2003年の第1回となるこの記事では,2002年中に紹介しきれなかったセキュリティ・ホールを整理して解説する。2002年12月には深刻度が「緊急」であるセキュリティ・ホールが立て続けに4件公開されたために,「緊急」のセキュリティ・ホールに対して“麻痺”してしまっているユーザーも多いだろうが,12月19日に公開されたWindows Shellのセキュリティ・ホールは“別格”だ。まだ対策していないユーザーは,早急に対応しなくてはならない。
「緊急」のセキュリティ・ホールが相次いで公開
2002年11月から12月にかけて,このコラムで重点的に取り上げたセキュリティ・ホール「Microsoft Data Access Components のバッファ オーバーランにより,コードが実行される (Q329414) (MS02-065)」を皮切りに,深刻度が最悪の「緊急」であるセキュリティ・ホールが相次いで公開された。
12月5日公開当初は深刻度が「警告」だったものの,その2日後に「緊急」に変更された(1)「Internet Explorer 用の累積的な修正プログラム (324929) (MS02-068)」,12月12日に公開された(2)「Microsoft VM の問題により,システムが侵害される (810030) (MS02-069)」,12月16日に「重要」から「緊急」に変更された(3)「Internet Explorer 用の累積的な修正プログラム (Q328970) (MS02-066)」,12月19日に公開された(4)「Windows Shell の未チェックのバッファによりシステムが侵害される (329390) (MS02-072)」――。以上4件が,12月中に公開あるいは更新された。
これだけ「緊急」のセキュリティ・ホールが相次ぐと,それぞれに対して緊急に対応せずに,「後でまとめて対応しよう」と考えるユーザーは少なくないだろう。しかしながら,(4)の「MS02-072」は同じ「緊急」の深刻度でも,他のセキュリティ・ホールとは異なりとても危険である。直ちに対応しなければならない。
ファイルのアイコンにマウスを合わせるだけで被害
Windows Shell の未チェックのバッファによりシステムが侵害される (329390) (MS02-072)
Windows XP において,ユーザー・インタフェースのフレームワークを提供するWindows Shell にセキュリティ・ホールが見つかった。特定のオーディオ・ファイルのカスタム属性を自動的に抽出する機能に,未チェックのバッファが含まれている。このため,バッファ・オーバーフロー攻撃を仕掛けられ,ユーザーのマシン上で任意のコードを実行させられる恐れがある。
具体的には,攻撃者は不正なカスタム属性を含む .MP3 あるいは .WMA ファイルを作成し,Webサイトや共有フォルダに置く,あるいはそれらのファイルへのリンクを含んだHTMLメールを送信することで,任意のコードをユーザーに実行させることが可能になる。HTMLメールを介した攻撃を受けた場合,メールをプレビュするだけで任意のコードを実行させられる恐れがある(関連記事)。
対策は「Windows Update」などを利用してパッチを適用することである。パッチの適用条件は特にない。
なお,デフォルト設定のOutlook Express 6,Outlook 2002,「Outlook 電子メール セキュリティ アップデート」を適用した Outlook 98 や Outlook 2000 においては,メールをプレビュするだけで任意のコードを実行してしまうことはない。Windows XP SP1 あるいはInternet Explorer(IE)用の修正パッチをすべて適用している場合にも,プレビュするだけで攻撃を受けることはない。
ここまでは,“よくある”バッファ・オーバーフローのセキュリティ・ホールとほぼ同じように見える。しかし,大きな違いがある。攻撃者によって細工が施されたファイルを実行しなくても,そのファイルのアイコン上にマウス・ポインタを合わせただけで攻撃を受ける恐れがあるのだ。
具体的には,細工が施された.MP3 および .WMA ファイルのアイコンにマウス・ポインタを合わせるか,細工が施されたファイルが保存されている共有フォルダやローカル・フォルダを開くだけで,任意のコードを実行させられる恐れがあるのだ。
今回のセキュリティ・ホールは,Windows XP が標準でサポートしている,オーディオ・ファイルに関するカスタム属性の自動解析機能に起因する。実行させられるコードは,ファイルのカスタム属性に含まれており,Windows Shellがカスタム属性を読み込んだ段階で実行してしまう。つまり,細工が施されたファイルをダウンロードしなくても実行してしまうのだ。
