マイクロソフトは10月9日以降,Microsoft VMやWindows NT 4.0 Workstationのパッチ提供期限の延長といったセキュリティに関する取り組みを発表している(詳細は後述)。これらは十分評価できるものの,同社製品のセキュリティ・ホールは相変わらず頻繁に公開されている。
特に,このコラムで何度も紹介しているように,Internet Explorer(IE)には危険なセキュリティ・ホールが次々と見つかっている。2003年に入ってから公開されたIEの累積パッチは,10月4日の「MS03-040」で5件目となる。しかも,パッチが公開されていないIEのセキュリティ・ホール情報をまとめたサイトが閉鎖されるなど,ユーザーにとって状況は悪くなっている。そこで今回の記事では,IEのセキュリティ・ホールに関するトピックスをまとめた。
パッチ公開前にホールを悪用するウイルスが出現
まずは,10月4日に公開されたIEのセキュリティ・ホール「Internet Explorer 用の累積的な修正プログラム (828750) (MS03-040)」を解説する(関連記事)。
「MS03-040」では,「Popup Window に含まれるオブジェクトタグの脆弱性」と「XML データ接続を使用時のオブジェクトタグの脆弱性」という,2種類のセキュリティ・ホールが公開されている。IE 5.01/5.5/6/6 for Windows Server 2003 が影響を受ける。
「Popup Window に含まれるオブジェクトタグの脆弱性」は,IEがポップアップ・ウインドウを呼び出す際に,Web サーバーから返されたオブジェクト・タイプを適切に判断をしないセキュリティ・ホールである。「XML データ接続を使用時のオブジェクトタグの脆弱性」は,IEがWebサーバーとXML データ接続を行っている間に,Web サーバーから返されたオブジェクト・タイプを,適切に判断をしないセキュリティ・ホールである。
いずれも,細工が施されたWebページやHTMLメールを閲覧するだけで,ユーザーのシステム上で任意のコードを実行させられる恐れがある,非常に深刻なセキュリティ・ホールである。
実際,10月初旬に発見された「QHosts」ウイルスは,例えばシマンテックの情報にあるように,「MS03-040」のセキュリティ・ホールを悪用する。同情報では,QHostsの発見日は10月2日(米国時間)としているので,パッチが公開される前にQHostsは出回っていたことになる。
対策はパッチを適用すること。最大深刻度が最悪の「緊急」のセキュリティ・ホールであり,悪用されるとシステムを乗っ取られる可能性がある。速やかにパッチを適用する必要がある。なお,パッチを適用すると,「HTML ヘルプ機能」を使えなくなるといった注意点が存在する。セキュリティ情報をチェックした上で,パッチを適用しよう。
「MS03-040」のセキュリティ情報には明確に記載されていないものの,今回のパッチを適用すれば,8月21日に公開された「MS03-032」のパッチでは修正できなかった「オブジェクト タグの脆弱性」も適切に修正するようだ(関連記事)。
今回のパッチを適用すれば,IEがダイナミック HTML(DHTML)の動作を処理する手順も,よりセキュアなものに変更できる。具体的には,DHTMLを使って,現在開いているページのセキュリティ・ゾーンよりもセキュリティ・レベルが低い(制限が緩い)ページを開かれることを防ぐ。しかしながら今回のパッチでは,Windows Media Player(WMP)を経由させた攻撃は防げない。具体的には,URLスクリプト・コマンドをwmpファイルに仕込むことで,セキュリティ・ゾーンのチェックをバイパスすることができる。
このため,バイパスを防ぐためのWMPの更新(パッチ)が同時に公開された。マイクロソフトでは,IEのパッチに併せて,WMPのパッチを適用するよう勧めている。WMPのパッチは,「サポート技術情報 828026」からダウンロードできるとともに,Windows Updateからも適用できる。Windows Updateでは,「Windows Media Player 用セキュリティ問題の修正プログラム (KB828026)」と表示される。
マイクロソフト“推奨”の回避策では不十分
セキュリティ・ホールの影響を避けるには,パッチを適用することが望ましい。パッチを検証する間,あるいはパッチを適用できないシステムでの回避策としては,IEにおいて,インターネット・ゾーンおよびイントラネット・ゾーンでActiveX コントロールを無効にすることが一番確実であろう。この設定は,以前紹介した「IEを使い続けるための“お勧め”設定 2002年3月27日版」に含まれる設定である。
Windows Server 2003のIEでは,インターネット・ゾーンにおいてはActiveXコントロールがデフォルトで無効になっているので,設定を変更していない限り,今回のセキュリティ・ホールを悪用した攻撃を受けない。このため,IE 6 for Windows Server 2003についてのみ,深刻度が下から2番目の「警告」に設定されている。
ActiveXコントロールがデフォルトで無効になっているのは,Windows Server 2003の「セキュリティ強化の構成」の一環である。IEに関する「セキュリティ強化の構成」の設定内容は,以下の4点である。
