Internet Explorer(IE)にはパッチ未公開のセキュリティ・ホールが複数存在する。US-CERTなどは米国時間4月8日,そのうちの一つを警告している(関連記事)。このセキュリティ・ホールを突く攻撃は,以前紹介した「お勧め設定」では回避できない。そこで今回の記事では,今回警告されたセキュリティ・ホールを解説するとともに,このセキュリティ・ホールにも対応できる新しい「お勧め設定」を紹介する。
パッチ未公開の危険なセキュリティ・ホール
IEのITS(InfoTech Storage)プロトコル・ハンドラにセキュリティ・ホールが見つかっている。具体的には,ITS プロトコル・ハンドラが CMHファイル(Compiled Help Module:複数のHTMLファイルや画像ファイルなどを圧縮して一つにしたヘルプ・ファイル)を適切に処理できない。このセキュリティ・ホールを悪用されると,WebページやHTMLメールを閲覧しただけで,任意のコードを実行させられる恐れがある。このとき,任意のコードは,最も制限が緩い「マイ コンピュータ(ローカル コンピュータ)」 ゾーンで実行される。
US-CERTの情報によると,影響を受ける ITSプロトコル・ハンドラは,(1) ms-its, (2) ms-itss, (3) its, (4) mk:@MSITStore ――の4種類である。同情報には,影響を受けるIEのバージョンは明記されていないが,「Bugtraq」などの情報によれば,IE 5.01/5.5/6 のすべてが影響を受ける。また,IEのコンポーネントを使うアプリケーションや,HTMLメールのレンダリングにIEを使うメール・ソフト(OutlookやOutlook Expressなど)も影響を受ける。
このセキュリティ・ホールのExploit(セキュリティ・ホールを検証するためのコード)は既に公開されており,セキュリティ・ホールを突く細工を仕込んだWebページやウイルス(ワーム)も出現している。確認されているウイルスの一つは,以前出現した「Bugbear」ウイルスの亜種である。メールの添付ファイルとして感染を広げるとともに,感染パソコンのキー操作を記録する「キー・ロガー」などの“機能”を備えている。
一部のアンチウイルス・ソフトは,このセキュリティ・ホールを突くようなコード(ITS プロトコル・ハンドラを含むURLなど)をウイルスとして検知できるものの,コードをエンコードされると,回避される可能性がある。守る側からすれば,厄介なセキュリティ・ホールである。
前述のように,US-CERTや米Internet Security Systems(ISS)などからは,今回のセキュリティ・ホールに関する情報が公開されている。その他の情報へのリンクは,CVE(Common Vulnerabilities and Exposures)の「CAN-2004-0380」に記載されている。しかし,米Microsoftからは関連情報やパッチは公開されていない。パッチを作成するには時間がかかるかもしれないが,ユーザーを守るために警告を発することはすぐにできるはずだ。危険なセキュリティ・ホールである。Microsoftは,早急に何らかの対応をしてほしい。
セキュリティ・ホールの回避策
US-CERTでは,今回のセキュリティ・ホールの回避策として,以下の方法を紹介している。
(1)「Disable ITS protocol handlers」(ITSプロトコル・ハンドラを無効にする)
(2)「Follow good Internet security practices」(インターネット・セキュリティのよい慣習に従う)
(a)Disable Active scripting and ActiveX controls(アクティブ・スクリプトとActiveX コントロールを無効にする)
(b)Do not follow unsolicited links (必要のないリンクをたどらない)
(c)Maintain updated anti-virus software (アンチウイルス・ソフトを最新の状態に保つ)
(1)については,レジストリ・エディタ(「regedit」コマンド)を使用して,以下のレジストリ・キーを削除するかリネームする。
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler\ms-its
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler\ms-itss
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler\its
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler\mk
