【注意事項】トレンドマイクロのウイルス検知ソフトは本記事で紹介するIE'enをウイルス定義ファイルに登録しているため,これをダウンロードするとウイルス検知される可能性がある。
アクセスしたWebサイトの履歴やCookie,ブラウザ上で入力した検索語やパスワードを盗む――。このような不正行為が簡単に実現可能だと実証するツールが登場した。
ツールの名は「IE'en(アイーン)」。セキュリティ技術情報や関連ツールを提供する「SecurityFriday.com」(http://www.securityfriday.com)が2002年7月1日に公開した。
DCOMを使ってSSLをのぞく
 |
| 図1●IE'enの画面例。 (1)Cookieを取得できる,(2)SSL通信の中身もそのまま見える,(3)検索文字列が取得できる,ことを示す |
図1[拡大表示]を見てほしい。IE'enを使うと,指定したPCで起動しているInternet Explorer(IE)のウインドウの一覧,各ウインドウで閲覧しているWebサイトのURLやCookie,検索サイトで入力した検索語などの情報を取得できる。
なかでも驚くのが,SSLで保護されるはずのデータがそのまま取得できてしまう点だ。IE'enを使えば,暗号化前または復号化後のデータが取れる。つまりクレジット・カード番号や暗証番号など,重要な機密データが簡単に盗まれる危険性があるのだ。
このツールは,Windows NT4.0/2000/XPが標準で搭載する分散オブジェクト技術DCOM(Distributed Component Object Model)を利用している。DCOMとは,ネットワークを介してアプリケーションが連携動作するための仕組みである。IE'enは,DCOM経由で標的のIEを遠隔操作する。
WindowsはDCOMのサービスを135番ポートで提供する(135/tcpと135/udpはリモート・プロシジャ・コールのサービス・ポート)。このポートは,デフォルト設定で有効になっている。
このため,IE'enが対象とするIE以外でも,DCOMで作られたアプリケーションならばすべて同じ方法で操作できる可能性がある。問題は,これがセキュリティ・ホールではなく,Windowsの仕様だということだ。WindowsはCOMの集合体である。IE'enが実証したのは,「セキュリティ・ホールの有無に関係なく,Windowsは常に危険と向き合っている」ということなのだ。
ポート135が危ない
IE'enでIEを遠隔操作するには,そのPCのIPアドレスとログイン名,パスワードを知る必要がある(これらをダイアログ・ボックスに設定する)。このため,実際にはパスワードなどを適切に管理していれば,インターネット経由で第三者から攻撃を受ける可能性は低い。
しかし,社内などのイントラネット環境では,他人のIPアドレスやユーザ名は簡単にわかる。パスワードの管理も甘い場合が多い。内部でPCの操作を監視される恐れはおおいにある。また,インターネット喫茶や学校などのように,複数台のPCを同様の設定で運用している場合も注意が必要だ。
DCOMの脅威をなくすために,特別な対処法が存在するわけではない。Windowsの安全設定や適切なパスワード管理など,セキュリティ対策の基本をきちんと実施することが大切だ。
ツールを公開したSecurityFriday.comのDaiji Sanai氏も,これを強調する。同氏は公開の目的を「ファイル共有に利用するTCPの139番ポートの危険性はよく知られている。しかし,ポート135は具体的にどのような危険があるのか知られていなかった。このため警告しても現実味がなかった。このツールで,ポート135の危険性をリアルに訴え,Windowsをデフォルト設定で運用する恐さを伝えたかった」と語る。また,「ブラウザであるIEをDCOM対応にする必要が本当にあるのか」(SecurityFriday.comのHidenobu Seki氏)と,Microsoftの戦略自体に疑問も投げかけている。
このように,Windowsを使うとネットワークにつながった別のPCからアクセスされる可能性が生じる。基本的なセキュリティ対策を今一度徹底すべきだろう。
