過去のセキュリティ・パッチを含むWindows XP SP1 日本語版が公開され,XPユーザーとしては一安心といったところだろう。しかしいつまでも安心してはいられない。SP1公開後も,任意のコードを実行される深刻なセキュリティ・ホールが相次いで見つかっているからだ。今回のコラムでは,最近公開されたセキュリティ・ホールを順に解説していくので,改めて確認してほしい。

一度に4件のセキュリティ・ホール情報を公開

 Windows XP SP1公開後も深刻なセキュリティ・ホールが複数公開されている。10月4日には一度に4件のセキュリティ・ホール情報が公開された。そのうち一つはすべてのWindows OSが対象となる。Windows XPやMe,98の一部が対象となるセキュリティ・ホールや,FrontPage Server Extensions,SQL Serverのセキュリティ・ホールも公開されている。いずれも,悪用されるとユーザー・マシン上で任意のコードを実行されてしまう深刻なセキュリティ・ホールである。パッチを適用するなどして,早急に対処しなければならない。以下,それぞれについて解説していく(いずれも2002年10月6日時点の情報を基にしている)。

Windowsのヘルプ機能にセキュリティ・ホール

 まずは,Windows OS 関連のセキュリティ・トピックスから紹介する。OS関連では,「マイクロソフト セキュリティ情報一覧」にて,新規日本語情報およびパッチが3件公開された。

(1)Windows ヘルプ機能の未チェックのバッファにより,コードが実行される (Q323255) (MS02-055)

 Windows の HTML ヘルプ機能の不具合に起因する2種類の新しいセキュリティ・ホールが公開された。すべてのWindows OS が対象となる。悪用されると,ユーザーのシステムを乗っ取られる恐れがある(関連記事)。対策は「Windows Update」サービスなどを利用してパッチを適用すること。非常に深刻なセキュリティ・ホールなので,速やかにパッチを適用しよう。

 (1)の「MS02-055」は,以下の2つのセキュリティ・ホールが対象である。

  1. 「HTML ヘルプの ActiveX コントロールのバッファ オーバーラン」
  2. 「コンパイルされた HTML ヘルプファイルを介したコードの実行」
 a の最大深刻度は「高」,b の最大深刻度は「中」である。a では,細工が施されたWeb ページやHTML形式のメールを読んだ場合に,b については,細工が施されたHTML形式メールを読んだ場合に攻撃を受ける恐れがある。

 パッチの適用条件は,

  • Windows NT 4.0用:NT 4.0 SP6a を適用済み
  • Windows NT 4.0 Terminal Server Edition(TSE)用:NT 4.0 TSE SP6 を適用済み
  • Windows 2000用:SP1,SP2,SP3のいずれかを適用済み

である。XP用については,SP1の適用の有無にかかわらず適用できる。その他のOSには適用条件はない。

 なお,a のセキュリティ・ホールは,Internet Explorer(IE)でActiveXコントロールを無効にしている場合には影響を受けない。ActiveXコントロールは悪用されることが多いので,過去のコラムでも書いたように,ぜひとも無効にしておこう。

 また,デフォルトのOutlook Express 6/Outlook 2002,Outlook 電子メールセキュリティアップデートを適用したOutlook 98/Outlook 2000は影響を受けない。

ファイル展開機能にセキュリティ・ホール

(2)ファイル展開機能に含まれる未チェックのバッファにより,コードが実行される (Q329048) (MS02-054)

 Windowsのファイル展開機能の不具合に起因する2種類の新しいセキュリティ・ホールが公開された。対象は Windows XP/Me,および Microsoft Plus! 98 をインストールしたWindows 98/98 SE。ファイル展開機能とは,Zip ファイルをフォルダのように取り扱える機能である。

 このセキュリティ・ホールを悪用するような Zip ファイルを受け取り,その Zip ファイルを展開すると,ユーザー・マシン上で任意のコードを実行される恐れがある。

