• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

今週のSecurity Check

解消されない“URLの偽装問題”,1月もIEのパッチは公開されず

Mozillaは最新版で対応完了,MDACのセキュリティ・ホールにも注意

山下眞一郎 2004/01/21 ITpro

 Internet Explorer(IE)には,パッチ未公開のセキュリティ・ホールが複数確認されている。その一つが過去のコラムでも解説した,URLを偽装されるセキュリティ・ホールである。しかしながら,1月の月間セキュリティ情報の公開日には,IE関連のセキュリティ情報やパッチは公開されなかった。マイクロソフトには,一刻も早い対応が望まれる。一方,米国時間1月15日に公開されたMozilla 1.6では,一部未対応だったURLの偽装に関する問題が修正された。

IEに関するパッチは未公開

 マイクロソフトは,1月分の「月間セキュリティ情報」を2004年1月14日に公開した(関連記事)。マイクロソフトは2003年10月以降,セキュリティ・ホール情報やパッチ情報を「月間セキュリティ情報」として毎月1回まとめて公開している。今回が4回目の公開日である。

 今回新たに公開されたのは,Windowsなどに含まれるコンポーネント群「MDAC(Microsoft Data Access Components)」,サーバー・ソフト「Internet Security and Acceleration Server 2000(ISA Server 2000)」および「Exchange Server 2003」――に関するセキュリティ・ホールである。セキュリティ・ホールの最大深刻度はそれぞれ,、「重要」「緊急」「警告」である。

 これらの内容については後述するとして,まずはIEのセキュリティ情報(パッチ)が公開されなかったことに注目したい。

 このコラムで何度か紹介しているように,IEにはパッチが公開されていないセキュリティ・ホールが複数存在する。前回(2003年12月)の月間セキュリティ情報の公開予定日には,修正パッチの品質向上を目的とした確認作業のため,新規にパッチを公開することを見合わした。このため,「今月こそはIEのパッチが公開されるだろう」と考えていたのは筆者だけではあるまい。ところが,予想に反して公開されなかった。

 現時点(1月18日)で,IEに関するパッチ未公開の主なセキュリティ・ホールは以下の通りである。

 (1)Liu Die Yu氏が発見した,IE 6/5.5/5.01が影響を受ける8種のセキュリティ・ホール(関連記事
 (2)セキュリティ・ベンダーSecuniaが警告した,アドレス・バーとステータス・バーのURLを偽装できるセキュリティ・ホール(関連記事
 (3)米SANS Instituteが警告した2種類のセキュリティ・ホール(関連記事

 (1)と(3)については回避策が存在する。IEのセキュリティ設定で「アクティブ スクリプト」を無効にすれば回避可能だ。この設定は,過去の記事で紹介した「IEを使い続けるための“お勧め”設定 2002年3月27日版」に含まれる設定である。つまり,“お勧め”設定を実施していれば,パッチを適用していなくても,これらのセキュリティ・ホールを突かれることはない。

 問題は(2)である。前回の記事で解説したように,“お勧め”設定を実施していても,このセキュリティ・ホールは回避できないのである。このため,パッチの提供が待たれているのだが,いまだに提供されていない。

マイクロソフトのアナウンスは依然不十分

 URLの偽装に関するセキュリティ・ホール情報をSecuniaが公開したのは12月9日である。以降,現在までに「月間セキュリティ情報」は2回公開されているが,いずれにおいても,このセキュリティ・ホールについて言及されていない。では,「月間セキュリティ情報」以外で,このセキュリティ・ホールをアナウンスしているのだろうか。結論から言うと,「IEにはURLの偽装を許すセキュリティ・ホールが存在する」といった直接的なアナウンスはない(1月18日現在)。URLの偽装に関する情報が公開されているだけである。

 まず12月13日に,「成りすましたウェブサイトに騙されない方法について」という情報へのリンクが,「Microsoft Security」のトップ・ページに用意された。ただし,以前の記事で紹介したように,この情報の内容は乏しい。

 次に,より詳しい情報「マイクロソフト サポート技術情報 833786 - 成りすました Web サイトおよび悪意のあるハイパーリンクを見分けるための手順」が12月17日に公開された。この情報では,なりすましのサイトから身を守るための具体的な手順が紹介されている。内容は,同情報および過去の記事を参照してほしい。