ただし,これらを削除あるいはリネームすると,Windows ヘルプ・システムの機能を制限したり,他の意図しない結果を引き起こしたりする可能性がある。そのため,これらの削除あるいはリネームで回避する場合には,パッチが公開されて適用した後には,これらの変更を元に戻すよう促している。
(2)の(a)については,「NOTE(注意)」として,アクティブ・スクリプトとActiveX コントロール を無効にしても,このセキュリティ・ホールはふさげないとしている。インターネット ゾーンとマイ コンピュータ(ローカル コンピュータ)ゾーンでアクティブ スクリプトとActiveX コントロールを無効にすれば,ある種の攻撃は防げるとしている。
マイ コンピュータ ゾーンのセキュリティ設定は,IEのセキュリティ設定には表示されないので,通常の方法では変更できない。Microsoft Knowledge Base Article 833633(日本語版は 「マイクロソフト サポート技術情報 - 833633 Internet Explorer のマイ コンピュータ ゾーンのセキュリティ設定を強化する方法」)にあるように,レジストリ値を変更する必要がある。
「マイ コンピュータ ゾーン」を表示させる
マイ コンピュータ ゾーンのセキュリティ設定を厳しくすることは,今回のセキュリティ・ホールに対してだけではなく,他のパッチ未公開セキュリティ・ホールや未知のセキュリティ・ホール対策としても有効だと考える。筆者としては,設定を変更して厳しくすることを勧めたい。
しかし,US-CERTの情報には不十分な点があるので補足する。まず,US-CERTではセキュリティ設定を厳しくする対象として,インターネット ゾーンとマイ コンピュータ(ローカル コンピュータ)ゾーンを挙げているが,イントラネット ゾーンも加えるべきだろう。
インターネット ゾーンのWebページを,イントラネット ゾーンだと誤認するセキュリティ・ホールがIEには以前見つかっている。「不正なドットなし IP アドレスにより Web ページがイントラネット ゾーンで処理されてしまう (MS01-051)」である。イントラネット ゾーンのセキュリティ設定を緩くしていると,同じようなセキュリティ・ホールが見つかった場合にイントラネット ゾーンが抜け道になる可能性がある。イントラネット ゾーンのセキュリティ設定にも注意を払うべきだ。
加えて,マイ コンピュータ ゾーンのセキュリティ設定を変更する方法についても補足したい。筆者としては,US-CERTが紹介している「Internet Explorer のマイ コンピュータ ゾーンのセキュリティ設定を強化する方法」を実施するのはお勧めしない。この方法では,マイ コンピュータ ゾーンの各種設定を,レジストリ・キーにあるレジストリ値を直接変更する。一般のユーザーには敷居が高いだろう。
また,マイ コンピュータ ゾーンのセキュリティ設定をいじると,システムに不具合が発生する恐れがある。例えば,今まで利用できていたアプリケーションやサービスが使えなくなる可能性がある。自分のシステムで最適なセキュリティ設定にするには,試行錯誤が必要となる場合がある。そのたびにレジストリ値を直接変更するのは,ユーザーとしては気が重い。
筆者としては,「マイクロソフト サポート技術情報 - 315933 [インターネット オプション] でマイ コンピュータのセキュリティ ゾーンを有効にする方法」に記載されている方法をお勧めする。
この方法では,デフォルトでは非表示になっている「マイ コンピュータ」ゾーンを表示させ,他のゾーンと同様にメニューから設定変更できるようにする。具体的には,IEの「ツール」メニューの「インターネット オプション」で表示される「セキュリティ」タブをクリックすると,「インターネット」や「イントラネット」と同じように,「マイ コンピュータ」が表示されるようになる。
この方法なら,マイ コンピュータ ゾーンを表示させれば,その後はレジストリを変更することなく設定を変更できる。ただし,マイ コンピュータ ゾーンを表示させるために,1回はレジストリ・エディタでレジストリを変更する必要がある。マイクロソフトの情報にも「レジストリ・エディタの使い方を誤ると,深刻な問題が発生することがあります。最悪の場合,オペレーティング・システムの再インストールが必要になることがあります」という注意書きがある。変更の際には十分注意していただきたい。
マイ コンピュータ ゾーンを表示させた後は,インターネット ゾーンなどと同じように設定変更する。ただし,いきなりすべてのアクティブ・スクリプトとActiveX コントロールを無効にすることは避けたい。影響が大きすぎるからだ。今まで利用できていたアプリケーションやサービスが使えなくなる可能性がある。
