現在地 HOME > 掲示板
> IT4 > 152.html
★阿修羅♪
|
現在地 HOME > 掲示板
> IT4 > 152.html
★阿修羅♪
|
|
なお、元ページは参照のリンクが沢山張ってありますので、なるべく元
ページを見てください。
[2003/10/15]
後を絶たないIEのセキュリティ・ホール,設定変更などで“自衛”を 続々見つかるパッチの不具合,パッチ未公開のホールを狙うウイルスも【ITPro 記事)】
http://itpro.nikkeibp.co.jp/members/ITPro/SEC_CHECK/20031014/1/
今週のSecurity Check [Windows編] (第105回,2003年10月15日)
マイクロソフトは10月9日以降,Microsoft VMやWindows NT 4.0
Workstationのパッチ提供期限の延長といったセキュリティに関する取り
組みを発表している(詳細は後述)。これらは十分評価できるものの,同
社製品のセキュリティ・ホールは相変わらず頻繁に公開されている。
特に,このコラムで何度も紹介しているように,Internet Explorer
(IE)には危険なセキュリティ・ホールが次々と見つかっている。2003年
に入ってから公開されたIEの累積パッチは,10月4日の「MS03-040」で5件
目となる。しかも,パッチが公開されていないIEのセキュリティ・ホール
情報をまとめたサイトが閉鎖されるなど,ユーザーにとって状況は悪くな
っている。そこで今回の記事では,IEのセキュリティ・ホールに関するト
ピックスをまとめた。
パッチ公開前にホールを悪用するウイルスが出現
まずは,10月4日に公開されたIEのセキュリティ・ホール「Internet
Explorer 用の累積的な修正プログラム (828750) (MS03-040)」を解説す
る(関連記事)。
「MS03-040」では,「Popup Window に含まれるオブジェクトタグの脆
弱性」と「XML データ接続を使用時のオブジェクトタグの脆弱性」という,
2種類のセキュリティ・ホールが公開されている。IE 5.01/5.5/6/6
for Windows Server 2003 が影響を受ける。
「Popup Window に含まれるオブジェクトタグの脆弱性」は,IEがポッ
プアップ・ウインドウを呼び出す際に,Web サーバーから返されたオブジ
ェクト・タイプを適切に判断をしないセキュリティ・ホールである。
「XML データ接続を使用時のオブジェクトタグの脆弱性」は,IEがWebサ
ーバーとXML データ接続を行っている間に,Web サーバーから返されたオ
ブジェクト・タイプを,適切に判断をしないセキュリティ・ホールである。
いずれも,細工が施されたWebページやHTMLメールを閲覧するだけで,
ユーザーのシステム上で任意のコードを実行させられる恐れがある,非常
に深刻なセキュリティ・ホールである。
実際,10月初旬に発見された「QHosts」ウイルスは,例えばシマンテッ
クの情報にあるように,「MS03-040」のセキュリティ・ホールを悪用する。
同情報では,QHostsの発見日は10月2日(米国時間)としているので,パ
ッチが公開される前にQHostsは出回っていたことになる。
対策はパッチを適用すること。最大深刻度が最悪の「緊急」のセキュリ
ティ・ホールであり,悪用されるとシステムを乗っ取られる可能性がある。
速やかにパッチを適用する必要がある。なお,パッチを適用すると,
「HTML ヘルプ機能」を使えなくなるといった注意点が存在する。セキュ
リティ情報をチェックした上で,パッチを適用しよう。
「MS03-040」のセキュリティ情報には明確に記載されていないものの,
今回のパッチを適用すれば,8月21日に公開された「MS03-032」のパッチ
では修正できなかった「オブジェクト タグの脆弱性」も適切に修正する
ようだ(関連記事)。
今回のパッチを適用すれば,IEがダイナミック HTML(DHTML)の動作を
処理する手順も,よりセキュアなものに変更できる。具体的には,DHTML
を使って,現在開いているページのセキュリティ・ゾーンよりもセキュリ
ティ・レベルが低い(制限が緩い)ページを開かれることを防ぐ。しかし
ながら今回のパッチでは,Windows Media Player(WMP)を経由させた攻
撃は防げない。具体的には,URLスクリプト・コマンドをwmpファイルに仕