 この情報は,URLの偽装に関するセキュリティ・ホールを踏まえた内容になっている。具体的な対策手順がいくつか紹介されていて,内容自体は評価できる。しかしながら,大きな問題がある。まず第一に,この情報は「Microsoft Security」に代表されるマイクロソフトのセキュリティ関連ページでは一切紹介されていない。

 加えて,「偽装を許すのは,IEにセキュリティ・ホールが存在するからである。そして,このセキュリティ・ホールのパッチは未公開である」――といった,最も重要な情報が記載されていない。このことは,上記の情報「サポート技術情報 833786」に限らず,マイクロソフトのサイトには相変わらず見当たらない。これでは警告にならない。多くのユーザーは,今自分が危険な状態にあることを知らないだろう。

 URLの偽装を許すセキュリティ・ホールが存在することは揺るぎない事実である。ユーザーに対しては,セキュリティ・ホールが存在することを明確にアナウンスするべきではないだろうか。その上で,上記の「サポート技術情報 833786」を紹介していただきたい。加えて,月間セキュリティ情報の公開日にこだわらずに,迅速にパッチを提供してもらいたい。

いくつかのベンダーは回避策を用意

 いくつかのベンダーは,URLの偽装に関するセキュリティ・ホールに対応している。例えば,米ISS(Internet Security Systems)のセキュリティ情報研究チーム「X-Force」は,このセキュリティ・ホールに関する情報を公開している(日本法人インターネット セキュリティ システムズが公開する情報)。

 併せて,このセキュリティ・ホールの影響を回避するためのIEのプラグイン・ツールを公開している。このツールを使えば,悪意があるWebページに誘導されることを防げる。

 日本ネットワークアソシエイツは,同社のウイルス対策ソフト「マカフィー・ウイルススキャン」などで対応した。具体的には,このセキュリティ・ホールを突こうとするリンクが含まれるWebページやメールを閲覧すると,それらを「Exploit-URLSpoof」として検出し警告する。

 「Exploit-URLSpoof」の情報は2003年12月26日に公開された。同社のウイルス定義ファイル(DATファイル)「4311」以降で対応している。

 URLの偽装に関するセキュリティ・ホールを回避するには,これら他ベンダーのツールや製品を使うことも有用である。ただし,これらは回避策の一つに過ぎない。これらのツールや製品のチェックをかいくぐる攻撃方法が新たに出現する可能性は否定できない。パッチが提供されない限り,セキュリティ・ホールは解消されないのである。

Mozillaは最新版で対応

 前回の記事で紹介したように,URLの偽装に関するセキュリティ・ホールの影響を受けるのはIEだけではない。例えば「Mozilla 1.5」の場合には,IEとは異なりアドレス・バーや「プロパティ」のURL情報を偽装される恐れはないものの,ステータス・バーの情報は偽装される可能性があった。

 しかし,米国時間1月15日に公開されたMozillaの最新版「Mozilla 1.6」では,この問題は解消されている(関連記事)。「Mozilla 1.6 リリースノート」には「いくつかのセキュリティ関連のバグが修正されました」と書かれているだけで,特に言及されていない。セキュリティに関するレポート「Mozilla における既知の脆弱性」にも追記されていない。

 ところが筆者が確認したところ,ステータス・バーの偽造の問題は解消されていた。素早い対応である。Mozilla 1.6で,URL偽装の問題に関する対応は完了したといえるだろう。

 他のブラウザについては,前回の記事で伝えたままである。「Opera 7.23 for Windows」は,ステータス・バー/アドレス・バー/「プロパティ」のいずれのURL情報も偽装される恐れはない。

 Netscapeの最新版「Netscape 7.1」では,Mozilla 1.5と同様にステータス・バーのみ偽装される恐れがある。アドレス・バーや「プロパティ」情報で表示されるURLが偽装されることはない。ただし,Netscape 7.1には未修正のセキュリティ・ホールが複数存在するので,利用すべきではないだろう。

Windowsに「重要」のセキュリティ・ホール

 次に,1月分の「月間セキュリティ情報」で公開されたセキュリティ・ホールを解説する。

 まず,ISA Server 2000(あるいは,ISA Server 2000を含むSmall Business Server 2000/2003)には,最大深刻度が「緊急」のセキュリティ・ホール「Microsoft Internet Security and Acceleration Server 2000 H.323 フィルタの脆弱性により,リモートでコードが実行される (816458) (MS04-001)」が見つかっている。同製品の管理者は早急に対応する必要がある。