 対策はパッチを適用すること。非常に深刻なセキュリティ・ホールなので,「Windows Update」サービスなどを利用して速やかにパッチを適用しよう。

 (2)の「MS02-054」は,以下の2つのセキュリティ・ホールが対象である。

  1. 「Zip ファイル処理の未チェックのバッファ」
  2. 「Zip ファイル展開の不正な対象パス」
 最大深刻度はいずれも「中」である。

 a により,ある特定の形式のファイル名を持つファイルを含む Zipファイルを展開しようとすると,ファイル展開機能にバッファ・オーバーランが発生する。これを悪用すれば,攻撃者が仕込んだ任意のコードをユーザー・マシン上で実行させることが可能となる。

 b により,Zipファイルの作成者が指定したフォルダ(パス)に,ファイルを展開させることが可能となる。そのため,Zipファイルに悪意あるプログラムを仕込み,展開時にはそのプログラムがスタートアップ・フォルダに置かれるようにすれば,悪意あるプログラムがパソコン起動時に実行されることになる。

 最大深刻度は「中」だが,いずれも深刻なセキュリティ・ホールである。早急に対応したい。特に,Windows 98/Me とは異なり,Windows XPではファイル展開機能がデフォルトで有効になっているので注意したい

 パッチの適用条件は特にない。なお Windows XP SP1 には,a のパッチは含まれるものの,b のパッチについては含まれていない。XP ユーザーは今回のパッチを必ず適用しよう。

FrontPage Server Extensionsにセキュリティ・ホール

(3)Smart HTML インタープリタでバッファオーバーランによりコードが実行される (Q324096) (MS02-053)

 FrontPage Server Extensions(FPSE)の一部であるSmart HTML インタープリタにセキュリティが見つかった。Smart HTML インタープリタとは,Web 形式およびその他の FrontPage ベースの動的なコンテンツをサポートするモジュール(dll)である。悪用されると,DoS攻撃やバッファ・オーバーラン攻撃を受ける恐れがある。バッファ・オーバーラン攻撃を受けた場合には,任意のコードを実行される恐れがある(関連記事)。

 対象は FPSE 2000/2002。なお,Windows XP/2000 は FPSE 2000を含んでいるので同様に影響を受ける。加えて,情報が公開された当初は指摘されていなかったが,SharePoint Team Services 2002 も影響を受けることが分かった。このため,SharePoint Team Services 2002 上で稼働する Project Server 2002 と GroupBoard version 2.0 Powered by SharePoint Team Services も影響を受ける。

 影響を回避するためにはパッチを適用するか,「IIS Lockdown Wizard ツール」でSmart HTML インタープリタを無効化する。

 FPSEをアンインストールすることでも回避できる。FPSE は IIS 4.0/5.0/5.1 にデフォルトで組み込まれるが,アンインストールが可能である。過去のコラムでも紹介している通り,FPSE には過去にもセキュリティ・ホールが見つかっている。不要ならばアンインストールしておくべきだ。

 今回の「MS02-053」は,(a)FPSE 2000(および FPSE 2000を含む Windows XP/2000)と(b)FPSE 2002 と SharePoint Team Services 2002(および Project Server 2002とGroupBoard version 2.0)では影響度が異なる。(a)はDoS攻撃を受ける恐れがあるのに対して,(b)はDoSに加えてバッファ・オーバーラン攻撃を受ける恐れもある。

 FPSE 2000 用のパッチは,プラットフォームごと(Windows XP/2000/NT 4.0)に異なるが,FPSE 2002 用のパッチはすべてのプラットフォームに適用できる。SharePoint Team Services 2002などについては,FPSE 2002 用パッチでも対応可能であるが,「Office XP SP-2」の適用が推奨されている。なお,Windows XP 用修正パッチは Windows XP SP1 に含まれている。

 ただし,「警告」の欄に記載されているように,FPSE 2002 にパッチを適用する場合には注意が必要である。修正パッチを適用する前にアップデートを適用しなければならない。詳細は最新のアップデートの概要(英語情報)「Overview of the FrontPage 2002 Server Extension Update: January 28, 2002」に記載されている。このセキュリティ情報からリンクが張られたアップデートを,パッチ適用前に適用する必要がある。

 マイクロソフトのセキュリティ情報では,この警告の参照のさせ方が誤っているので,こちらについても注意が必要だ。この警告は FPSE 2002 ユーザー向けなので,本来はセキュリティ情報中の「すべてのプラットフォームの Microsoft FrontPage Server Extensions 2002」のパッチを説明する部分でこの警告を参照させる必要がある。しかし実際には「Windows NT 4.0 の Microsoft FrontPage Server Extensions 2000」の部分に,「インストールされる際に『警告』の欄をご確認ください」と記載されている。明らかに誤りなので注意しよう。

