Microsoft VMにはセキュリティ・ホールが次々と見つかっている。しかも,2004年1月以降は,たとえ新しいセキュリティ・ホールが見つかったとしても,新しいMicrosoft VMが公開されることはない。とても危険な話である。新しいMicrosoft VMを提供できないなら,Microsoft VMをアンインストールする手段や機能を提供してもらいたいものだ。また,「Windows Update」にはトラブルが続出している。「トラブル・メンテナンス速報」ではトラブルを公表しているが,このページの存在を知らないユーザーは多い。Windows Updateに関するトラブルは,Windows Updateのページでも公開してもらいたい。

Microsoft VMに「緊急」のセキュリティ・ホール

 米Microsoftが提供するJavaの実行環境(仮想マシン)である「Microsoft VM」に,またもや深刻なセキュリティ・ホールが見つかった。

Microsoft VM の問題により,システムが侵害される (816093) (MS03-011)

 ビルド3809まで(3809を含む)のMicrosoft VMを含むWindowsプラットフォームが影響を受ける。Microsoft VM の「ByteCode Verifier」コンポーネントが,ある特定のコードを適切にチェックしないことが原因である。このため,セキュリティ・ホールを悪用するようなJavaアプレットを呼び出すWebページやHTMLメールを閲覧すると,任意のコードを実行させられる恐れがある(関連記事)。

 対策は,セキュリティ・ホールを修正したMicrosoft VM(ビルド3810以降)をインストールすること。深刻度は「緊急」なので,至急対応する必要がある。現在インストールされているMicrosoft VMのビルドの確認方法や新しいMicrosoft VMの適用方法などについては,「よく寄せられる質問 : マイクロソフトセキュリティ情報(MS03-011)」を参照してほしい。

 とはいえ,筆者自身は今回のセキュリティ・ホールはそれほど危険なものだとは考えていない。Internet Explorer(IE)の設定変更で容易に回避できるからだ。例えば,Web ページを使った攻撃については,以前の記事で紹介した「IEを使い続けるための“お勧め”設定 2002年3月27日版」を施していれば回避できる。具体的には,IEのセキュリティ設定でJavaを無効にしていれば影響を回避できる。

 電子メールによる攻撃についても同様である。Javaを無効にしていれば攻撃を受けることはない。Outlook Express 6 や Outlook 2002では,デフォルト設定を変更していなければ,HTMLメールは「制限付きサイト ゾーン」で開かれる。「制限付きサイト ゾーン」ではデフォルトでJavaが無効になっているので,HTMLメールを読むだけで攻撃を受けることはない。「Outlook 電子メール セキュリティ アップデート」を適用した Outlook 98 および Outlook 2000においても,HTMLメールは「制限付きサイト ゾーン」で開かれるので,ユーザーが余計な設定変更をしていなければ,攻撃を受けることはない。

 前述のように,Microsoft VMのセキュリティ・ホールは続出している。前回見つかったのは,わずか5カ月前の2002年12月12日である。「『“お勧め”設定』は制限が厳しくて,とてもそのとおりには設定できない」というユーザーでも,Java機能は必ず無効にしておこう。

Microsoft VMのサポートは2003年末まで

 セキュリティ・ホールが続出するMicrosoft VM。現在では修正版が公開されているものの,それも今年いっぱいである。「Microsoft VM 開発者向け FAQ」に記載してある通り,Microsoftは,2001年1月23日に米Sun Microsystemsとの間で成立した和解契約に従って,Microsoft VM を段階的に廃止する手続きを進めている。その段階の一つが,Microsoft VMのサポート中止である。2004年1月以降,Microsoft は Microsoft VM に修正を施すことが一切できなくなる。修正には,セキュリティ・ホールの修正も含まれる。つまり,今回のような対応が可能な期間は,2003年いっぱいなのである。

 こうしたMicrosoft VMをアンインストールしたいと思うユーザーは多いであろう。「無効に設定しておけばいい」「別のJava VMを使えばいい」などと思うユーザーがいるかもしれないが,たとえIEの設定でJavaを無効にしていても,たとえSun JRE(Java Runtime Environmen)をインストールしていても,Microsoft VM が使われる可能性はある。例えば,Microsoft Visual J++ 開発システム,または Microsoft SDK for Java を使って構築されたアプリケーションに対しては,Microsoft VM が必ず実行されるようになっている。Microsoft VMの“呪縛”から逃れるには,アンイストールすることが最善の方法なのだ。

 しかしながら,Microsoftはアンイストールする手段や機能を提供していない。

 期待させるものはあった。2003年2月4日にリリースされたWindows XPのサービスパック「SP1a」である。「Windows XP SP1 と Windows XP SP1a の相違点」に記載されているように,SP1aにはMicrosoft VMが含まれていない。そのため,SP1aを適用すれば,Microsoft VMをアンインストールできるのではないかと期待を抱いた。しかし,Microsoft VMのアンインストール機能は存在しなかった。Microsoft VM が削除されていることを除けば,SP1 と同一であった。しかも,既に SP1 が適用済みの場合には,SP1a を適用する必要はないどころか,SP1a の適用を推奨していない。