(1)インターネットゾーンのセキュリティレベルを [高] に設定(スクリプト/ActiveX コントロール/Microsoft VM/HTML コンテンツおよびファイルのダウンロードを無効に設定する)
(2)イントラネット・サイトの自動検出を無効に設定(ローカル・イントラネット・ゾーンとして明示的に指定していないUNCパス,およびイントラネットのWeb サイトをインターネット・ゾーンに割り当てる)
(3)オンデマンドのインストールおよびマイクロソフト以外のブラウザ拡張を無効に設定(Web ページが自動的にコンポーネントをインストールすること,およびマイクロソフト以外のブラウザ拡張が実行されることを防止する)
(4)マルチメディア・コンテンツを無効に設定(音楽/アニメーション/ビデオクリップが実行されることを防止する)
これらは,「よく寄せられる質問 : マイクロソフトセキュリティ情報(MS03-040)」の「Internet Explorer のセキュリティ強化の構成とは何ですか?」の項に記載されている。
以上のような設定を「セキュリティ強化の構成」として施しているのは,これらがセキュリティ上,望ましい設定だと考えているからだろう。ところが,同じ「よく寄せられる質問 : マイクロソフトセキュリティ情報(MS03-040)」には,今回のセキュリティ・ホールの回避策として,「インターネットおよびイントラネット・ゾーンで ActiveX コントロールを実行する前にダイアログを表示するように設定する」ことを勧めている。「セキュリティ強化の構成」とは異なり,ActiveXコントロールを無効にすることは勧めていないのだ。
筆者としては,マイクロソフトが推奨する回避策(インターネットおよびイントラネット・ゾーンで ActiveX コントロールを実行する前にダイアログを表示するように設定すること)はお勧めしない。ダイアログが表示されても,これから実行しようとするActiveXコントロールが危険かどうかを判断することは,一般的には難しいからだ。さらに,アクセスするサイトによっては,ダイアログが頻繁に表示される。そうなると,ユーザーは判断することなく,リターン・キーを押して,ActiveXコントロールを実行させるようになる。
攻撃される危険性を確実に回避するには,ダイアログを表示させる設定では不十分なのである。Windows Server 2003のデフォルト設定と同じように,無効に設定する必要があるのだ。ぜひ,「インターネットおよびイントラネット ゾーンで ActiveX コントロールを無効にする」必要があることを,ユーザーに明確に知らせてほしい。
ActiveX コントロールを無効にする方法は,「マイクロソフト サポート技術情報 - 154036 [IE] Internet Explorer のアクティブ コンテンツを無効にする方法」に記載されている。
ActiveXコントロールを無効にすると,例えばWindows Updateのように,利用できなくなるサイトがある。そういったサイトについては,必要に応じてIEの「信頼済みサイト」に登録すればよい。例えばWindows Updateについては,「http://windowsupdate.microsoft.com」を登録する(ただし,Windows XPでWindows Updateにアクセスすると,現時点では「http://*.windowsupdate.microsoft.com」と「http://*.windowsupdate.com」を登録するように促される)。
とはいえ,信頼済みサイト・ゾーンに安易に登録してはいけない。文字通り,信頼できるサイトだけを登録すべきだ。サイトを運営している企業(組織)を信用できることはもちろん,そのサイトのセキュリティを信頼できる場合のみ,登録すべきである。というのも,そのサイトに悪意がなくても,クロスサイト・スクリプティングの脆弱性があると,そのサイトとは関係がない第三者に,信頼済みサイト・ゾーンで許している動作を使って攻撃される可能性があるからだ。
OutlookやOutlook Expressにおける回避策についても触れておこう。今回のセキュリティ・ホールを悪用されると,HTMLメールを開くだけで,細工が施されたWebページに誘導されて,任意のコードを実行させられる恐れがある。これを避けるには,HTMLメールをテキストとして表示する設定にしておけばよい。
具体的な設定方法は,Outlook 2002については「マイクロソフト サポート技術情報 - 307594 [OL2002] セキュリティで保護されていない電子メールをテキスト形式で表示する新機能」に, Outlook Express 6 については「マイクロソフト サポート技術情報 - 291387 [OLEXP] Outlook Express 6 のウイルス防止機能を使用する方法」に詳しい。
相次ぐパッチの不具合
今回公開された「MS03-040」のパッチは,過去のIE用パッチをすべて含む累積パッチである。2003年になってから,IEの累積パッチは2カ月に1件の割合で公開されている。2月6日の「MS03-004」,4月24日の「MS03-015」,6月5日の「MS03-020」,8月21日の「MS03-032」,そして今回の「MS03-040」である。
