先週はマイクロソフトから新規セキュリティ・ホールは“珍しく”公開されなかった。そこで今回の記事では,Internet Explorer(IE),NetscapeおよびOperaにおける最新のセキュリティ対策をまとめた。記事を参考にぜひ総点検していただきたい。また,一種類のブラウザだけを使い続けるのはお勧めできない。安全なブラウザは存在しない。複数のブラウザを使い分けることで,リスクを軽減したい。

IEは最新の累積パッチを,ただし不具合に注意

 まずは一番ユーザーが多いIEから解説しよう。2月24日現在,最低限のセキュリティを確保する方法は,最新の累積パッチ「Internet Explorer 用の累積的な修正プログラム (810847) (MS03-004)」を適用することである。このパッチは2月6日に公開された。このパッチとともに公開されたセキュリティ・ホールについては,過去の記事に詳しい。

 このコラムの読者なら当然適用済みだろうが,まだ適用していないユーザーは「Windows Update」から適用できるので早急に適用してほしい。

 ただし,この「MS03-004」には2つの不具合が見つかっている。いずれもセキュリティ関連ではないものの,注意したい。

 まず2月13日には,IE6 SP1用の「MS03-004」パッチを適用すると,特定のWebサイトにおいてユーザー認証できなくなることが,「MS03-004」のセキュリティ情報に追記された。対策は「February 2003, Update for Internet Explorer 6 SP1 (813951)」のパッチを適用することである。このページは英語であるが,「Select Language」で「Japanese」を選択すれば日本語版パッチをダウンロードできる。

 2月18日には,IE6 SP1用の「MS03-004」のパッチを適用すると,Outlook Express 6が正常に動作しなくなる不具合が,「サポート技術情報(KB)」の「814803 - MS03-004 適用後 Outlook Express が正しく動作しない」として公開された。

 具体的には,「MS03-004」のパッチ適用後,Outlook Express 6でメールを新規に作成しているときに,ワードパットなどのアプリケーションから文章を引用すると,「MSIMN のページ違反」というエラーが発生するというものだ。原因については現在調査中とされており(2月24日現在),対応策は存在しない。

 後者の不具合については,対応策が存在しないことは問題だが,それ以上に,不具合が「サポート技術情報」でしか公開されていないことが問題だ。なぜ「セキュリティ情報」には記載されていないのだろうか。「セキュリティには影響しないから」という理由であれば,なぜ前者の不具合は記載されているのか。一貫性に欠ける。

 パッチの適用で発生する不具合については,それがセキュリティに関係しようがしまいが,「セキュリティ情報」に漏れなく記載してもらいたいものだ。

“お勧め”設定が新機能に

 最新の累積パッチ「MS03-004」を適用することは,あくまでも最低限のセキュリティ対策である。「Unpatched IE security holes」によると,パッチが公開されていないIEのセキュリティ・ホールが13個存在するという(2月24日現在)。IEを安全に使うには,セキュリティ設定にも注意しなければならない。セキュアな設定としては,筆者がこのコラムで何度も書いている「“お勧め”設定」が文字通りお勧めである。

 この“お勧め”設定の一部は,米国では4月24日に正式発表される「Windows Server 2003」の「セキュリティの新機能」に含まれるようである(このページには記載されていない)。

 セキュリティの新機能は複数あるが,その一つとして「Internet Explorer Enhanced Security Configuration(以下,Enhanced Security Configuration)」(開発コードは「Internet Explorer Hardening Pack」)というコンポーネントが用意される。これを追加インストールすることで,IE6のセキュリティ設定をよりセキュアなものに変更できる。

 具体的には,「Enhanced Security Configuration」を適用すると,デフォルトの場合,インターネット・ゾーンとイントラネット・ゾーンの「ActiveX コントロールとプラグイン」「Microsoft VM」「スクリプト」「ファイルのダウンロード」の機能を無効にできる。また,ユーザーが勝手にこの設定を変更できないように,管理者がロックすることも可能であるという。

 これらの設定変更は,まさしく筆者が推奨している“お勧め”設定の一部である。“お勧め”設定を施せば,Enhanced Security Configuration以上のセキュリティを先取りできるのだ。

 Enhanced Security Configurationの提供は,筆者の“お勧め”設定の確かさを裏付けるだけではない。Windows Server 2003用とはいえ,こうしたコンポーネントを標準で提供するということは,「ここまで設定を厳しくしないと,IEをセキュアに使用できない」とMicrosoftがようやく認識したことの裏付けでもあるだろう。