 今後,どのような形でも構わないので,Microsoft VMのアンインストール機能をぜひ提供してもらいたい。

 また,今後の話として「Windows XP SP1b」や「Windows XP SP2」には Sun JREが搭載されるものの,「Windows Server 2003」では,Microsoft VMとSun JREのいずれも搭載されないといわれている。セキュリティの観点からは,Windows Server 2003だけではなく,今後出荷するすべてのOSやサービスパックについて,「デフォルトではJava機能を搭載せずに,ユーザーが必要に応じてインストールする」という選択肢も用意してもらいたい。

トラブルが続出するWindows Update

 次に,Windows Update の話をしたい。4月16日から17日にわたって,Windows NT 4.0 で Windows Update を使用すると,上述の「MS03-011」用パッチ(新しいMicrosoft VM)が表示されないというトラブルが発生した(関連記事)。既に解決済みのこのトラブルは,「トラブル・メンテナンス速報」にてアナウンスされている。

 以前の記事でも紹介したとおり,「トラブル・メンテナンス速報」は「Windows Update」などで発生した障害や,急速に感染を広げるウイルスなどを知らせる目的に,マイクロソフトが3月12日から開始したサービスである(関連記事)。

 当初は「Microsoft トラブル速報」という名称であったが,「トラブル・メンテナンス速報」に変更された。それというのも,Windows Update や MSN, Hotmail などの同社サービスに関する問題やメンテナンス状況を知らせるために使われる頻度が高まっているためだと考えられる。特に多いのが Windows Update 関連のトラブルである。原稿執筆時点(4月19日)で,上記の「『MS03-011』用パッチが表示されない」トラブル以外に,8件がアナウンスされている。

 こうした重要な情報がきちんとアナウンスされるようになったことは素直に歓迎したい。しかし,このページの存在に気づいているユーザーはほんの一握りであろう。「Windows Update」などを使用したものの,意図した結果が得られずに貴重な時間を潰したユーザーは少なくないはずだ。「Windows Update」などの,トラブルが発生しているサービスのページでも分かりやすくアナウンスしていただきたい。Windows Updateのトラブル情報がWindows Updateのページでアナウンスされていれば,ユーザーの多くが気がつくだろう。

 また,過去のトラブル・メンテナンス情報の一覧を表示するページがなくなっていることも気になる。現在掲載されているトラブル以外にも,5件程度トラブルがあったはずだ。トラブルを解消したからといって,情報を消してしまってよいとは思えない。後からでも参照できるように,ぜひ,一覧ページを復活してもらいたい。

Windows カーネルにホール,パッチ適用でパフォーマンスの低下も

 次に,今回の記事の“後半”として,上記以外のWindows関連のセキュリティ・トピックス(2003年4月19日時点分)を,各プロダクトごとに整理して解説する。各種OS関連では,「マイクロソフト セキュリティ情報一覧」にて,上記の「MS03-011」以外に,新規日本語情報およびパッチが1件公開された。

Windows カーネル メッセージ処理のバッファ オーバーランにより,権限が昇格する (811493) (MS03-013)

 Windows NT 4.0/NT 4.0, Terminal Server Edition/2000/XPにおいて,Windows カーネルがデバッガにエラー・メッセージを渡す方法にセキュリティ・ホールが存在するため,ローカル権限の昇格を許す可能性がある(関連記事)。

 対策はパッチを適用すること。深刻度は「重要」なので,可能な限り速やかに適用しよう。

 セキュリティ情報の「謝辞」の項によれば,Entercept Security Technologies の Oded Horovitz 氏から,マイクロソフトへ事前の報告や協力があったことが分かる。このため,アンダーグランドでこのセキュリティ・ホールが周知されていたり,悪用されていたりする可能性は小さいと考えられる。

 システムへの対話的なログオンが許可されていないユーザーは,このセキュリティ・ホールを悪用できない。加えて,リモートから悪用されることもない。「対話的ログインを許可するユーザーを必要最小限にする」「ユーザーのパスワード管理を徹底する」といった,セオリー通りのセキュリティ対策を施している場合には,影響を受けることはないだろう。

 なお,筆者自身は未確認であるが,ユーザーの環境によっては,「MS03-013」のパッチを適用すると,マシンのパフォーマンスが明らかに低下することがBBSやメーリング・リストでは報告されている。どのパッチにおいても検証は必要だが,特に「MS03-013」はWindows カーネルに対する修正なので,十分な検証が必要だ。