残念なことに,これらには不具合や説明不足が多い。例えば,8月21日に公開された「MS03-032」には,「Windows XP 用の修正パッチの ASP.NET に関連する問題」が8月26日に見つかっている。ASP.NET 1.0 を使用しているWindows XPに「MS03-032」のパッチを適用すると,「サーバーアプリケーションは現在使用できません」 あるいは「Server Application Unavailable」と表示され,Web アプリケーションを正常に実行できない場合がある。
8月29日には,セキュリティ情報に「再起動についての詳細な情報」が追記され,説明不足が補われている。「MS03-032」のパッチを,Windows 2000 および Windows NT 4.0 で実行している IE 5.01,Windows 2000 で実行している IE 5.5に適用した場合には,再起動後,管理者としてログオンする必要があることが,当初は記述されていなかった。
そして9月9日には,「MS03-032」のパッチでは「オブジェクトタグの脆弱性」はきちんと修正されないことがアナウンスされた(関連記事)。
10月10日には,「MS03-032」あるいは「MS03-040」のパッチを適用すると,これまで動作していたスクリプトが正しく動作しなくなる場合があることが,「サポート技術情報 827667 [IE] Q822925 または Q828750 を適用すると相対 URL を使用したスクリプトで HTTP 404 エラーが発生する」として公開された。具体的には,フレームやウインドウでスクリプトを実行した際に,「HTTP 404 - ファイル未検出」というエラー・メッセージが表示される場合がある。
この不具合を修正するパッチは,「Q827667.EXE パッケージ」 として公開されている(ただし,IE 6.0 SP1用のみ)。
修正パッチは緊急対応のために配布されるものであり,Service Packのように十分検証されたものではないことは承知している。しかし,不具合が続出するようだと,せっかく公開されても,ユーザーは怖くてパッチを適用できない。ぜひ改善していただきたい。
閉鎖された「Unpatched IE security holes」
お気づきの方もいるだろうが,このコラムでたびたび紹介している「PivX Solutions Security Team」の「Unpatched IE security holes」ページが,「MS03-040」の公開に合わせて閉鎖された。
「Unpatched IE security holes」は,パッチ未公開のIEのセキュリティ・ホールをまとめたページだった。このページでは,セキュリティ・ホールごとに「Description(説明)」「Reference(出典)」「Exploit」が整理されており,それぞれの関連情報へのリンクが用意されていたので,とても有用だった。
9月11日の時点で,31件のセキュリティ・ホール情報が掲載されていた。しかし現在では,セキュリティ・ホール情報がすべて消え,代わりに「PivX Solutions Security Team」の「Notice(通知)」が掲載されている。
そこには,「私たちは,Microsoftに執行猶予を与えることと, 私たちの'Unpatched' ページを閉鎖することで意見が一致した」,「誰かが'Unpatched'を閉鎖するように私たちに依頼したわけではないことを理解してほしい」といった内容が記載されている。
同ページには,「PivX Solutions Security Team」からのニュースなどを受け取れるメーリング・リストへ登録するためのフォームも用意している。
「Unpatched IE security holes」の閉鎖により,パッチが未公開のセキュリティ・ホールを悪用されることを防げる半面,“自衛”することが困難になる。たとえパッチが公開されていなくても,セキュリティ・ホールの内容が分かれば回避できるが,それが分からないと,どうやって回避すべきかが分からない。
例えば,9月11日の時点で「Unpatched IE security holes」では,「Media bar ressource injection」というセキュリティ・ホールを紹介していた。これは,細工が施されたWebページを閲覧するだけで任意のコードを実行させられる,とても危険なセキュリティ・ホールである。パッチは公開されていないものの,回避策は存在する。このセキュリティ・ホールの「Reference」で紹介されている「[Full-Disclosure] Internet explorer 6 on windows XP allows exection of arbitrary code」を見れば,IEのセキュリティ設定において,「スクリプト」の「アクティブ スクリプト」を無効にすれば回避できることが分かる。
ここで紹介されていなければ,「Full-Disclosure」などのメーリング・リストを購読し,なおかつ内容をきちんと読んでいるユーザー以外は,この情報にたどりつくことは難しいだろう。“守る側”にとって,「Unpatched IE security holes」はとても有用なページだったのだ。
設定変更や使い分けで“自衛”を
「QHosts」のようにパッチ未公開のセキュリティ・ホールを狙うウイルスが出現したり,「Unpatched IE security holes」が閉鎖されたりしている現状では,未知のセキュリティ・ホールに対応できるようなWebブラウザの使い方が必要であろう。
