12月は,マイクロソフトから月間セキュリティ情報は公開されなかった。とはいえ安心はできない。セキュリティ情報が公開されなくても,IEにはパッチが未公開のセキュリティ・ホールが複数存在する。12月9日にはURLを偽装できる新しいセキュリティ・ホールが見つかっている。設定変更では回避できない上に,「プロパティ」情報なども偽装可能だ。確実に信頼できるサイト以外は,IEで閲覧しないほうがよいだろう。
IE の8種類のセキュリティ・ホールが未修正
マイクロソフトは,3回目の月間セキュリティ情報の公開日と予定していた12月10日に「2003 年 12 月現在のセキュリティ情報」を公開し,「今月の月刊セキュリティ情報のリリースはありません」とアナウンスした。このアナウンスを見て,なかには「現時点のマイクロソフト製品は,セキュリティ・ホールが存在しないセキュアな状態である」と判断したユーザーもいるだろう。
しかし実態は違う。今回は,新規のセキュリティ・パッチを提供しないというだけのことだ。新しいセキュリティ・ホールが見つかっていないということではない。実際,マイクロソフトがメールで提供する「マイクロソフト プロダクト セキュリティ 警告サービス」には,「2003 年 12 月のセキュリティ情報の公開は,修正プログラムの品質向上を目的とした確認作業のため,新規にセキュリティ修正プログラムを提供することを見合わせました」と記述されている。
例えば,前回の記事で紹介した,IE 6/5.5/5.01が影響を受ける8種のセキュリティ・ホールに関するパッチは未公開のままである。最も深刻なセキュリティ・ホールを悪用されると,任意のファイルを勝手にダウンロードさせられ,実行させられる可能性がある(関連記事)。しかも,これらのセキュリティ・ホールを確認するデモ・サイトが公開されている。にもかかわらず,12月の公開日には,これらに関するパッチは公開されなかった。
ただ,これらのセキュリティ・ホールには回避策が存在する。前回の記事で解説したように,IEのセキュリティ設定において,アクティブ スクリプトを無効にすれば回避できる。この設定は,以前の記事で紹介した「IEを使い続けるための“お勧め”設定 2002年3月27日版」に含まれる設定である。
URLを偽装できる新たなセキュリティ・ホール
ところが,アクティブ スクリプトを無効にしていても,お勧め設定を実施していても回避できないセキュリティ・ホールが12月になって報告された。URLを偽装できるセキュリティ・ホールである。URLに細工を施すと,実際のURLとは異なるURLを,IEの上部に表示される「アドレス・バー」と,左下に表示される「ステータス・バー」に表示させることができるのである(関連記事)。もちろんパッチは未公開である。IEの最新の環境(IE 6 SP1 +最新の累積パッチ「MS03-048」)でも影響を受ける。
セキュリティ・ベンダーのSecuniaは,このセキュリティ・ホールを解説したレポート「Internet Explorer URL Spoofing Vulnerability」を12月9日に公開した。当初は,アドレス・バーの偽装だけを言及していたが,ステータス・バーも偽装可能なことを12月11日に追記した。
そのレポートによると,IE 6は,URLに「%01」あるいは「%00」の文字が含まれている場合には,そのURLを適切に検証できないという。そのため,例えば「http://www.trusted_site.com%01%00@malicious_site.com/malicious.html」というURLを使用すれば,実際のドメインは「malicious_site.com」であるにもかかわらず,アドレス・バーとステータス・バーに 「http://www.trusted_site.com」と表示させることが可能となる。
もう少し詳しく解説しよう。今回のセキュリティ・ホールは,URLに「%01」および「%00」の文字がURLに含まれていると,それ以降の文字を,それぞれアドレス・バーおよびステータス・バーに表示しないというものである。
このセキュリティ・ホールを利用するだけでは,あるサイトのページを別のページに見せかけることは難しい。URLを偽装するには,このセキュリティ・ホールに併せて,認証を必要とするWebページへアクセスするためのURLの書式(仕様)を利用する。
通常,あるサイトに存在するファイルをアクセスする場合には,URLは「http://(サーバー名.ドメイン名)/(フォルダ名)/(ファイル名)」と記述する(例えば,http://server1.domain.com/folder1/file1.html)。
ベーシック認証を必要とするファイル(フォルダ)にアクセスする場合には,これらに加えて,ユーザーIDとパスワードをURL中に記述できる。具体的には,「http://(ユーザーID):(パスワード)@(サーバー名).(ドメイン名)/(フォルダ名)/(ファイル名)」と記述する(例えば,http://user1:password@server1.domain.com/folder1/file1.html)。