 Exchange Server 2003については,最大深刻度が「警告」の「Exchange Server 2003 の脆弱性により,権限が昇格する (832759) (MS04-002)」が公開された。深刻度は低く,デフォルト設定のExchange Server 2003は影響は受けないものの,同製品の管理者は注意したい。

 これらはサーバー・ソフトのセキュリティ・ホールであり,管理者が対応すべきセキュリティ・ホールである。だが,一般ユーザーが対応しなければいけないセキュリティ・ホールも公開されている。「MDAC 機能のバッファ オーバーランにより,コードが実行される (832483)(MS04-003)」である。

 MDACはWindows プラットフォームでデータベース接続を提供するコンポーネント群である。ほとんどの Windows システムに存在する。今回,MDAC 2.5/2.6/2.7/2.8 に含まれる特定のコンポーネントに,バッファ・オーバーランを引き起こされるセキュリティ・ホールが見つかった。

 Windowsマシンが送信した「SQLブロードキャスト・リクエスト」に対して,その応答として攻撃者から細工を施したパケットを送られると,そのWindowsマシン上で任意のプログラムを実行させられる恐れがある。このとき,そのプログラムはSQLブロードキャスト・リクエストを送信したアプリケーションと同じ権限で実行される。

 ただし,攻撃を成功させるには,攻撃者が攻撃対象マシンと同じIP サブネット上で SQL Server をシミュレートしている必要がある。リモートから攻撃が可能ではあるが,インターネット経由あるいは異なるIP サブネット(SQL ブロードキャストが届かないネットワーク)からは攻撃できない。さらに,攻撃対象マシンがSQLブロードキャスト・リクエストを送信した場合のみ攻撃が可能である。攻撃者が一方的に攻撃を開始することはできない。このため,深刻度は上から2番目の「重要」に設定されている。

 対策はパッチを適用すること。「Windows Update」から適用できるとともに,セキュリティ情報のページからもダウンロードできる。

 なお,セキュリティ情報は随時更新されているので,最新の情報を参照するようにしたい。例えば,パッチのインストーラが英語版でも日本語Windowsに問題なく適用できるという情報が追記されている。また,パッチのダウンロード・サイトとして,当初英語サイトが紹介されていたが,現在では日本語サイトに変更されている。

MDAC 2.7以降にアップグレードを

 このコラムで何度か解説しているように,MDACには何度かセキュリティ・ホールが見つかっている。最近では,「MDAC 機能の未チェックのバッファにより,システムが侵害される (823718) (MS03-033)」が2003年8月に公開されている。ただし,このセキュリティ・ホールはMDAC 2.5/2.6/2.7だけに存在した。Windows Server 2003 にデフォルトでインストールされている,MDAC 2.8は影響を受けなかった。ところが,今回公開された「MS04-003」はMDAC 2.8も影響を受けるので,注意したい。

 MDACに見つかったセキュリティ・ホールとしては,MDAC 2.6 以前が影響を受ける「Microsoft Data Access Components のバッファ オーバーランにより,コードが実行される (Q329414) (MS02-065)」も挙げられる。攻撃者から任意のプログラムを実行させられる恐れがある深刻なセキュリティ・ホールである。これは「MS03-033」や「MS04-003」とは異なり,攻撃者が一方的に攻撃を開始できる。このため,深刻度は最悪の「緊急」に設定されている。

 古いセキュリティ・ホールではあるが,OSを再インストールしたWindows 2000システムなどには,このセキュリティ・ホールが存在する可能性がある。これを機に改めて確認しておきたい。

 マイクロソフトからは,このセキュリティ・ホールに関するパッチが公開されている。しかしながら,パッチを適用するのは対応策としてお勧めできない。MDAC 2.7以降にアップグレードすることを推奨する。詳細については,過去の記事「パッチを無効にされる恐れあり,Windowsの深刻なセキュリティ・ホールを解説する」を参照してほしい。MDAC 2.6以前のユーザーは,同記事を参照して早急にアップグレードしたい。