さらに,ファイルのダウンロードなどとは異なり,ユーザーに対して警告を発することもない。加えて,IEのセキュリティ設定で回避することもできないようである。
以上のように,「MS02-072」は特に危険なセキュリティ・ホールなのである。早急に対策を施す必要があることが分かってもらえただろう。
影響を受けるのは.MP3 および .WMA の拡張子を持つファイルだけであり,.WAV,.MPG,.MPEG,.AVI などのファイルを使ってセキュリティ・ホールを悪用することはできない。
ただし“救い”もある。今回のセキュリティ・ホールがマイクロソフトの公表前に周知されていた可能性は低い。というのも,「MS02-072」のセキュリティ情報の「謝辞」によれば,発見者である米Foundstone Research Labsからマイクロソフトへ事前に報告されていたことがうかがえるからだ。Foundstone Research Labsは,12月18日に同セキュリティ・ホールのレポート「FS2002-11 Exploitable Windows XP Media Files」を公開している。
ちなみにFoundstone Research Labsは,以前のコラムで重点的に取り上げた「Microsoft Data Access Components のバッファ オーバーランにより,コードが実行される (Q329414) (MS02-065)」のセキュリティ・ホールも発見している。
「スパイ・データ」が出現する可能性あり
「MS02-072」のセキュリティ・ホールを悪用すれば,任意のコードを実行させることができる。ということは,ユーザーの個人情報――これまでに訪問したWebサイトの履歴,ダウンロードしたファイル,再生したオーディオ・ファイル,など――を外部に送信させることが可能である。しかも,コードが仕込まれるのはカスタム属性部分なので,オーディオ・ファイルの音質を損なうことがなく,ユーザーがコードの存在に気付くことはない――。このように考えると,「スパイ・データ」と呼べるようなファイルが出現し,流通する可能性があるのではないだろうか。
これまでは,個人情報を漏洩するソフトウエアである「スパイ・ウエア」の存在が警告されてきた(関連記事)。ソフトウエアを実行すると,個人情報を外部に送信する。しかも,そのことを合法的にすべく,使用許諾の条件に個人情報を送信する旨を盛り込んでおいて,暗黙のうちに承諾させておくのだ。例えば,シマンテックが2002年10月に公開した「W32.Friendgreet.worm 」がこの性質を持つスパイ・ウエアといえるだろう。
同様に,個人情報を外部へ送信するようなスパイ・データが出現する可能性は十分にある。「MS02-072」に限らず,任意のコードの実行を許すセキュリティ・ホールを悪用されれば,個人情報を外部へ送信させられる可能性はあるので,その危険性は今に始まったことではない。しかしながら,オーディオ・ファイルのアイコンにマウス・ポインタを合わせるだけで任意のコードを実行させられる「MS02-072」が発覚したことで,その可能性がより高まったと考えられる。
さらに,「MS02-072」と同じように,スパイ・データが出現する可能性を高めるセキュリティ・ホールが,Windows OS 以外にも見つかっている。例えば,オーディオ・ファイルを再生するソフトウエア「Winamp」には,不正なタグを含む .MP3 ファイルを再生すると任意のコードを実行させられてしまうセキュリティ・ホールが見つかっている。
発見したのは,これまたFoundstone Research Labsであり,Windows Shellのセキュリティ・ホールと同じく12月18日に「FS2002-10 Multiple Exploitable Buffer Overflows in Winamp」として公開した。Winamp 3.0 と Winamp 2.81 には,MP3ファイルに含まれる特定のID3v2 タグの扱いに問題があるために,バッファ・オーバーフローが発生する恐れがある。そのため,不正なタグを含む .MP3 ファイルを再生すると,Winamp 3.0では任意のコードを実行させられる恐れが,Winamp 2.81ではWinampをクラッシュさせられる恐れがあるという。
対策は対応済みのWinampを再インストールすること。Winampの開発ベンダーであるNullsoftのWebサイトで,今回のセキュリティ・ホールに関するレポート「Security Fixes For Winamp: Get The Latest And Be Protected」を閲覧できるとともに,対応済みのWinamp 3.0 と Winamp 2.81をダウンロードできる。
