3月3日に公開された,sendmailのセキュリティ・ホール対応に追われた管理者は少なくないだろう。今回のセキュリティ・ホールはすべてのプラットフォームで稼働するsendmailが影響を受けるので,Windows版Sendmailも当然影響を受ける。そこで今回の記事では,同セキュリティ・ホールを簡単に解説するとともに,Windows版Sendmailベンダーの対応状況や,ユーザーが施すべき対策方法を見ていきたい。併せて,Windows MeやFlash Player,Operaなどに関するセキュリティ・トピックスについても解説する。

sendmailにセキュリティ・ホール

 セキュリティ・ベンダーやセキュリティ組織は3月3日,代表的なメール・サーバー・ソフト「sendmail」のセキュリティ・ホールを公開した(関連記事)。例えば,インターネット セキュリティ システムズ(ISS)は,「Sendmailのヘッダー処理に対する脆弱性」という情報を公開している。

 sendmail には,SMTPトランザクションにおけるヘッダー・フィールドの処理と評価を実施するコードに,バッファ・オーバーフローのセキュリティ・ホールが存在する。このため,リモートから管理者権限(ルートまたはスーパーユーザの権限)を奪取される可能性がある。

 影響を受けるバージョンは,オープンソース版sendmailはバージョン5.79 から 8.12.7まで。オープンソース版(sendmail)ばかりではなく,これらをベースにした製品版(Sendmail)も,米Sendmailの製品に限らず影響を受ける。加えて,すべてのプラットフォームが影響を受ける。

 対策は,パッチを適用すること,あるいは,オープンソース版の場合には最新版sendmail 8.12.8へアップグレードすることである。

 今回のセキュリティ・ホールが特に危険なのは,主に以下の3点による。

(a)攻撃者は,細工を施したメールを送信するだけで攻撃が可能である
(b)「ファイアウオールなどによるパケット・フィルタリング」といった一般的なセキュリティ対策では防御できない
(c)影響を受けないメール・サーバーは“攻撃用メール”をそのまま中継してしまう

 (c)によって,インターネットからアクセス可能なメール・サーバーがsendmail以外であっても,“攻撃用メール”はイントラネット内のsendmailサーバーへ到達してしまう。つまり,公開用メール・サーバーにsendmailを使用していなくても,安心はできないということである。

Windows版Sendmail の対応方法

 今回のセキュリティ・ホールは,すべてのプラットフォームで稼働するsendmail(Sendmail)が影響を受ける。Windows版製品については,開発元である米Sendmailの日本オフィスおよび国内総代理店であるANTが日本語情報を公開している。

 米Sendmailは,sendmailの開発者であるEric Allman氏と,米Sybaseの取締役などを務めたGreg Olson氏が,1998年に設立した会社である。同社では,従来からの「オープンソース版sendmail」に,付加機能を搭載した「製品版Sendmail」を開発販売している。米SendmailのサイトのURLが「sendmail.com」であり,オープンソース版のコミュニティのサイトが「sendmail.org」であることからも明らかなように,Sendmailとsendmailは“別物”である。

 Windows版における対策方法は,米Sendmailが提供するパッチを適用することである。下記4製品用のパッチが公開されている。

  1. Sendmail for NT 2.6J Windows NT
  2. Sendmail for NT 3.0/3.0.1/3.0.2J Windows NT/2000
  3. Sendmail Switch 2.2.xJ Windows NT/2000 版
  4. Sendmail Advanced Message Server 1.3 Windows 2000 版

 現在使用している製品によっては,パッチの提供対象製品にアップグレードする必要がある。「アップグレードすべき製品はどれか」,「どの製品にどのパッチを適用すべきか」――といった情報は,ANTが公開する「Sendmail製品に関するセキュリティアラートについて」に一覧表として分かりやすくまとめてある。Windows 版 Sendmail 製品を使用している管理者は,まずはこのページをチェックしよう。

 パッチの適用手順および適用後の確認方法については,米Sendmailの日本オフィスが「Windows版製品パッチ適用確認について」にまとめているので,こちらが参考になる。