筆者自身は,IE以外では動作保証されない場合があるイントラネットでは,“お勧め”設定を施した上で,信頼済みサイト・ゾーンに自社ドメインと「windowsupdate.microsoft.com」を登録したIE 6を使用している。もちろん,IE 6にはSP1とすべてのパッチを適用している。
インターネットでは,Java機能を無効にした「Netscape」の最新版を使用している。メーラーとは異なり,Webブラウザの場合には,イントラネットとインターネットで使い分けることが容易である。過去のコラムで何度も書いているように,必要に応じてIEと他のブラウザを使い分ける“二刀流”をお勧めしたい。
とはいえ,「Netscape」「Opera」「Mozilla」といった,IE以外のブラウザであれば安全というわけではない。IE以外にもセキュリティ・ホールは見つかる。「これを使えば安全」というブラウザは存在しない。セキュリティや使い勝手などから,使用するブラウザを自分自身で判断していただきたい。
そして,自分が使っているブラウザの,最新の状況は自分自身で継続して確認する必要がある。残念ながら「この情報さえ押さえておけば万全」という情報源は存在しない。とはいえ,本コラムでは主要ブラウザの最新状況をできる限りフォローしていきたいと考えている。参考にしてもらえば幸いである。
セキュリティに関する取り組みを続々発表
前回の記事でも取り上げたように,マイクロソフトはセキュリティに関するさまざまな取り組みを実施している。2003年10月9日,10日には,セキュリティに関する新たな取り組みを続けて発表した。
まず,Microsoft VM(Microsoft Virtual Machine for Java)のサポート期間を,従来の2003年12月末から2004年9月末までに延長することを明らかにした(関連記事)。さらに,Windows NT Workstation 4.0およびWindows 2000 Service Pack 2(SP2)のセキュリティ・パッチを2004年6月まで提供すること(関連記事)や,Windows XP SP2でファイアウオール機能(ICF)をデフォルトで有効にすること(関連記事)などを明らかにしている。これらについては次回以降の記事で紹介したいと思う。
上記以外のWindows関連セキュリティ・トピックス(2003年10月12日時点分)については,スペースの都合上,詳細は割愛する。各プロダクトごとにまとめたリンクを記事末に記したので,参考にしてほしい。それぞれの詳細については,リンク先の情報やIT Proの過去記事を確認していただきたい。
特に,「HTML コンバータのバッファ オーバーランにより,コードが実行される (823559) (MS03-023)」では,「警告」 の欄が更新されたので注意しよう。具体的には,パッチを適用した後にIE 6 SP1にアップグレードした場合には,再度パッチを適用する必要があるという情報が追加された。該当ユーザーは確認しておきたい。
マイクロソフト セキュリティ情報一覧
『IE 5.01/5.5/ 6/6 for Windows Server 2003』
◆Internet Explorer 用の累積的な修正プログラム (828750) (MS03-040)
(2003年10月10日:「警告」 欄に 「サポート技術情報 827667」の情報が追記)
(2003年10月 7日:「日本語情報対象プラットフォーム」 の欄が更新)
(2003年10月 4日:日本語情報および日本語版パッチ公開,最大深刻度 : 緊急)
『すべてのWindows』
◆HTML コンバータのバッファ オーバーランにより,コードが実行される (823559) (MS03-023)
(2003年10月 6日:「警告」 の欄が更新。パッチ適用後 IE6 SP1 にアップグレードした場合は再度パッチを適用する必要がある)
(2003年 7月11日:「よく寄せられる質問」 に Outlook 電子メール セキュリティ アップデートの情報が追加)
(2003年 7月10日:日本語情報および日本語版パッチ公開,最大深刻度 : 緊急)
PressPass -広報資料-
◆マイクロソフト,現行のセキュリティ対策に追加して,新たな強化策を発表 ~同時に,Windowsユーザーに向けて,さらなるテクノロジーに関する投資を発表~ (2003年10月10日)
マイクロソフト トラブル・メンテナンス速報
◆Office のアップデートの不具合と回避策 (更新日:2003年10月 6日)
TechNet Online セキュリティ
◆2003 年 9 月 セキュリティ 警告サービス 月刊サマリー
マイクロソフト サポート オンライン
山下 眞一郎 Shinichiro Yamashita
株式会社 富士通南九州システムエンジニアリング
第一ソリューション事業部ネットソリューション部 プロジェクト課長
「今週のSecurity Check [Windows編]」は,IT Proセキュリティ・サイトが提供する週刊コラムです。Windows関連のセキュリティに精通し,「Winセキュリティ虎の穴」を運営する山下眞一郎氏に,Windowsセキュリティのニュースや動向を分かりやすく解説していただきます。(IT Pro編集部)