マイ コンピュータ ゾーンの設定変更項目や注意点については,前述の「Internet Explorer のマイ コンピュータ ゾーンのセキュリティ設定を強化する方法」が参考になる。この情報に記載されている「マイ コンピュータ ゾーンの設定を強化する前の注意事項」には必ず目を通しておきたい。
ただし,このサポート技術情報は,レジストリの変更で設定変更することを前提としているので,マイ コンピュータ ゾーンを表示させて変更しようとするユーザーにはとても分かりにくい。そこで,「サポート技術情報 - 833633」の情報を,「サポート技術情報 - 315933」の方法で変更するユーザー用に筆者が書き換えてみた。以下に示すので,参考にしていただきたい。
◆セキュリティを強化するために,マイクロソフトが推奨する「マイ コンピュータ ゾーン」の設定例
- 「ActiveX コントロールとプラグインの実行」を「無効にする」
- 「スクリプトを実行しても安全だとマークされていない ActiveX コントロールの初期化とスクリプトの実行」を「無効にする」
- 「Java の許可」を「Java を無効にする」
- 「アクティブ スクリプト」を「ダイアログを表示する」
- 「ドメイン間でのデータ ソースのアクセス」を「ダイアログを表示する」
これらの設定に加えて,
- 「未署名の ActiveX コントロールのダウンロード」の設定項目を「無効にする」
その一例として,「2002 年 3 月 28 日 Internet Explorer 用の累積的な修正プログラム (MS02-015)」の「Object タグによるローカル実行可能ファイルの呼び出し」に関するセキュリティ・ホールが挙げられる。このセキュリティ・ホールは,「GreyMagic Security Advisory GM#001-IE」 として,セキュリティ・ホールの詳細とExploitが公表され,そのおよそ1カ月後にMicrosoftから情報とパッチが公開された。「未署名の ActiveX コントロールのダウンロード」を「無効にする」にしておけば,パッチの適用前でも,このセキュリティ・ホールの影響を受けることはなかった(関連記事)。
最新の“お勧め”設定
以上のように,今回取り上げたセキュリティ・ホールの対策としては,マイ コンピュータ ゾーンの設定を変更することが有効だ。実はこの設定変更は,このコラムで以前紹介した「IEを使い続けるための“お勧め”設定」には含まれない。そこで今回,マイ コンピュータ ゾーンの設定変更を加えた,最新の「IEを使い続けるための“お勧め”設定」を以下にまとめた。
過去の“お勧め”設定では今回のセキュリティ・ホールをふさげないのと同様に,以下の最新の“お勧め”設定でも万全というわけではない。とはいえ,IEのセキュリティを大幅に強化できることは間違いない。多くの場合,未知のセキュリティ・ホールにも対応できるだろう。
◆IEを使い続けるための“お勧め”設定 2004年4月14日版(powered by 「今週のSecurity Check」)
(1)IE の「インターネット オプション」ダイアログ ボックスの「セキュリティ」タブで表示される「インターネット」ゾーンと「イントラネット」ゾーンに,以下の設定変更を施す
- 「ActiveX コントロールとプラグイン」のすべての項目を「無効にする」
- 「Java の許可」を「Java を無効にする」
- 「スクリプト」のすべての項目を「無効にする」
- 「ダウンロード」の項の「ファイルのダウンロード」を「無効にする」
(2)「マイクロソフト サポート技術情報 - 315933 [インターネット オプション] でマイ コンピュータのセキュリティ ゾーンを有効にする方法」を参照してレジストリを変更し,「マイ コンピュータ」ゾーンを表示させる。そして,以下の設定変更を施す
- 「ActiveX コントロールとプラグインの実行」を「無効にする」
- 「スクリプトを実行しても安全だとマークされていない ActiveX コントロールの初期化とスクリプトの実行」を「無効にする」
- 「未署名の ActiveX コントロールのダウンロード」を「無効にする」
- 「Java の許可」を「Java を無効にする」
- 「アクティブ スクリプト」を「ダイアログを表示する」
- 「ドメイン間でのデータ ソースのアクセス」を「ダイアログを表示する」
(3)IE の「インターネット オプション」ダイアログ ボックスの「詳細設定」タブで表示される項目に対して,以下の設定変更を施す
- 「マルチメディア」の項の「Web ページのアニメーションを再生する」「Web ページのサウンドを再生する」「Web ページのビデオを再生する」のチェックをすべて外す