「ユーザーID」の部分には任意の文字列を含められる。「パスワード」は省略可能である。そこで,「ユーザーID」の部分には見せかけたい「サーバー名.ドメイン名」を記述する。そして,「@」の前には「%01」および「%00」を記述する。そうすれば,IE 6が実際に表示するページは「@」以降の「(サーバー名).(ドメイン名)/(フォルダ名)/(ファイル名)」だが,アドレス・バーおよびステータス・バーには,「@」よりも前の「ユーザーID=偽装したサーバー名.ドメイン名」が表示されることになる。
「プロパティ」情報も偽装可能
「%01」によってアドレス・バーに表示されるURLが偽装されている場合には,リンクを指定してマウスの右ボタンをクリックすると表示されるメニュー(あるいは「ファイル」メニュー)の「プロパティ」で偽装を見破ることができる。
一方,Secuniaのレポートでは指摘していないが,「%00」によってステータス・バーを偽装している場合には,「ファイル」メニューなどの「プロパティ」で表示される情報も偽装できる。ただしこの場合も,「プロパティ」で表示されるURL情報には“ゴミ”のような文字が含まれるので,表示される情報を注意深く観察すれば偽装を見破れる。
ところが,「%01」と同じようにアドレス・バーを偽装することが可能で,「プロパティ」の情報を見ても“ゴミ”のような文字が含まれない文字列が発見されている(ただし「%00」を併用する必要がある)。こうした文字列の情報は,複数のWebサイトで公開されている。「%01」を使った方法が公開されて以降,新たな手法が見つけ出されていることで,事態はより深刻になっている。
なお,一点補足すると,Secuniaのレポートでは「%01」を使えばアドレス・バーを偽装できるとしているが,筆者が試した限りでは,URL中に「%01」を記述しただけでは偽装できなかった。ある細工を施さないと,アドレス・バーに表示されるURLを偽装できない。一方「%00」については,URL中に単純に記述するだけで,ステータス・バーに表示されるURLを偽装できた。
【12月17日 訂正】初出時に,「一方『%00』については,URL中に単純に記述するだけで,アドレス・バーに表示されるURLを偽装できた」としましたが,「一方『%00』については,URL中に単純に記述するだけで,ステータス・バーに表示されるURLを偽装できた」の誤りでした。お詫びして訂正いたします。【以上,12月17日 訂正】
今回のセキュリティ・ホールは非常に深刻であるといえる。というのも,多くのユーザーは,アドレス・バーやステータス・バーの情報を基に,現在閲覧しているサイトが,自分が意図したものかどうかを判断しているからだ。これらの情報を容易に偽装できるとなると,個人情報を盗むようなページを容易に作れてしまう。そして,情報を盗んだ後に,ユーザーが意図したページへ自動的にジャンプさせるようにしておけば,ユーザーは情報を盗まれたことに気付かないだろう。
なお,Secuniaのレポートによると,IE 6 でこのセキュリティ・ホールを確認したが,それ以前のバージョンでも同じように影響を受けるかもしれないとしている。実際,筆者が試した限りでは,「IE 5.5 SP2 + 最新パッチ」の環境でも,Secuniaが公開している「%01」と「%00」を併用するデモを再現できた。
前述のように,IEの設定ではこのセキュリティ・ホールを回避できない。Secuniaのレポートでは,回避策として,URLフィルタリング機能を持つプロキシ・サーバーあるいはファイアウオールで,セキュリティ・ホールを突くような文字列をフィルタすることを挙げている。加えて,信頼できない情報(Webページやメールなど)のリンクをクリックしないことも挙げている。
URLの偽装を確実に見破るには,まずは,これからクリックしようとしているリンクをマウスで指定する。そして,右クリックでメニューを表示させて,「ショートカットのコピー」でリンク先のURLをコピーする。それを「メモ帳」などにペーストしてリンク先のURLを目視で確認する。
リンク先にジャンプした後であれば,「表示」メニューの「エクスプローラ バー」の「履歴」で表示される「今日」のWebサイト情報を確認する。「ファイル」メニューの「プロパティ」で表示されるURL情報は偽装できるが,「履歴」で表示される情報は偽装できない。
ただし「履歴」では,現在表示されている最新のURLがどれか分かりづらい。URLの偽装を確実に見破るには,「表示」メニューの「プライバシーレポート」で表示される「サイト」中のURLを確認すればよいだろう。
【12月18日 IT Pro追記】マイクロソフトは12月17日,URLを確認する方法を記述した「成りすましたWebサイトか見分ける手順について」を公開した。この情報には,前述の「ショートカットのコピー」や「履歴」に併せて,JavaScriptコマンドで確認する方法が記載されている。詳細については同情報を参照してほしい。【以上,12月18日追記】
とはいえ,これらの確認方法は手間がかかる。上記のような方法を確実に実践できない場合には,信頼できるサイトやイントラネットのサイト以外では,IE 6を使用すべきではないだろう。「今表示しているサイトは信頼できるサイトだから,安心してリンクをクリックできる」などと思っていても,現在表示しているサイトのURL情報が既に偽装されている可能性すらある。十分注意しよう。
マイクロソフトの対応は?