 以上をまとめると,IEのセキュリティ対策は「最新の累積パッチを適用して,“お勧め”設定を施すこと」になる。

複数のブラウザを使い分ける

 とはいえ,このセキュリティ対策については,異議を唱えるユーザーは少なくないだろう。以前の記事でも書いたように,“お勧め”設定を施すとIEの機能を大きく制限してしまうからだ。その結果,サイト製作者が意図した通りにページを閲覧できないケースが出てくる。

 回避するには,頻繁に訪れるWebサイトをすべて「信頼済みサイト・ゾーン」に登録する方法が考えられるが,安易に登録することは危険である。そのWebサイト自身に悪意がなくても,最近指摘が相次いでいる「クロスサイト・スクリプティング」のぜい弱性があった場合,信頼済みサイト・ゾーンで許している動作を,攻撃者に行われる恐れがあるからだ。

 筆者がお勧めなのは,複数のブラウザを使い分けることである。IEには“お勧め”設定を施し,“お勧め”設定ではきちんと表示されないサイトについては,そのサイトに(クロスサイト・スクリプティングを含め)ぜい弱性がないことを確認した上で,信頼済みサイト・ゾーンに登録する。そして,IEでなくても閲覧できるサイトについては,IE以外のブラウザを使用するのである。

 筆者自身は,IE以外では動作保証されないことが多いイントラネットでは,“お勧め”設定を施したIE 6を使用している。もちろん,SP1およびすべてのパッチを適用している。そして,信頼済みサイト・ゾーンに自社のドメインと「Windows Update」サイト(「*.windowsupdate.microsoft.com」。ただしWindows XPの場合)を登録している。

 一方,インターネット上のサイトを閲覧する場合には,Java機能を無効にした「Netscape」最新版を使用している。メール・ソフトとは異なり,Webブラウザを使い分けることは容易である。IEとそれ以外のWebブラウザによる“二刀流”をお勧めする。

 もちろん,IE以外のブラウザについてもセキュリティには注意しなければいけない。「IE以外のブラウザなら安全」というわけでは決してない。NetscapeおよびOperaのセキュリティについては後述するので参考にしてほしい。

 筆者はNetscapeを使用しているが,Operaでも,あるいはそれ以外のブラウザでも当然かまわない。今回は詳述しないが,「Mozilla」や,IEをエンジンとする,独自のセキュリティ設定を実装した各種「タブ・ブラウザ」でもよい。重要なのは,セキュリティ対策をきちんと施したブラウザを使うということである。

最新版Netscape 7.02を使う

 Netscape については,セキュリティの向上が図られた最新版「Netscape 7.02 日本語版」を使用することがセキュリティ対策となる。設定については,Java機能を無効する。

 Netscape 7.02は2月18日ごろにリリースされたようだ。同社のWebページから無償でダウンロードできる。Windows版については,Windows 98/ME/NT/2000/XP用がリリースされている。

 「Netscape 7.0 - 7.02 リリース ノート」によれば,Netscape 7.02 の新機能は「セキュリティの向上」「安定性の向上」「新しい Macromedia Flash 6 r65のプラグイン(Windowsのみ)」「新しい Java 1.4.0_03のプラグイン(Windowsのみ)」――とされている。

 ただし,「セキュリティの向上」に関しては,詳細が不明である。本来であれば「Netscape Security Center」で公開されるべきであるが, 2002年11月19日の「Sun JRE(Javaランタイム環境)問題」を最後に,更新が止まっている。

 Netscapeは,IEとは異なりパッチが存在しない。修正を施した最新版をリリースすることで対応している。絶えず最新版を使用すればセキュリティを保てるので,Netscape Communications社としては,セキュリティ問題の詳細を公開する必要がないと考えているのかもしれないが,それは間違いだと筆者は考える。セキュリティ問題の公開をぜひ再開してもらいたい。一ユーザーとしての願いである。

 Netscapeについては,今後アップデートされなくなるかもしれないという気になる記事が公開されている。筆者のような“Netscapeファン”のためにも,最低でもバグ修正を目的とした「メンテナンス・リリース」は継続して公開してもらいたい。

Opera 6.05では設定ファイルの変更を

 Operaにはセキュリティ・ホールが相次いで見つかっている。そのため,英語版については最新版の「Opera 7.01」を使用すること,日本語版(Opera 6.05)については設定ファイルを一部変更することがセキュリティ対策となる。

 現時点(2月24日)での,Opera for Windows 英語版の最新バージョンは「Opera7.01 for Windows 英語版」,日本語版の最新バージョンは「Opera 6.05 for Windows 日本語版」である。