込むことで,セキュリティ・ゾーンのチェックをバイパスすることができ
る。
このため,バイパスを防ぐためのWMPの更新(パッチ)が同時に公開さ
れた。マイクロソフトでは,IEのパッチに併せて,WMPのパッチを適用す
るよう勧めている。WMPのパッチは,「サポート技術情報 828026」からダ
ウンロードできるとともに,Windows Updateからも適用できる。Windows
Updateでは,「Windows Media Player 用セキュリティ問題の修正プログ
ラム (KB828026)」と表示される。
マイクロソフト“推奨”の回避策では不十分
セキュリティ・ホールの影響を避けるには,パッチを適用することが望
ましい。パッチを検証する間,あるいはパッチを適用できないシステムで
の回避策としては,IEにおいて,インターネット・ゾーンおよびイントラ
ネット・ゾーンでActiveX コントロールを無効にすることが一番確実であ
ろう。この設定は,以前紹介した「IEを使い続けるための“お勧め”設定
2002年3月27日版」に含まれる設定である。
Windows Server 2003のIEでは,インターネット・ゾーンにおいては
ActiveXコントロールがデフォルトで無効になっているので,設定を変更
していない限り,今回のセキュリティ・ホールを悪用した攻撃を受けない。
このため,IE 6 for Windows Server 2003についてのみ,深刻度が下から
2番目の「警告」に設定されている。
ActiveXコントロールがデフォルトで無効になっているのは,Windows
Server 2003の「セキュリティ強化の構成」の一環である。IEに関する
「セキュリティ強化の構成」の設定内容は,以下の4点である。
(1)インターネットゾーンのセキュリティレベルを [高] に設定(スクリプト/ActiveX コントロール/Microsoft VM/HTML コンテンツおよびファイルのダウンロードを無効に設定する)
(2)イントラネット・サイトの自動検出を無効に設定(ローカル・イントラネット・ゾーンとして明示的に指定していないUNCパス,およびイントラネットのWeb サイトをインターネット・ゾーンに割り当てる)
(3)オンデマンドのインストールおよびマイクロソフト以外のブラウザ拡張を無効に設定(Web ページが自動的にコンポーネントをインストールすること,およびマイクロソフト以外のブラウザ拡張が実行されることを防止する)
(4)マルチメディア・コンテンツを無効に設定(音楽/アニメーション/ビデオクリップが実行されることを防止する)
これらは,「よく寄せられる質問 : マイクロソフトセキュリティ情報
(MS03-040)」の「Internet Explorer のセキュリティ強化の構成とは何
ですか?」の項に記載されている。
以上のような設定を「セキュリティ強化の構成」として施しているのは,
これらがセキュリティ上,望ましい設定だと考えているからだろう。とこ
ろが,同じ「よく寄せられる質問 : マイクロソフトセキュリティ情報
(MS03-040)」には,今回のセキュリティ・ホールの回避策として,「イ
ンターネットおよびイントラネット・ゾーンで ActiveX コントロールを
実行する前にダイアログを表示するように設定する」ことを勧めている。
「セキュリティ強化の構成」とは異なり,ActiveXコントロールを無効に
することは勧めていないのだ。
筆者としては,マイクロソフトが推奨する回避策(インターネットおよ
びイントラネット・ゾーンで ActiveX コントロールを実行する前にダイ
アログを表示するように設定すること)はお勧めしない。ダイアログが表
示されても,これから実行しようとするActiveXコントロールが危険かど
うかを判断することは,一般的には難しいからだ。さらに,アクセスする
サイトによっては,ダイアログが頻繁に表示される。そうなると,ユーザ
ーは判断することなく,リターン・キーを押して,ActiveXコントロール
を実行させるようになる。
攻撃される危険性を確実に回避するには,ダイアログを表示させる設定
では不十分なのである。Windows Server 2003のデフォルト設定と同じよ
うに,無効に設定する必要があるのだ。ぜひ,「インターネットおよびイ
ントラネット ゾーンで ActiveX コントロールを無効にする」必要がある