ただし,対応済みのWinampであってもバージョン番号は変更されていないので注意が必要だ。現在使用しているWinamp 3.0/2.81 が,2002年12月17日より前にダウンロードしたものである場合には,現在公開されているWinampを再インストールする必要がある。なお,Winamp 3.0については,build #488以降ならば今回のセキュリティ・ホールは修正されている。
広く利用されている「Flash Player」にも同様のセキュリティ・ホールが見つかっている。細工が施されたMacromedia Flash ムービー (.swfファイル)を再生すると,バッファ・オーバーフローが発生し,任意のコードを実行させられる可能性がある(関連記事)。これを悪用すれば,.swfのスパイ・データを作成することが可能となる。
対策は,バージョン 6,0,65,0 以降にFlash Playerをアップグレードすること。マクロメディアは,今回のセキュリティ・ホールに関するレポート「MPSB02-15 - Macromedia Flash ヘッダ機能不全問題」と,最新バージョン6,0,65,0を公開している。
ほとんどのパソコンにインストールされているFlash Playerが,今回のセキュリティ・ホールの影響を受けると考えられる。例えば,筆者のWindows XP プレインストール・マシンでも,「Macromedia - サポート : Macromedia Flash Player & Shockwave Player」ページの「About」で確認したところ,影響を受けるバージョン6,0,47,0であった。同ページで確認の上,早急にバージョンアップしよう。
Microsoft VMに「緊急」のセキュリティ・ホール
それでは次に,上記以外のWindows関連のセキュリティ・トピックス(2003年1月4日時点分)を,各プロダクトごとに整理して解説する。いずれも2002年中のトピックスであるが,改めて確認しておきたい。
各種クライアント関連では,上記の「MS02-072」以外に3件の日本語情報およびパッチが新規に公開された。
(1)Microsoft VM の問題により,システムが侵害される (810030) (MS02-069)
マイクロソフトのJava仮想マシン「Microsoft VM」に8つのセキュリティ・ホールが見つかった。ビルド 3805 までの Microsoft VM を使用するWindows プラットフォームが影響を受ける。最も深刻なセキュリティ・ホールを悪用されると,ユーザーのマシンを乗っ取られる恐れがある(関連記事)。
対策は,Microsoft VM の ビルド 3809 以降をインストールすること。深刻度は「緊急」なので早急に対応したい。とはいうものの,筆者自身はそれほど危険なセキュリティ・ホールとは考えていない。容易に回避できるからである。Web ベースの攻撃については,IEの設定でJavaを無効にしていれば影響を受けない。これは,以前のコラムで紹介した「IEを使い続けるための“お勧め”設定 2002年3月27日版」でお勧めしている設定である。
電子メールによる攻撃についても,メール・ソフトでJavaを無効にしていれば影響を受けない。Outlook Express 6 および Outlook 2002ではデフォルトで無効に設定されているし,Outlook 98 および Outlook 2000でも「Outlook 電子メール セキュリティ アップデート」を適用していれば無効に設定変更されている。
(2)Windows WM_TIMER メッセージ処理の問題により,権限が昇格する (328310) (MS02-071)
Windows NT 4.0/NT 4.0, Terminal Server Edition(TSE)/2000/XPのメッセージ処理機能にセキュリティ・ホールが見つかった。悪用されると,一般ユーザーの権限昇格を許す恐れがある。
対策はパッチを適用すること。深刻度は「重要」なので,可能な限り速やかにパッチを適用しよう。パッチの適用条件は,NT 4.0 用が SP6a ,NT 4.0 TSE 用が SP6,Windows 2000 用が SP2/SP3を適用済みであること。Windows XP 用には条件はない。
なお,このセキュリティ・ホールを悪用するには,攻撃者はシステムへ対話的にログオンする必要がある。リモートから悪用することはできない。
(3)SMB 署名の問題により,グループ ポリシーが変更される (309376) (MS02-070)