 「パッチの適用」と表記されているものの,実際には現在のバイナリを修正済みのバイナリに入れ替えることになる。このため,実際の手順は,

(1)管理者としてSendmailサーバー・マシンにログオンする
(2)Sendmail サービスを停止する
(3)現在のバイナリ(Sendmail.exe)の名前を変更する
(4)米Sendmailのサイトからダウンロードした修正済みバイナリをコピーする
(5)Sendmail サービスを再起動する
(6)修正済みのバージョンになっていることを確認する

――となる。

sendmailベース以外のメール・サーバーを使う

 sendmailをベースにしていないメール・サーバー(SMTPサーバー)に乗り換えることも,今回のセキュリティ・ホールを回避する有効な方法の一つである。

 Windowsで稼働する,日本語化されたメール・サーバーとしては,「InterMail Post.Office Advanced Edition 3.8.2 日本語版 for Windows」「IMail Server Gold Version 7.1」が代表的である。

 両製品とも頻繁にバージョンアップされ,改良が加えられている。筆者自身は,両製品を数年来使用しており,品質的にも問題無いと評価している。両製品とも評価版を用意しているので,興味があるユーザーは一度利用してみるとよい。

 インターネット上でやり取りされるメールの85%が,sendmailおよびsendmailをベースにするメールサーバーにより送信されており,メール・サーバーのシェアでは65%を超えていると言われるほど,sendmailは普及している。このため sendmailは,攻撃や評価のターゲットになりやすい。実際,これまでさまざまなセキュリティ・ホールが発見されてきた

 過去の例から,sendmailをベースにしていないメール・サーバーを使用することで,セキュリティ対応にかける労力を比較的小さくできると筆者自身は考えている。

 とはいえ,sendmail以外のメール・サーバーでも,セキュリティ問題は発生する。sendmail以外のメール・サーバーを使っていようとも,日々の情報収集と,問題が見つかった場合の対応は当然のことながら必要である。

 例えば IMail Server においては,2002年7月に深刻なセキュリティ・ホールが見つかっている。System 権限をリモートから取得されるという,非常に危険なセキュリティ・ホールだ。これに対応するパッチは存在しないので,V7.12以上にアップグレードすることが回避策となる。

 現時点(3月9日)では,国内販売元であるケイ・ジー・ティーからは,このセキュリティ・ホールに関する情報はアナウンスされていないようだ。IMail Serverユーザーは注意が必要である。

Windows Meに深刻なホール

 それでは次に,上記以外のWindows関連のセキュリティ・トピックス(3月9日時点)を解説していこう。「マイクロソフト セキュリティ情報一覧」では,Windows Meに見つかったセキュリティ・ホール情報とパッチが公開された。

Windows Me の 「ヘルプとサポート」 の問題によりコードが実行される (812709) (MS03-006)

 Windows Meにおいて,「hcp://」の URL Handler に未チェックのバッファが含まれることが明らかとなった。このため,リモートから任意のコードを実行される可能性がある(関連記事)。

 「hcp://」とは,ユーザーにサポート情報を提供する機能「ヘルプとサポート」で使用するURLリンク形式である。セキュリティ・ホールを悪用するように細工された「hcp://」で始まるリンクを含むWebページやHTML 形式の電子メールを閲覧すると影響を受ける。

 ただし,デフォルト設定のOutlook Express 6 および Outlook 2002 ,「Outlook 電子メール セキュリティ アップデート」を適用した Outlook 98/2000 では,メールを閲覧しただけで攻撃を受けることはない。Internet Explorer 6 Service Pack 1 を適用している場合も同様である。

 対策はパッチを適用すること。「Windows Update」サイトから適用できる。同サイトにアクセスして,「重要な更新」として表示される「812709 : セキュリティ問題の修正プログラム (Windows Me)」パッケージが,今回の修正パッチである。なお,パッチの適用前提はない。また,今回のパッチはWindows Updateにおいてのみ提供されている。マイクロソフトが設定する深刻度は「緊急」なので,すみやかに適用しよう。

 今回問題となった「ヘルプとサポート」とは,「ヘルプとサポート センター」(HSC: Help and Support Center)のことである。さまざまなトピックに関してユーザーにサポート情報を提供する,Windows が備える機能の一つである。