マイクロソフトは,今回のセキュリティ・ホールをきちんとアナウンスしているのだろうか。筆者が調べた限りでは,関係すると思われる情報は「成りすましたウェブサイトに騙されない方法について」ぐらいである。この情報には,「Microsoft Security」ページから12月13日にリンクが張られた。米Microsoftでは12月12日に公開されているので,日本語サイトの対応は早かったといえる。
とはいえ,内容は乏しい。(1)「ステータス・バーに表示される黄色の鍵のアイコンを確認せよ」,(2)「鍵のアイコンをダブルクリックして,セキュリティ証明書の内容を確認せよ」,(3)「URLをアドレス・バーに直接入力せよ」――といったことが記述されているに過ぎない。
(1)および(2)はSSLを使用しているページに対してのみ有効なこと情報である。(3)についても現実的ではない。リンクをたどってこそのWebであるし,直接入力するとタイプ・ミスする場合がある。有名サイトと似たドメイン名を取得して,タイプ・ミスしたユーザーを待ち受ける悪質なサイトは多数存在する。
そして,最も肝心な「IEにはURLを偽装されるセキュリティ・ホールが存在する」という情報はどこにも見当たらない(2003年12月14日時点)。これでは警告の意味をなさない。セキュリティ・ホールに関する明確な警告と迅速なパッチ公開をお願いしたい。次のパッチ公開予定日まで待ってはいられない。
【12月18日 IT Pro追記】前述のように,マイクロソフトは「成りすましたWeb サイトか見分ける手順について」を12月17日に公開した。既に公開されている「成りすましたウェブサイトに騙されない方法について」と比較すると,URLの確認方法が詳細に記述されているものの,「IEにはURLを偽装されるセキュリティ・ホールが存在する」ことについては明言していない。「URLに『%00』『%01』『@』の文字が含まれている場合には,他のサイトになりすましたサイトにリンクされている可能性がある」と説明するに留めている。 【以上,12月18日追記】
Netscape/Mozillaはステータス・バーに影響
他のWebブラウザーには,同様のセキュリティ・ホールが存在するだろうか。
12月5日に公開されたOperaブラウザ日本語バージョンの最新版「Opera 7.23 for Windows」には,同様のセキュリティ・ホールは存在しない。
ついでに言えば,Opera 7.23では,前回の記事で紹介した「特定のMIMEタイプを持つデータがユーザーに無許可でダウンロード・実行される問題」は解消されている。加えて,12月12日に公開されたセキュリティ・ホール「[Opera 7] 外部から任意のローカルファイルが削除される脆弱性」も解消されている。
Netscapeの最新版「Netscape 7.1」では,ステータス・バーのみ偽装される恐れがある。アドレス・バーや「プロパティ」情報で表示されるURLが偽装されることはない。
とはいえ,前回の記事で書いたように,Netscape 7.1には未修正のセキュリティ・ホールが少なくても6件存在すると考えられる。アドレス・バーのURLを偽装される恐れがなくても,セキュリティの観点からは使うべきではないだろう。
Mozillaの最新版「Mozilla 1.5」も,Netscape 7.1同様,ステータス・バーを偽装される恐れがある。しかし同様に,アドレス・バーや「プロパティ」の情報を偽装される恐れはない。
XPユーザーの混乱を招く変更
最後に,上記以外のWindows関連セキュリティ・トピックス(2003年12月14日時点分)を簡単に紹介する。下記以外の情報については,記事末のリンクを参照してほしい。
まず,「Microsoft FrontPage Server Extensions のバッファ オーバーランにより,コードが実行される (813360) (MS03-051)」については,このパッチに関するWindows Updateでのチェックならびに提供方法が米国時間12月9日に変更された。