もちろん,現在公開されているIEのセキュリティ・パッチをすべて適用することが前提である。
ただし,上記の“お勧め”設定を施すと,現在稼働しているアプリケーションに影響を及ぼす場合がある。例えば,「Symantec Norton Internet Security 2004」に含まれている「Norton AntiVirus」では,マイ コンピュータ ゾーンに対する「ActiveX コントロールとプラグインの実行」と「アクティブ スクリプト」の設定を変更すると,動作に影響が出ることが分かっている。
上述のマイ コンピュータ ゾーンの設定は,マイクロソフトが推奨するものではあるが,ユーザーの環境によっては最適な設定ではない場合がある。マイ コンピュータ ゾーンの設定については,いきなり「無効にする」に設定するのではなく,最初は「ダイアログを表示する」に設定して試行錯誤を繰り返し,「無効にする」にしても影響が出ないことを確認したほうがよいだろう。
加えて,IEの機能が制限されるために,閲覧できないサイトやコンテンツが多くなる。そのため,頻繁に訪れるWebサイトをすべて「信頼済みサイト」ゾーン」に登録して,閲覧を可能にしようとするユーザーがいるかもしれない。しかし,安易に信頼済みサイトに登録することは禁物である。そのWebサイト自身に悪意がなくても,「クロスサイト・スクリプティング」のぜい弱性があった場合,信頼済みサイト・ゾーンで許している動作を,攻撃者から自由に行われる恐れがあるからだ。
上記のように厳しい“お勧め”設定を施してまで,IEを使い続ける必要があるのかという声もあるだろう。もちろん,IE以外のWebブラウザを使用する,もしくはTPOに応じて使い分けるという方法も,一つの有効な解である。ただし,他のWebブラウザを使用すれば万全というわけではないことは心に留めておいてほしい。このことについては,過去のコラム「IEを使い続けるリスクを再認識しよう」などで触れているので,参考にしてほしい。
ブラウザに限らず,メール・ソフトについても同様のことがいえる。IEのコンポーネントを使うOutlookや Outlook Expressなどは,IEにセキュリティ・ホールが見つかれば影響を受ける。「これらのメール・ソフトは使わない」「HTMLメールを表示させない設定にする」といった対策が有効だ。
とはいえ,ブラウザの場合と同様に,Outlook や Outlook Express以外なら大丈夫というわけでもない。他のメール・ソフトにもセキュリティ・ホールが見つかっている。例えば最近の例では,「鶴亀メール」にバッファオーバーランのセキュリティ・ホールが見つかっている。対策は最新版「Ver3.54」に更新すること。いずれのソフトを使用する場合も,最新の情報を入手して,必要に応じて対策を施す必要がある。
XP SP2ではマイ コンピュータ ゾーンがセキュアに
実は,今回紹介したマイ コンピュータ ゾーンのセキュリティ設定は,Windows XP Service Pack 2(SP2)のデフォルト設定になるようだ。マイクロソフトが公開する,「Microsoft Windows XP Service Pack 2 での機能の変更点」の「ブラウズのセキュリティ強化」に,「Internet Explorer のローカルマシンゾーンのロックダウン」というトピックがある。そこでは,「Windows XP SP2 では,Internet Explorer においてローカル マシン ゾーンを既定でロックダウンすることにより,さらにユーザーを保護します」と書かれている。
具体的な制限項目(ロックダウン項目)は,「URLアクション」単位で紹介されているので分かりにくいが,ここで紹介されている項目は,前述の,マイクロソフトが推奨するマイ コンピュータ ゾーンの設定変更と同じである。今後仕様が変更される可能性はあるものの,現時点では,XP SP2でこの設定がデフォルトで適用される予定である。
前々回,前回の記事でも紹介したように,XP SP2には「セキュリティセンター」や「Windowsファイアウォール」,「IEのポップアップ ブロック」などのセキュリティ強化が施される。それらだけではなく,今回紹介したようなきめ細かい配慮もなされている。それゆえ,筆者としては,一時的に問題が発生する可能性があるとしても,Windows XP SP2 を適用することをお勧めしている。
もちろん,XP SP2を適用するとなると,企業システムでは,膨大なテストや検証/評価に関する工数,適用後のサポート工数が発生することは理解している。それでもなお,セキュリティの観点からは,XP SP2を適用することをお勧めする。
