マイクロソフトは5月15日,Internet Explorer(IE)の累積的な修正プログラム(パッチ)「MS02-023」を公開した。これを適用すれば,IEに見つかっていた合計6種類のセキュリティ・ホールを修正できる。しかし,実は7つ目のセキュリティ・ホールと呼べる,Outlook の深刻なセキュリティ・ホールも修正されるのだ。今回のコラムでは,MS02-023 を解説するとともに,マイクロソフトからの情報にはない,Outlook のセキュリティ・ホールについて詳述したい。
公開された,IE の6種類のセキュリティ・ホール
マイクロソフトから公開されたセキュリティ情報「MS02-023」によれば,累積的なパッチを適用することで,以下のセキュリティ・ホールを修正できるとしている。
(1)ローカル HTML リソースのクロス・サイト・スクリプティング
(2)HTML オブジェクトによるローカルの情報の漏えい
(3)Cookie 内のスクリプトによる Cookie の読み取り
(4)不正な Web ページによるゾーン偽装
(5)「Content-Disposition」のぜい弱性の新しい変種
Outlookのセキュリティ・ホールについて説明する前に,以上のセキュリティ・ホールについてまず解説する。
(1)「ローカルHTMLリソースのクロス・サイト・スクリプティング」は,「ローカルコンピュータ」ゾーンの設定で,任意のコードを実行させられる恐れがある,クロス・サイト・スクリプティングのセキュリティ・ホールである(「ローカルコンピュータ」ゾーンについては後述する。なお,「ローカルコンピュータ ゾーン」は,「マイコンピュータ ゾーン」とも呼ばれる)。この問題は,Thor Larholm 氏によって報告された。
IEのコンポーネントには,エラー・メッセージなどを表示するためのダイナミック・リンク・ライブラリ「Shdoclc.dll(Shell Doc Object and Control Library)」が含まれている。IEで表示される「ナビゲーション取り消し」や「オフラインモードでWebページを表示できない」といったエラー・メッセージは,Shdoclc.dllによるものだ。
例えば,「res://shdoclc.dll/servbusy.htm」とURLに入力すれば,「HTTP エラー 408 / 409 - 受信不可 / リソースの競合」と表示される。このように,Shdoclc.dllは,HTTPのエラー・メッセージ(エラー番号)を渡されると,それに対応したテンプレートHTMLファイルを,IEに返す役割を果たしている。
複数あるテンプレートHTMLファイルは,独立したHTMLファイルとしては存在しておらず,Shdoclc.dllに含まれている。(1)で「ローカルHTMLリソース」とされているのは,このテンプレートHTMLファイルのことである。(1)は,いくつかのテンプレートHTMLファイルに存在する不具合が原因である。
具体的には,「policyerror.htm」や「policylooking.htm」,「policynone.htm」, 「policysyntaxerror.htm」といったテンプレートHTMLファイル中に存在するスクリプトで使用される,「dialogArgumentsプロパティ」の使用法に問題があるために発生する。
スクリプトやプロパティの詳細については割愛するが,上記テンプレートHTMLファイルの問題により,細工が施されたWebページを閲覧すると,そのページ中の不正なスクリプトがテンプレートHTMLファイルに渡され,テンプレートHTMLファイルに適用されるセキュリティ設定で,ユーザーのIE上で実行されてしまう。
テンプレートHTMLファイルには,通常「ローカルコンピュータ ゾーン」の設定が適用される。つまり,「インターネット ゾーン」の設定で実行されるべきスクリプトが,それよりも制限が少ない「ローカルコンピュータ ゾーン」で実行される可能性があるのだ。
「ローカルコンピュータ ゾーン」については,耳慣れない読者もいると思うので,簡単に説明したい。マイクロソフトが公開している文書にもあるように,IE 4.0 以降では,Windows OS カーネルにIE が統合された。その結果,IEはインターネット・ブラウザとしてだけではなく,マシンに保存されたローカル・ファイルやディレクトリ(フォルダ)を閲覧したり,操作したりする役割も兼ねるようになった。それに併せて,ローカル・ファイルを操作する際のセキュリティ・ゾーンとして,「ローカルコンピュータ ゾーン」が設けられた。