Windows 2000/XPにおいて,ファイル共有プロトコルなどとして使用するSMB(サーバー・メッセージ・ブロック)署名の実装にセキュリティ・ホールが見つかった。悪用すると,SMB 署名の設定を管理者に気づかれることなくダウングレードすることが可能となり,ローカル管理者グループにユーザーを追加したり,システム上で任意のコードを実行したりできる。
対策はパッチを適用すること。深刻度は「警告」なので,必要に応じてパッチを適用しよう。パッチの適用条件は,Windows 2000 用が SP2 または SP3 を適用済みであること。Windows XP 用のパッチは,Windows XP SP1 に含まれている。なお,SMB 署名を無効にしていれば影響を受けない。Windows 2000 および Windows XP ではSMB 署名はデフォルトで無効に設定されている。
IEの“古い”セキュリティ・ホールが「緊急」に
各種クライアント関連については,追加情報も1件公開されている。 Internet Explorer 用の累積的な修正プログラム (Q328970) (MS02-066)
セキュリティ・ホール自体は以前の記事で紹介済みである。その深刻度が当初の「重要」から「緊急」に変更された。併せて,「PNG イメージ・ファイル」 のセキュリティ・ホールに関する情報が追加された。ただし,このセキュリティ・ホールのパッチは,IEの最新累積パッチである「MS02-068」に含まれているので,「MS02-068」のパッチを適用しているユーザーは何もする必要はない。
また,「TechNet Online セキュリティ」では,トピックが1件公開されている。
年末年始などの長期休暇前に,不正アクセスやウイルスに備えるためになすべきことをまとめたものだ。同様の情報はIPAも「年末警報 -添付ファイルにご用心,メールを選択しただけでも感染!!」として公開している(関連記事)。念のために目を通しておきたい。
マイクロソフト セキュリティ情報一覧
『Windows XP』
◆Windows Shell の未チェックのバッファによりシステムが侵害される (329390) (MS02-072)
(2002年12月19日:日本語情報および日本語版累積修正パッチ公開,最大深刻度 : 緊急)
『Windows プラットフォーム』
◆Microsoft VM の問題により,システムが侵害される (810030) (MS02-069)
(2002年12月12日:日本語情報および日本語版修正パッチ公開,最大深刻度 : 緊急)
『Windows NT 4.0/NT 4.0, Terminal Server Edition/2000/XP』
◆Windows WM_TIMER メッセージ処理の問題により,権限が昇格する (328310) (MS02-071)
(2002年12月18日:「修正プログラムが正しくインストールされたかどうか確認する方法」 の情報が更新,最大深刻度 : 重要)
(2002年12月12日:日本語情報および日本語版修正パッチ公開,最大深刻度 : 重要)
『Windows 2000/XP』
◆SMB 署名の問題により,グループ ポリシーが変更される (309376) (MS02-070)
(2002年12月12日:日本語情報および日本語版修正パッチ公開,最大深刻度 : 警告)
『Internet Explorer 5.01/5.5/6.0』
◆Internet Explorer 用の累積的な修正プログラム (Q328970) (MS02-066)
(2002年12月16日:深刻度を「緊急」に変更,「PNG イメージ・ファイル」 のセキュリティ・ホール情報を追記,最大深刻度 : 緊急)
(2002年11月21日:日本語情報および日本語版累積修正パッチ公開,最大深刻度 : 重要)
TechNet Online セキュリティ
Macromedia Flash Player サポートセンター
◆MPSB02-15 - Macromedia Flash ヘッダ機能不全問題
山下 眞一郎(Shinichiro Yamashita)
株式会社 富士通南九州システムエンジニアリング
第一ソリューション事業部ネットソリューション部 プロジェクト課長
「今週のSecurity Check [Windows編]」は,IT Proセキュリティ・サイトが提供する週刊コラムです。Windows関連のセキュリティに精通し,「Winセキュリティ虎の穴」を運営する山下眞一郎氏に,Windowsセキュリティのニュースや動向を分かりやすく解説していただきます。(IT Pro編集部)