 MDAC 2.7以降についていくつか補足する。まず,現時点でのMDAC 2.7の最新バージョンは,Microsoft SQL Server 2000 Service Pack 3a リリースにも含まれる「Microsoft Data Access Components 2.7 SP1 Refresh」である。

 MDAC 2.7 SP1 Refresh をインストールする際の注意点は,MDAC 2.7 SP1 Refreshに関するページ中の「ダウンロードの説明」,および「Microsoft Data Access Components のバッファ オーバーランにより,コードが実行される (Q329414) (MS02-065) 」に記載された「MDAC 2.7のインストールに伴う注意点」を参照してほしい。

 これらの情報にあるように,インストール時にMDACを使用しているアプリケーションが検出された場合には,そのアプリケーションを終了させた後で,MDACのインストールを行う必要がある。これについては,過去の記事「『Windowsの深刻なホール』対策で発生するトラブルを解決する」で詳しく解説している。

 MDACの最新版であるMDAC 2.8については,2003年8月28日以降「Microsoft Data Access Components (MDAC) 2.8」からダウンロード可能になっている。しかしながら,MDAC 2.8へのアップグレードに関する詳細な情報はほとんど提供されていない。MDAC 2.8をデフォルトで含むWindows Server 2003 以外では,MDAC 2.7 SP1 Refreshを利用することをお勧めする。

 最後に,上記以外のWindows関連セキュリティ・トピックス(2004年1月18日時点分)については,記事末にリンクを用意したので,リンク先の情報やIT Proの過去記事などを参照してほしい。



マイクロソフト セキュリティ情報一覧

『ISA Server 2000/Small Business Server 2000/Small Business Server 2003』
Microsoft Internet Security and Acceleration Server 2000 H.323 フィルタの脆弱性により,リモートでコードが実行される (816458) (MS04-001)
 (2004年 1月14日:日本語情報および日本語版パッチ公開,最大深刻度 : 緊急)

『Data Access Components 2.5/2.6/2.7/2.8』
MDAC 機能のバッファ オーバーランにより,コードが実行される (832483) (MS04-003)
 (2004年 1月14日:パッチのダウンロード・サイトが日本語サイトに変更)
 (2004年 1月14日:インストーラが英語版でも問題ないことを追記)
 (2004年 1月14日:日本語情報および日本語版パッチ公開,最大深刻度 : 重要)

『Exchange Server 2003』
Exchange Server 2003 の脆弱性により,権限が昇格する (832759) (MS04-002)
 (2004年 1月15日:MBSA および SMS 2.0に関する情報を修正)
 (2004年 1月14日:日本語情報および日本語版パッチ公開,最大深刻度 : 警告)

マイクロソフト PressPass

Microsoft Windows 98,Microsoft Windows 98 Second EditionおよびMicrosoft Windows Millennium Edition の延長サポート期間を2006年6月30日までさらに延長することを決定 (2004年 1月15日)

マイクロソフト トラブル・メンテナンス速報

Norton AntiVirus の LiveUpdate 後,Office 製品の起動が遅くなる (更新日:2004年 1月13日)

TechNet Online セキュリティ

2003 年 12 月 セキュリティ 警告サービス 月刊サマリー


山下 眞一郎   Shinichiro Yamashita
株式会社 富士通南九州システムエンジニアリング
第一ソリューション事業部ネットソリューション部 プロジェクト課長
yamaアットマークbears.ad.jp


 「今週のSecurity Check [Windows編]」は,IT Proセキュリティ・サイトが提供する週刊コラムです。Windows関連のセキュリティに精通し,「Winセキュリティ虎の穴」を運営する山下眞一郎氏に,Windowsセキュリティのニュースや動向を分かりやすく解説していただきます。(IT Pro編集部)

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

  • 【ニュース解説】

    機械学習で変わるBIツール、データの関連性を自動発見

     企業の利用部門が自分でデータ分析をするためのBIツールである「セルフサービスBI」で、機械学習の活用が始まっている。エンドユーザーは専門家であるデータアナリストに比べると、システムや分析に詳しくない。これを補うように、機械学習が専門家のノウハウを肩代わりするのが、セルフサービスBIの新しい流れだ。

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

運用管理

設計/開発

サーバー/ストレージ

ネットワーク/通信サービス

セキュリティ

もっと見る