SQL Serverの累積的なパッチが公開,ただし不完全

 各種サーバー・アプリケーション関連では,「マイクロソフト セキュリティ情報一覧」にて,新規日本語情報およびパッチが1件,新規日本語情報が1件公開された。

(1)SQL Server 用の累積的な修正プログラム (Q316333) (MS02-056)

 SQL Server 7.0/2000,Microsoft Data Engine (MSDE) 1.0,SQL Server 2000 Desktop Engine (MSDE 2000) において,3種類の新しいセキュリティ・ホールが公開された。最も深刻なセキュリティ・ホールを悪用されると,攻撃者にシステムを乗っ取られる恐れがある。対策はパッチを適用すること。

 今回の「MS02-056」は以下のセキュリティ・ホールが対象である。いずれも最大深刻度は「高」である。

  1. 「SQL Server 2000 の認証機能に含まれる未チェックのバッファ」
  2. 「Database Console Command に含まれる未チェックのバッファ」
  3. 「スケジュールされたジョブの出力ファイル処理の問題」
 パッチの適用条件は,SQL Server 7.0 用がSQL Server 7.0 SP4を適用済みであること,SQL Server 2000 用がSQL Server 2000 SP2 を適用済みであることである。

 今回のパッチは累積的な修正パッチであり,上記の3種類に加え,SQL Server 7.0/2000に関する過去のセキュリティ・パッチをすべて含むとしている。しかし,実際には含まれていないパッチ(ツール)が2種類存在する。過去に紹介した「SQL Server 用の累積的な修正プログラム (Q316333) (MS02-043)」同様“不完全”なのだ(関連記事)。

 まず,「SQL Server のインストール プロセスで,パスワードがシステムに残る (Q263968) (MS02-035)」で提供された「KillPwd ユーティリティ(KillPwd.exe)」を含まない。これは,SQL Server 7.0 と2000 の両方が対象である。加えて,MDAC および OLAP 用のパッチを含まない。対象となるのは,SQL Server 2000だけである。別途適用すべきパッチの具体的な情報は,「製品別修正プログラム一覧」「SQL Server 2000 SP 2セキュリティ修正プログラム一覧」を参照してほしい。

(2)Services for Unix 3.0 に含まれる Interix SDK の問題によりコードが実行される (Q329209) (MS02-057)

 Services for Unix 3.0 Interix SDK にセキュリティ・ホールが見つかった。Interix SDK に含まれる Sun Microsystems RPC ライブラリを使用している場合,DoS 攻撃やバッファ・オーバーラン攻撃を受ける恐れがある。バッファ・オーバーラン攻撃を受けると,任意のコードを実行される可能性がある。

 ただし,Services for UNIX (SFU) 3.0 は英語版のみが提供されている。そのため,日本語版修正パッチは存在しない。現在ダウンロード可能な日本語ベータ版 Services for UNIX 3.0では,この問題は修正されている。

「TechNet Online セキュリティ」ではドキュメントが3件公開

 TechNet Online セキュリティでは,次の3件のドキュメントが公開された。(1)「Bugbear に関する情報」,(2)「Windows XP の『ヘルプとサポート センター』のぜい弱性に関する情報」,(3)「Exchange 2000 Server セキュリティ運用ガイド」――である。

(1)は,海外で急速に感染を広げている「Bugbear」ワームに関するレポートである(関連記事)。

 Bugbear ワームは,「MS01-020」のセキュリティ・ホールを悪用するので,Outlook や Outlook Express ではメールの本文をプレビューするだけで感染する恐れがある。

 感染後は,アドレス帳やパソコン内のHTMLファイルなどに書かれているメール・アドレスへ自分自身のコピーをメール発信したり,ネットワーク上の共有ドライブに自分自身をコピーしたりする。

 加えて,ウイルス対策プログラムを停止したり,キーボード入力を読み取るバックドアを仕掛けたりする。バックドアは TCP 36794 ポートを利用してキーボード入力の記録を外部へ送信する。非常に悪質なワームだ。