ことを,ユーザーに明確に知らせてほしい。
ActiveX コントロールを無効にする方法は,「マイクロソフト サポー
ト技術情報 - 154036 [IE] Internet Explorer のアクティブ コンテン
ツを無効にする方法」に記載されている。
ActiveXコントロールを無効にすると,例えばWindows Updateのように,
利用できなくなるサイトがある。そういったサイトについては,必要に応
じてIEの「信頼済みサイト」に登録すればよい。例えばWindows Updateに
ついては,「http://windowsupdate.microsoft.com」を登録する(ただし,
Windows XPでWindows Updateにアクセスすると,現時点では
「http://*.windowsupdate.microsoft.com」と
「http://*.windowsupdate.com」を登録するように促される)。
とはいえ,信頼済みサイト・ゾーンに安易に登録してはいけない。文字
通り,信頼できるサイトだけを登録すべきだ。サイトを運営している企業
(組織)を信用できることはもちろん,そのサイトのセキュリティを信頼
できる場合のみ,登録すべきである。というのも,そのサイトに悪意がな
くても,クロスサイト・スクリプティングの脆弱性があると,そのサイト
とは関係がない第三者に,信頼済みサイト・ゾーンで許している動作を使
って攻撃される可能性があるからだ。
OutlookやOutlook Expressにおける回避策についても触れておこう。今
回のセキュリティ・ホールを悪用されると,HTMLメールを開くだけで,細
工が施されたWebページに誘導されて,任意のコードを実行させられる恐
れがある。これを避けるには,HTMLメールをテキストとして表示する設定
にしておけばよい。
具体的な設定方法は,Outlook 2002については「マイクロソフト サポ
ート技術情報 - 307594 [OL2002] セキュリティで保護されていない電子
メールをテキスト形式で表示する新機能」に, Outlook Express 6 につ
いては「マイクロソフト サポート技術情報 - 291387 [OLEXP] Outlook
Express 6 のウイルス防止機能を使用する方法」に詳しい。
相次ぐパッチの不具合
今回公開された「MS03-040」のパッチは,過去のIE用パッチをすべて含
む累積パッチである。2003年になってから,IEの累積パッチは2カ月に1件
の割合で公開されている。2月6日の「MS03-004」,4月24日の「MS03-015」
,6月5日の「MS03-020」,8月21日の「MS03-032」,そして今回の
「MS03-040」である。
残念なことに,これらには不具合や説明不足が多い。例えば,8月21日
に公開された「MS03-032」には,「Windows XP 用の修正パッチの
ASP.NET に関連する問題」が8月26日に見つかっている。ASP.NET 1.0 を
使用しているWindows XPに「MS03-032」のパッチを適用すると,「サーバ
ーアプリケーションは現在使用できません」 あるいは「Server
Application Unavailable」と表示され,Web アプリケーションを正常に
実行できない場合がある。
8月29日には,セキュリティ情報に「再起動についての詳細な情報」が
追記され,説明不足が補われている。「MS03-032」のパッチを,Windows
2000 および Windows NT 4.0 で実行している IE 5.01,Windows 2000 で
実行している IE 5.5に適用した場合には,再起動後,管理者としてログ
オンする必要があることが,当初は記述されていなかった。
そして9月9日には,「MS03-032」のパッチでは「オブジェクトタグの脆
弱性」はきちんと修正されないことがアナウンスされた(関連記事)。
10月10日には,「MS03-032」あるいは「MS03-040」のパッチを適用する
と,これまで動作していたスクリプトが正しく動作しなくなる場合がある
ことが,「サポート技術情報 827667 [IE] Q822925 または Q828750 を
適用すると相対 URL を使用したスクリプトで HTTP 404 エラーが発生す
る」として公開された。具体的には,フレームやウインドウでスクリプト