つまり,インターネット上のWebページを閲覧する際には,「インターネット ゾーン」のセキュリティ設定が適用されるのと同様に,ローカル・ファイルを閲覧,操作する際には,この「ローカルコンピュータ ゾーン」のセキュリティ設定が適用されているのだ。
今回セキュリティ・ホールが見つかったShdoclc.dllはローカル・ファイルなので,その参照には「ローカルコンピュータ ゾーン」の設定が適用される。にもかかわらず,セキュリティ・ホールを悪用すれば,インターネット上のWebページあるいはHTML形式の電子メールから,Shdoclc.dll中のファイルに含まれるスクリプトを自由に操作できてしまう。その結果,「ローカルコンピュータ ゾーン」の設定で,任意のスクリプトが実行されてしまう可能性があるのだ。
なお,この問題は「MS02-023」によれば,IE 6 以外のバージョンでは影響を受けないとされていた。しかし, Thor Larholm 氏から,他のバージョンについても同様の問題があるとの連絡を受け,マイクロソフトは現在確認中とのことだ。詳細については,別の記事を参照してほしい。
さて,(2)以降のセキュリティ・ホールについては,簡単に解説するにとどめる。
(2)「HTMLオブジェクトによるローカルの情報の漏えい」は,CSS(Cascading Style Sheets)をサポートするHTMLオブジェクトを使った,ローカル・ファイルの漏えいに関するセキュリティ・ホールである。これは,「GreyMagic Security Advisory GM#004-IE」として,既に公開されたものと同一であると考えられる。
「styleSheet オブジェクト」の「cssText プロパティ」を利用することにより,ユーザーのマシン(ローカル)に存在するファイルの一部あるいは全体が読み出されてしまう恐れがある。しかも,「MS02-023」の修正プログラムを適用したとしても,リダイレクトを利用すれば,依然読み出しが可能だという。
この指摘を受けて,マイクロソフトは「セキュリティ情報 MS02-023 について」という文書を掲載した。文書によると,リダイレクトを利用することで読み出せる問題は,マイクロソフトにこれまで報告されなかった新しい変種であり,現在調査中であるとしている。
(3)「Cookie内のスクリプトによるCookieの読み取り」は,Cookie 中にスクリプトを埋め込むことにより,他のサイトで使用されている Cookie の値を取得できてしまうというセキュリティ・ホールだ。これは, Andreas Sandblad 氏がメーリング・リスト「Bugtraq」へ報告したセキュリティ・ホールに関連したものだと思われる。同氏はこの報告の中で,たとえ修正プログラムを適用していても,サード・パーティのあるソフトウエアを使用されれば,セキュリティ・ホールを悪用されうるとしている。
(4) 「不正なWeb ページによるゾーン偽装」は,文字通りIEのゾーンを偽装されてしまうセキュリティ・ホールである。ご存知の通り,IE は「ゾーン」という概念を使用して,対象ファイル(リソース)をグルーピングし,それぞれに異なるセキュリティ設定を適用できるようにしている。この問題を悪用すれば,本来は「インターネット ゾーン」であるWebページを,より制限が少ない「イントラネット ゾーン」あるいは「信頼済みサイト ゾーン」として認識させることが可能となる。
その結果,「インターネット ゾーン」では無効にしているはずの,コードの実行などを許す恐れがある。
(5)の「『Content-Disposition』のぜい弱性の新しい変種」は,過去のセキュリティ情報「MS01-058」で説明されている,「Content-Dispotion の問題」の2つの亜種である。発見したのは,Jani Laatikainen 氏と筆者である。筆者が発見した亜種の詳細については,「SNS Advisory No.48」をご覧いただきたい。
隠された,7つ目のセキュリティ・ホール
以上,「MS02-023」で解説されているセキュリティ・ホールは,(5)を2つとして数えれば,計6種類である。しかし,「MS02-023」の修正プログラムで解消されるセキュリティ・ホールには,7つ目といっても過言ではないものが含まれている。「MS02-023」ではわずかしか触れていない Outlook に関するものだ。
Outlook Express 6 やOutlook 2002,および Outlook Email Security Update を適用した Outlook 98 と Outlook 2000は,HTML 形式の電子メールに対して,デフォルトで「制限付きサイト ゾーン」を適用する。制限付きサイト ゾーンでは,ほとんどのセキュリティ・オプションが無効となっているので,HTMLメールを悪用した攻撃の多くを防ぐことができる。