3月30日には,日本語版Windows XP SP2 RC1が公開されている(関連記事)。「Windows XP Service Pack 2 プレビュー プログラム」 からダウンロードできる。早期に Windows XP SP2適用の準備を進めたい場合は,今回のRC1を有効活用すべきだろう。
ただし,一般ユーザーが興味本意でRC1を適用するのはお勧めしない。「製品サポートは行われないこと」「評価環境を別途用意する必要があり,決して本番環境で利用しないこと」などの条件があるように,RC1は一般ユーザーに向けたものではない。RC1を適用する場合には,ハード・ディスクを初期化して Windows XP を再インストールしなければならないような事態は,当然発生するものと考えたほうがよい。
RC1を適用する場合,つまり「Windows XP SP2 プレビュー プログラムへの参加」をする場合には,マイクロソフトへのフィードバックが求められている。フィードバックは,指定のテンプレートで「フィードバック窓口 jwspbeta@microsoft.com」へ電子メールで送信する。「Windows XP SP2 プレビュー プログラム ネットワーク インストール用モジュールのダウンロード」に記載されているように,デスクトップに表示される「Report a XP SP2 Bug」は使用しない。
なお,RC1の適用においては,「評価,使用感およびベンチマーク・テスト結果などをインターネットや書籍などを通じて広範に情報公開しないこと」という条件も存在する。このため,筆者自身もRC1を評価している最中ではあるが,残念ながら評価結果や使用感などは紹介しない。
原稿執筆時点(4月11日)では,前々回,前回の記事以降,マイクロソフトが公開するXP RC1の情報に大きな変化はない。前々回,前回の記事の内容は依然有効なので,XP RC1についてはこれらの過去記事を参照していただきたい。
【4月13日編集部追記】マイクロソフトは4月12日,「Microsoft Windows XP Service Pack 2での機能の変更点」と題した技術資料を公開した(関連記事)。これは,Microsoftが3月22日に公開した「Changes to Functionality in Microsoft Windows XP Service Pack 2」を日本語に訳したものである。【以上,4月13日編集部追記】
最後に,上記以外のWindows関連セキュリティ・トピックス(2004年4月4日時点分)について,各プロダクトごとにまとめたリンクを記事末に記したので,参考にしてほしい。特に,米RealNetworksの「RealPlayer」や「RealOne Player」には,特定バージョンのみが影響を受ける危険なセキュリティ・ホールが見つかっている。ユーザーの多くの影響を受けないと思われるが,念のためにチェックしておこう。
IT Proでも,Windows関連のセキュリティ記事をいくつか掲載しているので参考にしていただきたい。特に,以下の過去記事は重要なので,まだ読んでない方はチェックすることをお勧めする。
◎IT Pro過去記事
■リンク先のURLを偽装できるセキュリティ・ホールがIEに,OEユーザーは特に注意
■シマンテック,「Norton Internet Security」のパッチ提供を開始
RealNetworks Customer Support
◆RealNetworks, Inc. がセキュリティ上の問題に対応するアップデートをリリース(RealNetworks:2004/04/06更新)
Microsoft Security ホーム
◆2004 年 3 月 セキュリティ 警告サービス 月刊サマリー
(マイクロソフト:2004/04/07)
◆Executive E-Mail: マイクロソフトのセキュリティへの取り組みの進展に関して
(マイクロソフト:2004/03/31)
◆セキュリティ修正プログラムに関するよく寄せられる質問
(マイクロソフト:2004/03/24)
マイクロソフト トラブル・メンテナンス速報
◆MSN メッセンジャー - 最新バージョンインストールのお願い
(マイクロソフト:2004/04/07更新)
山下 眞一郎 Shinichiro Yamashita
株式会社 富士通南九州システムエンジニアリング
第一ソリューション事業部ネットソリューション部 プロジェクト課長
「今週のSecurity Check [Windows編]」は,IT Proセキュリティ・サイトが提供する週刊コラムです。Windows関連のセキュリティに精通し,「Winセキュリティ虎の穴」を運営する山下眞一郎氏に,Windowsセキュリティのニュースや動向を分かりやすく解説していただきます。(IT Pro編集部)