当初,デフォルトでは影響を受けないWindows XPユーザーは,Windows Updateを実施してもこのパッチがダウンロードされることはなかった。しかし,「マイクロソフト セキュリティ情報 (MS03-051) : よく寄せられる質問」によると,米国時間12月9日以降,このパッチのダウンロードを確認するメッセージが表示されるようになったという。
メッセージに従ってパッチを適用しても問題はない。ただし,「よく寄せられる質問」によると,変更した状況をさらに変更する(元に戻す)という。筆者が試したところ,12月14日時点ではパッチのダウンロードを確認するメッセージは表示されない状態になっていた。
この変更は,「マイクロソフト トラブル・メンテナンス速報」には記載されていない。12月10日に公開した「2003 年 12 月現在のセキュリティ情報」では,「今月の月刊セキュリティ情報のリリースはありません」とアナウンスされたにもかかわらず,Windows Update を実施すると適用すべきパッチが表示されたので,混乱したWindows XPユーザーは少なくないはずだ。このような場合には「マイクロソフト トラブル・メンテナンス速報」できちんとアナウンスしていただきたい。
マイクロソフト セキュリティ情報一覧
『FrontPage 2000 Server Extensions/FrontPage Server Extensions 2002』
◆Microsoft FrontPage Server Extensions のバッファ オーバーランにより,コードが実行される (813360)(MS03-051)
(2003年12月11日:「よく寄せられる質問」を更新。Windows Update に関する情報を追加)
(2003年11月20日:FrontPage 2000 Server Extensions のセットアップ スイッチに関する情報を更新)
(2003年11月17日:「修正プログラムが正しくインストールされたかどうか確認する方法」 から不要な情報を削除。 「回避策」 を更新)
(2003年11月13日:可能な攻撃の内容)
(2003年11月12日:日本語情報および日本語版パッチ公 開,最大深刻度 : 緊急)
『FrontPage Server Extensions』
◆FrontPage Server Extension のサブコンポーネントが未チェックのバッファを含む(MS01-035)
(2003年12月 9日:「技術的な説明」を更新)
(2002年 8月 9日:FPSE SR 1.3/Windows 2000 SP3 のリンクを告知)
(2001年 6月25日:日本語解説およびWindows 2000用日本語版パッチを公開)
『Microsoft VM』
◆2002 年 3 月 4 日 VM 用の累積的な修正プログラム(MS02-013)
(2003年12月 9日:このパッチが Windows 2000 SP4 に含まれていないことを追記)
(2002年 8月21日:Microsoft VMの入手に関する注意を追記)
(2002年 7月22日:パッチのダウンロード先を変更)
(2002年 3月22日:MS99-045 の変種についての情報を追記)
(2002年 3月 5日:日本語情報公開,最大深刻度 : 高)
マイクロソフト トラブル・メンテナンス速報
◆Windows Update に接続すると [インストールする更新] の選択ボタンを押した後で 「Windows Update にエラーが発生しました。要求されたページは表示できません。」 となる
(更新日:2003年12月 8日)
TechNet Online セキュリティ
◆2003 年 11 月 セキュリティ 警告サービス 月刊サマリー
山下 眞一郎 Shinichiro Yamashita
株式会社 富士通南九州システムエンジニアリング
第一ソリューション事業部ネットソリューション部 プロジェクト課長
「今週のSecurity Check [Windows編]」は,IT Proセキュリティ・サイトが提供する週刊コラムです。Windows関連のセキュリティに精通し,「Winセキュリティ虎の穴」を運営する山下眞一郎氏に,Windowsセキュリティのニュースや動向を分かりやすく解説していただきます。(IT Pro編集部)