 この機能に関連するセキュリティ・ホールが見つかったのは今回が初めてではない。例えば,「Windows XP『ヘルプとサポート センター』の問題によりファイルが削除される (Q328940) (MS02-060)」というセキュリティ・ホールが見つかっている。これは,Windows XPにおいて,システム上の既存ファイルを削除されてしまう恐れがあるセキュリティ・ホールである。このセキュリティ・ホールの詳細については,過去のコラムやマイクロソフトのセキュリティ情報を参照してほしい。

セキュリティ・ホールを修正した「Flash Player」が公開

 米Macromediaは3月3日,バッファ・オーバーフローなどのセキュリティ・ホールを修正した「Flash Player」の最新バージョンを公開したと発表した関連記事)。

 同社では,最新バージョンを「重大な更新(a critical update)」と位置付け,ユーザーに対して「6,0,79,0」以降のバージョンにただちに更新するよう勧めている。「Macromedia Web Player ダウンロードセンター」からは,日本語版 Flash Player 6の現時点での最新バージョン「6,0,79,0」をダウンロードできる。

 ただし,日本語のセキュリティ情報ページ「Macromedia - サポート」には,今回の情報はまだ掲載されていない(3月9日現在)。

 このコラムでも以前お知らせした通り,Flash Playerには「MPSB02-15 - Macromedia Flash ヘッダ機能不全問題」という深刻なセキュリティ・ホールが見つかっている(詳細については過去の記事を参照のこと)。このセキュリティ・ホールは,バージョン6,0,65,0で修正された。今回修正されたセキュリティ・ホールは,これとは異なるものだ。

 「Flash Player」のバージョンは「Macromedia - サポート : Macromedia Flash Player & Shockwave Player」で確認できる。このページで表示されるフラッシュの「About」にマウス・カーソルを合わせると,現在使用しているFlash Playerのバージョンが表示される。Flash Playerは多くのパソコンにあらかじめ組み込まれており,意識して更新することはほとんど無い。これを機会に,最新バージョンにアップグレードしておこう。

セキュリティ・ホールを修正したOpera日本語版が登場

 トランスウエアは2月28日,「Opera 7.02 for Windows 日本語版」のダウンロード版を公開した関連記事)。パッケージ版の販売は2003年3月20日から開始すると発表していたが,ダウンロード版はそれに先駆けての公開となった。

 Opera 7シリーズの日本語版は,今回の7.02が初めてである。Opera 7(7.0)と7.01ではセキュリティ・ホールが相次いで発見されたために,それらがスキップされた。Opera 7.02では,セキュリティ・ベンダーのSecuniaが2月26日に発見した,Opera 7.01のクロスサイト・スクリプティングのセキュリティ・ホールも修正されている。

「SQL Server 2000 セキュリティ ツール」が統合

 マイクロソフトは2月20日,SQL Server 2000と SQL Server Desktop Engine (MSDE) 2000 のアップデートを支援する,「SQL Critical Update Kit」を公開した(関連記事)。

 今までは別々のツールとして公開されていた「SQL Server 2000 SQL Scan」,「SQL Check」,「SQL Critical Update」――の3つを, 今回「SQL Critical Update Kit」という一つのツールに統合した。

 このコラムの読者なら,「SQL Slammer」ワームが悪用したSQL Server 2000/MSDE 2000のセキュリティ・ホールは対応済みだろう。対応済みならば,今回のツールを改めて利用する必要はない。ツールの内容を確認しておけば十分だろう。



マイクロソフト セキュリティ情報一覧

『Windows Me』
Windows Me の 「ヘルプとサポート」 の問題によりコードが実行される (812709) (MS03-006)
 (2003年 2月27日:日本語情報及び日本語版パッチ公開,最大深刻度 : 緊急)


山下 眞一郎(Shinichiro Yamashita)
株式会社 富士通南九州システムエンジニアリング
第一ソリューション事業部ネットソリューション部 プロジェクト課長
yamaアットマークbears.ad.jp


 「今週のSecurity Check [Windows編]」は,IT Proセキュリティ・サイトが提供する週刊コラムです。Windows関連のセキュリティに精通し,「Winセキュリティ虎の穴」を運営する山下眞一郎氏に,Windowsセキュリティのニュースや動向を分かりやすく解説していただきます。(IT Pro編集部)