を実行した際に,「HTTP 404 - ファイル未検出」というエラー・メッセ
ージが表示される場合がある。
この不具合を修正するパッチは,「Q827667.EXE パッケージ」 として
公開されている(ただし,IE 6.0 SP1用のみ)。
修正パッチは緊急対応のために配布されるものであり,Service Packの
ように十分検証されたものではないことは承知している。しかし,不具合
が続出するようだと,せっかく公開されても,ユーザーは怖くてパッチを
適用できない。ぜひ改善していただきたい。
閉鎖された「Unpatched IE security holes」
お気づきの方もいるだろうが,このコラムでたびたび紹介している
「PivX Solutions Security Team」の「Unpatched IE security holes」
ページが,「MS03-040」の公開に合わせて閉鎖された。
「Unpatched IE security holes」は,パッチ未公開のIEのセキュリテ
ィ・ホールをまとめたページだった。このページでは,セキュリティ・ホ
ールごとに「Description(説明)」「Reference(出典)」「Exploit」
が整理されており,それぞれの関連情報へのリンクが用意されていたので,
とても有用だった。
9月11日の時点で,31件のセキュリティ・ホール情報が掲載されていた。
しかし現在では,セキュリティ・ホール情報がすべて消え,代わりに
「PivX Solutions Security Team」の「Notice(通知)」が掲載されてい
る。
そこには,「私たちは,Microsoftに執行猶予を与えることと, 私たち
の'Unpatched' ページを閉鎖することで意見が一致した」,「誰かが
'Unpatched'を閉鎖するように私たちに依頼したわけではないことを理解
してほしい」といった内容が記載されている。
同ページには,「PivX Solutions Security Team」からのニュースなど
を受け取れるメーリング・リストへ登録するためのフォームも用意してい
る。
「Unpatched IE security holes」の閉鎖により,パッチが未公開のセ
キュリティ・ホールを悪用されることを防げる半面,“自衛”することが
困難になる。たとえパッチが公開されていなくても,セキュリティ・ホー
ルの内容が分かれば回避できるが,それが分からないと,どうやって回避
すべきかが分からない。
例えば,9月11日の時点で「Unpatched IE security holes」では,
「Media bar ressource injection」というセキュリティ・ホールを紹介
していた。これは,細工が施されたWebページを閲覧するだけで任意のコ
ードを実行させられる,とても危険なセキュリティ・ホールである。パッ
チは公開されていないものの,回避策は存在する。このセキュリティ・ホ
ールの「Reference」で紹介されている「[Full-Disclosure] Internet
explorer 6 on windows XP allows exection of arbitrary code」を見れ
ば,IEのセキュリティ設定において,「スクリプト」の「アクティブ ス
クリプト」を無効にすれば回避できることが分かる。
ここで紹介されていなければ,「Full-Disclosure」などのメーリング
・リストを購読し,なおかつ内容をきちんと読んでいるユーザー以外は,
この情報にたどりつくことは難しいだろう。“守る側”にとって,
「Unpatched IE security holes」はとても有用なページだったのだ。
設定変更や使い分けで“自衛”を
「QHosts」のようにパッチ未公開のセキュリティ・ホールを狙うウイル
スが出現したり,「Unpatched IE security holes」が閉鎖されたりして
いる現状では,未知のセキュリティ・ホールに対応できるようなWebブラ
ウザの使い方が必要であろう。
筆者自身は,IE以外では動作保証されない場合があるイントラネットで
は,“お勧め”設定を施した上で,信頼済みサイト・ゾーンに自社ドメイ
ンと「windowsupdate.microsoft.com」を登録したIE 6を使用している。
もちろん,IE 6にはSP1とすべてのパッチを適用している。
インターネットでは,Java機能を無効にした「Netscape」の最新版を使