ISA Serverにセキュリティ・ホール

 各種サーバー関連では,「マイクロソフト セキュリティ情報一覧」にて,新規日本語情報およびパッチが1件,追加パッチが1件公開された。

 新規に公開されたのは,

Winsock プロキシ サービスおよび ISA Firewall サービスの問題により,サービス拒否が起こる (331066) (MS03-012)

 Microsoft Proxy Server 2.0/Microsoft ISA Serverの「Microsoft Firewall サービス」にセキュリティ・ホールが見つかった。このため,内部ネットワークに存在する攻撃者から不正なパケットが送られると,Proxy Server 2.0/ISA Serverが稼働するマシンのCPU 使用率が 100% に達する恐れがある。すなわち,DoS攻撃を受ける可能性がある。

 対策はパッチを適用すること。深刻度は「重要」なので,可能な限り速やかに適用しよう。

 なお,Microsoft ISA Serverは,Back Office Server 2000やSmall Business Server にも含まれているので注意が必要だ。

 ただし,Microsoft Firewall サービスがデフォルトで無効な「キャッシュ・モード」で実行されている場合には影響を受けない。また,内部ネットワークとして指定されていないネットワークからは今回のセキュリティ・ホールを悪用できない。そのため,実際の運用では影響は少ないと考えられる。

Indexing Server for Windows NT 4.0用パッチが公開

 パッチが追加公開されたのは,

「インデックス サービスのクロスサイト スクリプティング」 の脆弱性に対する対策 (MS00-084)

 この「MS00-084」は2000年11月に公開された。公開当初は,影響を受けるのは Windows 2000のインデックス・サービス「Microsoft Indexing Services for Windows 2000」とされていた。しかし,2003年4月10日にWebページが更新され,Windows NT 4.0 Option Pack に同梱された「Indexing Server for Windows NT 4.0」も影響を受けるという情報が追加された。併せて,その修正パッチも公開された。

 公開されたパッチを適用すれば,影響を回避できる。必要に応じてパッチを適用しよう。なお,Indexing Server for Windows NT 4.0は,デフォルトではインストールされない。

 レポートの「謝辞」の項に Eiji “James” Yoshida 氏の名前があることから,Indexing Server for Windows NT 4.0のセキュリティ・ホールがアンダーグラウンドで周知されている可能性は低いと考えられる。

 ただし,前回の記事で紹介した通り,このセキュリティ・ホール以降に公開された「『インデックス サービス ファイル列挙』の脆弱性に対する対策 (MS00-098)」については,Indexing Server for Windows NT 4.0用のパッチは依然公開されていない。Index Server をインストールしたWeb サーバーから,細工が施されたWebサイトを閲覧する場合にのみ影響を受けるので,実際には影響は小さいと考えられるが,注意はしておこう。

TechNet Online セキュリティでは“月例”ドキュメント

 「TechNet Online セキュリティ」では,「2003 年 3 月 セキュリティ 警告サービス 月刊サマリー」というドキュメントが公開されている。特に目新しい情報はないので,時間があるときに確認の意味でチェックしておけばよいだろう。



マイクロソフト セキュリティ情報一覧

『Microsoft VM』
Microsoft VM の問題により,システムが侵害される (816093) (MS03-011)
 (2003年 4月10日:日本語情報および日本語版パッチ公開,最大深刻度 : 緊急)

『Windows NT 4.0/2000/XP』
Windows カーネル メッセージ処理のバッファ オーバーランにより,権限が昇格する (811493) (MS03-013)
 (2003年 4月17日:日本語情報および日本語版パッチ公開,最大深刻度 : 重要)

『Microsoft Proxy Server 2.0 /ISA Server 2000』
Winsock プロキシ サービスおよび ISA Firewall サービスの問題により,サービス拒否が起こる (331066) (MS03-012)
 (2003年 4月10日:日本語情報および日本語版パッチ公開,最大深刻度 : 重要)

『Indexing Services for Windows 2000/ Indexing Server for Windows NT 4.0』
◆「インデックス サービスのクロスサイト スクリプティング」 の脆弱性に対する対策
(MS00-084)
 (2003年 4月10日:Windows NT 4.0 Option Pack に同梱されたIndexing Server用の修正パッチ公開)

TechNet Online セキュリティ

2003 年 3 月 セキュリティ 警告サービス 月刊サマリー


山下 眞一郎(Shinichiro Yamashita)
株式会社 富士通南九州システムエンジニアリング
第一ソリューション事業部ネットソリューション部 プロジェクト課長
yamaアットマークbears.ad.jp


 「今週のSecurity Check [Windows編]」は,IT Proセキュリティ・サイトが提供する週刊コラムです。Windows関連のセキュリティに精通し,「Winセキュリティ虎の穴」を運営する山下眞一郎氏に,Windowsセキュリティのニュースや動向を分かりやすく解説していただきます。(IT Pro編集部)