しかし,Richard M. Smith 氏は,「IFRAME」タグを使用することで,制限付きサイト ゾーンにおいても,ファイルをダウンロードするよう促すダイアログ・ボックスを表示させられると報告した。本来,「制限付きサイト ゾーン」では,「ファイルのダウンロード」の項目は「無効」に設定されているので,ダイアログ・ボックスが表示されることはなく,もちろん,ファイルがダウンロードされることもない。その設定を回避できるというのだ。「MS02-023」には,セキュリティ情報に明記されていないものの,この問題の修正を含んでいるのである。
「ファイルのダウンロード」が有効となること自体は,それほど問題がないと思うかもしれない。たとえ悪用されても,ダイアログ・ボックスが表示されるので,その時点でダウンロードを選択しなければよいのである。
しかし,このセキュリティ・ホールと,過去に発見されたセキュリティ・ホール「MS01-058」,および今回筆者らが発見したセキュリティ・ホールを組み合わせれば,電子メールをプレビューしただけで,悪意があるファイルをダウンロードし実行してしまう可能性があるのだ。もちろん,ダイアログ・ボックスは表示されず,勝手にダウンロードされて実行されてしまう。
筆者は,この攻撃を検証するとすぐに,「Microsoft Security Response Center(MSRC)」へ連絡した。「MS02-023」に上記の修正が加えられたことは,筆者の報告に耳を傾けてくれた彼らのおかげである。この場を借りて感謝したい。併せて,今回の件でご尽力いただいた,マイクロソフトアジアリミテッドの「PSS Security Response Team」の皆さんにも感謝申し上げたい。
そしてなによりも,この問題に対して関心を持ってくれた,多くのユーザー諸氏に感謝したい。直接的ではなかったにしても,セキュリティ・ホールを解消することができた潜在的な一因――すなわち,「見えざる手」――であった。
なお余談ではあるが,Outlook のセキュリティに関する話題として,「Outlook 2002 Service Pack 1」が挙げられる。Outlook 2002 Service Pack 1 を適用し,テキスト形式で表示する機能を有効にすれば,デジタル署名されていないメールや,暗号化されていないメールすべてをテキスト形式のみで表示するようになる。HTMLメールを使った攻撃対策として有効なので,Outlook 2002ユーザーは活用したい。
今回のパッチで,放置されたままだったIEのセキュリティ・ホールがいくつか解消された。とはいえ,依然存在する。パッチが公開されていないセキュリティ・ホールをまとめた「Unpatched IE security holes」によれば,MS02-023のパッチを適用しても,まだ14件のセキュリティ・ホールが残っているという(原稿執筆時点の5月23日現在)。まだまだ安心はできない。
USENIX のカンファレンスで,Cookie の BOF が開催
さて,話はガラリと変わるが,あるカンファレンスでのBOFを紹介して,今回のコラムを結びたい。ご存知の読者も多いと思うが,今年6月に,米国カリフォルニア州のモントレーで,「USENIX Annual Technical Conference」が開催される。その中で,「The MIT Cookie Eaters」 というグループがBOFを開催する。
テーマは Web を経由したユーザー認証のセキュリティなので,読者の中には興味を持たれる方もおいでだろう。具体的には,ユーザー認証のセキュリティを向上させるために利用可能な手段,特に Cookie 中の認証情報とセッション ID について取り扱うということだ。
The MIT Cookie Eaters は,Web Cookie に関するセキュリティに関する調査や研究を目的に活動しているグループである。USENIX Annual Technical Conference に参加される方のなかで,興味を持った方はぜひ参加してほしい。The MIT Cookie Eaters のメンバーのである Kevin Fu 氏も,日本人技術者の参加を期待している。
新井悠 (ARAI Yuu)
株式会社ラック コンピュータセキュリティ研究所
y.arai@lac.co.jp
IT Proセキュリティ・サイトが提供する「今週のSecurity Check [一般編]」は,その週に起きたUNIX関連およびセキュリティ全般のニュースや動向をまとめた週刊コラムです。セキュリティ・ベンダーである「株式会社ラック」のスタッフの方を執筆陣に迎え,専門家の立場から解説していただきます。