 「Opera 7」では,レンダリング・エンジンの最適化をはじめ,「快適なインターネットに必要な機能は何か」という観点から全面的な見直しが図られたとされている。しかし2月4日,イスラエルGreyMagic Softwareから合計5つのセキュリティ・ホールが指摘された関連記事)。そこで同日,Opera Softwareはこれらすべてのセキュリティ・ホールを修正した「Opera 7.01」を公開した。

 GreyMagic Softwareが指摘した5つのセキュリティ・ホールは,日本語版の最新バージョンである「Opera6.05」に影響を与えなかったものの,2月10日,Operaの国内販売元であるトランスウエアは,Opera 6.05には別の深刻なセキュリティ・ホールが存在することを明らかにした関連記事)。このセキュリティ・ホールは,Opera 7.01に影響を与えない。

 現時点では Opera 7.01 for Windows 日本語版は公開されていないので,バージョン・アップで対応することはできない。Opera 6.05 の設定ファイルの一つである言語ファイルを変更して対応する必要がある。

 具体的には,言語ファイル(日本語版の場合,「japanese.lng」または「ja.lng」)のリソース内番号「21463」の文字列にある,変数「%s」(ユーザー名とサーバー名を表す変数)を消去する。消去すると,「URL警告ダイアログ」でユーザー名とサーバー名が表示されなくなるという“副作用”はあるものの,不都合はさほど生じない。深刻なセキュリティ・ホールなので,必ず対応しよう。

 ちなみに,「Opera 7 for Windows 日本語版」のパッケージ販売が2003年3月20日から開始されることが発表された。ダウンロード版も3月20日までには公開されるようである。表記は「Opera 7」であるが,実際にはOpera 7.01 以降になると思われる。

OracleやNortonにセキュリティ・ホール

 マイクロソフトから新規のセキュリティ・ホールは公開されていないが,Windowsをプラットフォームとする製品のいくつかにはセキュリティ・ホールが見つかっている。次に,それらを簡単に紹介する。詳細については関連記事やベンダーの公開情報を参照してほしい。

 まず,日本オラクルから,Oracle9i/8i/8 Database SeverおよびOracle9i Application Server(AS)に関するセキュリティ・ホール情報が公開されている(関連記事)。同社の「セキュリティ情報」において2月19日に公開された(米Oracleでは2月11日に公開された)。

 悪用されると,サーバー上で任意のプログラムを実行される恐れがある深刻なセキュリティ・ホールである。セキュリティ情報には,回避策やパッチの入手方法などが詳細に説明されているので,対象ユーザーはすぐにチェックする必要がある。

 「Symantec Norton AntiVirus 2002」の受信メールスキャン機能には ,バッファ・オーバーフローのセキュリティ・ホールがあることも明らかとなっている。セキュリティ・ベンダーであるラックが2月19日に公開した関連記事)。

 対策は,同製品が備える「LiveUpdate」を実施することである。

物理的なアクセスを許さない

 最後に,2月20日にIT Proに掲載された“気になる”ニュースを紹介したい。「Windows 2000のCDから回復コンソールを起動するとWindows XPに侵入できる問題」である。

 Windows XPがインストールされたマシンで,Windows 2000のCD-ROMを使って「Windows 2000回復コンソール」を起動すると,パスワード無しであらゆる管理操作が可能になるというものだ。

 重要なマシンに対しては,関係者以外の物理的なアクセスを許さないとともに,フロッピ・ディスクやCD-ROMからは起動できないようにBIOSレベルで設定しておくことで回避できる。管理者は十分注意したい。



マイクロソフト セキュリティ情報一覧

『Internet Explorer 5.01/5.5/6』
Internet Explorer 用の累積的な修正プログラム (810847) (MS03-004)
 (2003年 2月20日:「813951」のパッチが必要な環境は IE6 SP1 だけであることを追記)
 (2003年 2月13日:このパッチで生じる不具合を解決する新たなパッチ「813951」を公開)
 (2003年 2月12日:パッチの対象プラットフォームに関する詳しい説明を追記)
 (2003年 2月 7日:1月20日に Windows Update に誤って公開された Windows NT 4.0用パッチに関する「おわび」を追記)
 (2003年 2月 6日:日本語情報および日本語版パッチ公開,最大深刻度 : 緊急)


山下 眞一郎(Shinichiro Yamashita)
株式会社 富士通南九州システムエンジニアリング
第一ソリューション事業部ネットソリューション部 プロジェクト課長
yamaアットマークbears.ad.jp


 「今週のSecurity Check [Windows編]」は,IT Proセキュリティ・サイトが提供する週刊コラムです。Windows関連のセキュリティに精通し,「Winセキュリティ虎の穴」を運営する山下眞一郎氏に,Windowsセキュリティのニュースや動向を分かりやすく解説していただきます。(IT Pro編集部)