ITmedia エンタープライズ

　Microsoftは6月30日夜、自社のID管理サービス.NET Passportのセキュリティホールにパッチを当てた。このセキュリティ欠陥は、Passportのアカウントを乗っ取ることが可能というもので、あるセキュリティ研究者がその脆弱性を指摘していた。

　この脆弱性は、パスワードを忘れてしまったユーザーを助けるためのコードに含まれている、とセキュリティコンサルタントを名乗るビクター・マニュエル・アルバレス・カストロ氏は述べている。

　1999年8月に“Secret Question（秘密の質問）”機能が実装される前に作られたアカウントの一部には、このフィールドに「不適切なデータ」が入っていたと、MicrosoftのTrustworthy Computing担当上級ディレクター、ジェフ・ジョーンズ氏は説明する。

　このデータにより、“Secret Question”機能をだまして他のユーザーのパスワードをリセットしてしまうことが可能だった。

　その場合、攻撃者には、被害者の電子メールアドレスと国籍に関する情報が必要だ。また、米国ではさらにアカウント所有者が居住する州とzipコードが必要になる、とジョーンズ氏。

　Microsoftは、被害の可能性があるPassportアカウントの数についてはコメントしなかったが、“Secret Question”機能が実装される1999年8月以前に作られたアカウントの「ごく一部」だと述べている。

　ジョーンズ氏によると、Microsoftは30日にこの問題が公表されてから、“Secret Question”機能を使ったパスワードアップデートをすべてのPassportユーザーに対して停止したという。

　Microsoftは30日夕方、問題のコードに対する修正を行い、不適切なデータによって“Secret Question”機能が誤用されないようにし、その後でPassportサービスのアップデートを夜通しで行ったという。

　Microsoftはこの脆弱性が利用された証拠を見つけていないとジョーンズ氏は述べた。

　この問題に該当するPassportアカウントのユーザーも、このサービスにログインできる。該当ユーザーは、“Secret Question”で正しい質問を設定すれば、不適切なデータを上書きできるとジョーンズ氏。

　ユーザーは、電子メールを使ったパスワードアップデート機能を使うこともできるという。

　この欠陥をソフトウェアセキュリティのニュースグループで発見したカストロ氏は、一般公開する前にMicrosoftに知らせなかった。

　Microsoftでは、セキュリティ研究者には問題を公表する前にMicrosoftに報告してほしいと考えているとジョーンズ氏。

　「われわれはセキュリティのプロフェッショナルとの関係を築きたいと考えており、責任を持った報告を求めている。この人物については知らないが、彼は責任を持った報告をするというルールに従わなかった」と同氏は述べている。

原文へのリンク