セキュリティ対策に必要な修正パッチと操作手順を具体的に分かりやすくまとめている。

 今回の「Microsoft セキュリティスクエア」も初心者向けではあるが,内容から判断すると「早わかりガイド」とはその役割を明確に区別しているようだ。「早わかりガイド」では具体的な手順などをまとめているのに対して,「セキュリティスクエア」では,セキュリティの一般情報を扱っており,初心者への啓蒙が目的のようだ。今後,より一層の充実を期待したい。

 (2)は,パソコンと個人のプライバシを保護するために必要な7つの手順を解説したものである。具体的には,「リスクを評価する」「ウイルス対策ソフトウェアを使用する」「ソフトウェアを最新に保つ」「セキュリティ設定を検証する」「ファイアウォールを使用する」「強力なパスワードを作成する」「日常のセキュリティ保守を実行する」であり,それぞれチェック・リストが用意されている。ぜひ,内容をチェックしておこう。

「TechNet Online セキュリティ」ではTSEのトピックが公開

 「TechNet Online セキュリティ」では,トピックが1件公開された。「Windows NT Server 4.0, Terminal Server Edition Security Rollup Package 1 (TSE SRP1) の提供開始」である。内容はタイトル通りで,TSE SRP1の提供が開始されたことを伝えるものだ。必要に応じてチェックしたい。



マイクロソフト セキュリティ情報一覧

『Outlook 2000/Outlook 2002』
電子メール エディタの問題により,返信または転送でスクリプトが実行される (Q321804) (MS02-021)
 (2002年 4月26日:新規日本語レポート および 日本語版パッチ公開,最大深刻度 : 中)

『Windows 95/98/98SE/NT 4.0/NT 4.0 Server, Terminal Server Edition/2000/XP』
SNMP サービスに含まれる未チェックのバッファにより,任意のコードが実行される (MS02-006)
 (2002年 5月4日:Windows 98 および 98SE 用の日本語版パッチ公開,最大深刻度 : 中)

『Windows XP/Internet Explorer 6.0/SQL Server 2000/Windows 製品全般』
XMLHTTP コントロールにより,ローカル ファイルにアクセスすることができる (MS02-008)
 (2002年 4月24日:「よく寄せられる質問」 に Q318203 (MSXML3) パッケージの更新についての説明追加,最大深刻度 : 高)

Microsoft セキュリティ

パソコン初心者を対象としたセキュリティ対策情報サイト「Microsoft セキュリティスクエア」 (2002年 4月26日)

パーソナル コンピューティング セキュリティのための 7 つの手順 (2002年 4月17日)

TechNet Online セキュリティ

Windows NT Server 4.0, Terminal Server Edition Security Rollup Package 1 (TSE SRP1) の提供開始 (2002年 4月25日)


山下 眞一郎(Shinichiro Yamashita)
株式会社 富士通南九州システムエンジニアリング
第一ソリューション事業部ネットソリューション部 プロジェクト課長
yama@bears.ad.jp


 「今週のSecurity Check [Windows編]」は,IT Proセキュリティ・サイトが提供する週刊コラムです。Windows関連のセキュリティに精通し,「Winセキュリティ虎の穴」を運営する山下眞一郎氏に,Windowsセキュリティのニュースや動向を分かりやすく解説していただきます。(IT Pro編集部)