複数の方法を組み合わせた攻撃とその対策

MarkJosephEdwards

2004.07.21

（Mark Joseph Edwards）

　6月7日のことだった。セキュリティ関連のメーリング・リストにJelmer Kuperus氏が，Internet Explorer（IE）の新しい欠陥がコードの挿入を許す可能性について投稿した。

　IEを使っているシステムに侵入しようとする者や，うさんくさいソフトウエアを広めようと者が，複数の方法を組み合わせて攻撃するという内容だった。Jelmer Kuperus氏がいうには，この攻撃法は，JavaScriptやiframesやPHPといったWebブラウザが実行するようなスクリプトを使い，タイミングのテクニックを利用して，ユーザーのシステムにある信頼されたイントラネット・ゾーンへのアクセスを取得するものだ。Kuperus氏によればこの手口は「既知の弱点と，以前には知られていなかった弱点を利用する」という。その1つは，ActiveX Data Objects（ADO）に関するもので，後に「Download.Ject」として知られる弱点である。

IISに不正コードを埋め込み
閲覧者のシステムにトロイの木馬を送り込む
　複数の弱点を使うこの攻撃方法によって，多くの人々のシステムが様々なソフトウエアに感染させられることになった。その大部分は全く危険でないにしてもイライラするものだ。例えば，極悪非道な連中は，ユーザーのシステム上にポップアップ・ウインドウを果てしなく続けて開くようなアドウエアをインストールした。しかし，その問題は軽いほうの部類に入る。

　その後，6月下旬にかけてMicrosoftのWebサーバー・ソフトInternet Information Services（IIS）のごたごたが加わった。Microsoftのセキュリティ情報「MS04-011」で記述されているIISの弱点に関して，4月中旬に利用可能になったパッチをあてて更新されていないシステムを攻撃することで，侵入者はサーバーのWebページの中にJavaScriptを埋め込める。このように侵入者たちは，悪意のあるJavaScriptコードをホストする自前のWebサイトを立てる代わりに，合法的なWebサイトで未パッチのIISシステムに侵入している。

　このJavaScriptは，疑念を抱かないユーザーが，Webページを開こうとすると，IEが「トロイの木馬」プログラムをダウンロードしようとする。このトロイの木馬は，ログオンと金銭に関する情報を収集（「フィッシュ」）する。

　メーリング・リストBugtraqの世話人のDavid Amhad氏が6月25日の投稿で指摘したように，こうした組み合わせ可能な弱点が「バージョンやメモリー・レイアウトや他の散在する要素に依存しておらず，ファイアウオールが全く役に立たず，VPNも基本的には自由に入り込まれてしまい，（そして）ブラウザがクラッシュするだけでは済まない」。こうした組み合わされた弱点は破滅的なものになる可能性を秘めている。

　いくつかの予防策は明快で，いくつかは明快でない。まずは，サーバー上のIISに「MS04-011」のセキュリティ・パッチを当てること（該当サイト）。侵入者がそのサーバーのWebページを不正なコードのホスト用に使うために改ざんするのを明らかに阻止するだろう。

　もう1つは，IEのセキュリティ・ゾーン設定の中でスクリプトを無効にすること。ある程度はユーザーを守れる。しかし，それでもスクリプトを切れない状況はたくさんある。スクリプトがWebサイトのユーザビリティに欠かせないこともある。IEのセキュリティを向上させる方法は，多分みなさんの多くがご存知だと思うが，もしご存知でない場合に備えて，MicrosoftはWebサイトでいくつかの方法を紹介している（該当サイト）。

ADODBを無効にする3つの方法
　もし，あなたがスクリプトを切れない場合，応急策としてIE内でADOデータベース（ADODB）を無効にするという方法がある。

　米eEye Digital SecurityのDrew Copley氏は，まさにこれを実行するシンプルなレジストリ・スクリプトと，変更を元に戻すスクリプトを書いた。さらに彼は，ADODBを無効にしたり再度有効にしたりする実行プログラムを書いた。eEyeのWebサイトでそのスクリプトと実行可能なプログラムをダウンロードできる（該当サイト）

　ADODB攻撃に対してIEシステムを守るもう1つの方法は，PivX SolutionsのQwik-Fixを使うことだ。それはいろいろな侵入の手口からIEを守る。最近同社は企業環境向けのバージョンのQwik-Fixを出した（該当サイト）。私は同様な機能を提供するほかのツールは知らない。

　その後，Microsoftは「Internet ExplorerでADODB.Streamオブジェクトを無効にする方法」という情報を公開した（該当サイト）。

　また，Download.Jectへの対処法に関する情報「Download.Jectに関する情報」もWebサイトで公開されている（該当サイト）。他にもMicrosoftから，IEで不正なスクリプトを実行されない方法が公開されているので，この機会にぜひ参照してもらたいたい。
●Internet Explorerのマイコンピュータ・ゾーンのセキュリティ設定を強化する方法
●Internet ExplorerでActiveXコントロールの動作を停止する方法
●[IE5]ActiveX コントロールを削除する方法