 Bugbear だけではなく,Opasoftと呼ばれるワームにも注意する必要がある。トレンドマイクロはOpasoftを警告するレポートを公開している。Bugbearとは異なり,Opasoftはメールでは感染を広げない。ネットワーク上の共有ドライブに自分自身をコピーして感染を広げる。加えて,侵入したネットワークに存在するコンピュータ名とドメイン名をあるサイトへ送信する。

 アクセス可能な共有ドライブに感染を広げるウイルスは,一度企業内ネットワークに侵入すると,非常に大きな被害をもたらす恐れがある。「Nimda」ワーム(ウイルス)がまさにそうだった。こういったワームによる被害を未然に防ぐために,他のユーザーが書き込む必要がない共有ドライブについては,リード・オンリーにしておきたい。

 (2)は,Windows XP の「ヘルプとサポート センター」に存在する問題に関するレポートである。この問題はセキュリティ・コミュニティなどで議論されており,レポートでは,その議論に対するマイクロソフトの見解が示されている。

 ヘルプに存在する問題といっても,今回紹介した「MS02-055」ではない。具体的には,パソコン内のファイルを削除される恐れがある問題である。英文のドキュメント「Q328940 - Uplddrvinfo.htm Contains JScript Code That Might Permit a Malicious User to Delete Files」に書かれているように,パッチは Windows XP SP1 に含まれる。

 ただし,個別のパッチはまだリリースされていないので,解消するにはSP1を適用するしかない。このことが一部のユーザーから批判されている。レポートには,SP1を適用してほしいことと,個別のパッチを現在準備中であることなどが記されている。

 (3)は,セキュアな Exchange 2000 サーバー環境を構築および運用するための手順を解説したドキュメントである。Exchange サーバーの管理者は,必要に応じて内容をチェックしておこう。



マイクロソフト セキュリティ情報一覧

『Windows 98/98 SE/Me/NT 4.0/NT 4.0 Terminal Server Edition/2000/XP』
Windows ヘルプ機能の未チェックのバッファにより,コードが実行される (Q323255) (MS02-055)
 (2002年10月3日:日本語情報及び日本語版パッチ公開,最大深刻度 : 高)

『Windows 98/98SE (いずれもMicrosoft Plus! 98 をインストールしている場合のみ)/Me/XP』
ファイル展開機能に含まれる未チェックのバッファにより,コードが実行される (Q329048) (MS02-054)
 (2002年10月3日:日本語情報および日本語版パッチ公開,最大深刻度 : 中)

『FrontPage Server Extensions 2000/2002,Windows 2000/XP』
Smart HTML インタープリタでバッファオーバーランによりコードが実行される (Q324096) (MS02-053)
 (2002年 9月30日:SharePoint Team Services 2002 に関する情報を追加,最大深刻度 : 高)
 (2002年 9月27日:すべてのプラットフォームの FPSE 2002用および NT 4.0 の FPSE 2000 用日本語版パッチを公開,警告の欄を追加,最大深刻度 : 高)
 (2002年 9月26日:日本語情報および Windows 2000/XP の FPSE 2000用日本語版パッチを公開,最大深刻度 : 高)

『SQL Server 7.0/SQL Server 2000/Desktop Engine (MSDE) 1.0/Desktop Engine (MSDE) 2000』
SQL Server 用の累積的な修正プログラム (Q316333) (MS02-056)
 (2002年10月3日:日本語情報及び日本語版パッチ公開,最大深刻度 : 高)

『Services for UNIX (SFU) 3.0』
Services for Unix 3.0 に含まれる Interix SDK の問題によりコードが実行される (Q329209) (MS02-057)
 (2002年10月3日:英語版製品のみが提供されているので日本語版パッチは公開されない,最大深刻度 : 中)

TechNet Online セキュリティ

Bugbear に関する情報

Windows XP の 「ヘルプとサポート センター」 のぜい弱性に関する情報

Exchange 2000 Server セキュリティ運用ガイド


山下 眞一郎(Shinichiro Yamashita)
株式会社 富士通南九州システムエンジニアリング
第一ソリューション事業部ネットソリューション部 プロジェクト課長
yama@bears.ad.jp


 「今週のSecurity Check [Windows編]」は,IT Proセキュリティ・サイトが提供する週刊コラムです。Windows関連のセキュリティに精通し,「Winセキュリティ虎の穴」を運営する山下眞一郎氏に,Windowsセキュリティのニュースや動向を分かりやすく解説していただきます。(IT Pro編集部)