用している。メーラーとは異なり,Webブラウザの場合には,イントラネ
ットとインターネットで使い分けることが容易である。過去のコラムで何
度も書いているように,必要に応じてIEと他のブラウザを使い分ける“二
刀流”をお勧めしたい。
とはいえ,「Netscape」「Opera」「Mozilla」といった,IE以外のブラ
ウザであれば安全というわけではない。IE以外にもセキュリティ・ホール
は見つかる。「これを使えば安全」というブラウザは存在しない。セキュ
リティや使い勝手などから,使用するブラウザを自分自身で判断していた
だきたい。
そして,自分が使っているブラウザの,最新の状況は自分自身で継続し
て確認する必要がある。残念ながら「この情報さえ押さえておけば万全」
という情報源は存在しない。とはいえ,本コラムでは主要ブラウザの最新
状況をできる限りフォローしていきたいと考えている。参考にしてもらえ
ば幸いである。
セキュリティに関する取り組みを続々発表
前回の記事でも取り上げたように,マイクロソフトはセキュリティに関
するさまざまな取り組みを実施している。2003年10月9日,10日には,セ
キュリティに関する新たな取り組みを続けて発表した。
まず,Microsoft VM(Microsoft Virtual Machine for Java)のサポー
ト期間を,従来の2003年12月末から2004年9月末までに延長することを明
らかにした(関連記事)。さらに,Windows NT Workstation 4.0および
Windows 2000 Service Pack 2(SP2)のセキュリティ・パッチを2004年6
月まで提供すること(関連記事)や,Windows XP SP2でファイアウオール
機能(ICF)をデフォルトで有効にすること(関連記事)などを明らかに
している。これらについては次回以降の記事で紹介したいと思う。
上記以外のWindows関連セキュリティ・トピックス(2003年10月12日時
点分)については,スペースの都合上,詳細は割愛する。各プロダクトご
とにまとめたリンクを記事末に記したので,参考にしてほしい。それぞれ
の詳細については,リンク先の情報やIT Proの過去記事を確認していただ
きたい。
特に,「HTML コンバータのバッファ オーバーランにより,コードが実
行される (823559) (MS03-023)」では,「警告」 の欄が更新されたので
注意しよう。具体的には,パッチを適用した後にIE 6 SP1にアップグレー
ドした場合には,再度パッチを適用する必要があるという情報が追加され
た。該当ユーザーは確認しておきたい。
マイクロソフト セキュリティ情報一覧
『IE 5.01/5.5/ 6/6 for Windows Server 2003』
◆Internet Explorer 用の累積的な修正プログラム (828750) (MS03-040)
(2003年10月10日:「警告」 欄に 「サポート技術情報 827667」の情報が追記)
(2003年10月 7日:「日本語情報対象プラットフォーム」 の欄が更新)
(2003年10月 4日:日本語情報および日本語版パッチ公開,最大深刻度 : 緊急)
『すべてのWindows』
◆HTML コンバータのバッファ オーバーランにより,コードが実行される (823559) (MS03-023)
(2003年10月 6日:「警告」 の欄が更新。パッチ適用後 IE6 SP1 にアップグレードした場合は再度パッチを適用する必要がある)
(2003年 7月11日:「よく寄せられる質問」 に Outlook 電子メール セキュリティ アップデートの情報が追加)
(2003年 7月10日:日本語情報および日本語版パッチ公開,最大深刻度 : 緊急)
PressPass -広報資料-
◆マイクロソフト,現行のセキュリティ対策に追加して,新たな強化策を発表 〜同時に,Windowsユーザーに向けて,さらなるテクノロジーに関する投資を発表〜 (2003年10月10日)
マイクロソフト トラブル・メンテナンス速報
◆Office のアップデートの不具合と回避策 (更新日:2003年10月 6日)
TechNet Online セキュリティ
◆2003 年 9 月 セキュリティ 警告サービス 月刊サマリー
マイクロソフト サポート オンライン
◆Windows Update 総合情報
題名には必ず「阿修羅さんへ」と記述してください。