| エンタープライズ:ニュース | 2003/09/09 18:34:00 更新 |
IE用累積パッチの欠陥で事態は「危機的状況」
マイクロソフトが先日公開したIE用の累積的なパッチは不十分なものだった。セキュリティ専門家らはこの事態を深刻なものと受け止め、再修正版公開までの間、アクティブ スクリプト機能の停止といった回避策を取るよう呼びかけている。
マイクロソフトが8月20日に公開したInternet Explorer用の累積的なパッチ(MS03-032)が不完全であり、このパッチを適用していても不正アクセスを受ける可能性が指摘されている(別記事参照)。
この問題は、米国時間の9月7日にセキュリティ関連のメーリングリストに投稿されて明らかになった。
この投稿を受けてアドバイザリを公開したSecuniaによると、IE 5.01/5.5/6で、たとえMS03-032の修正パッチを適用していても、悪意あるHTMLファイルを通じて任意のファイルを実行されるおそれがあるという。つまり、攻撃者が細工を施したWebサイトに不注意にアクセスしたり、HTML形式の電子メールを開いたりすることで、任意のコードが実行されるおそれがある。
この問題は、セキュリティ企業の米eEye Digital Securityによって4カ月前にマイクロソフトに報告されており、MS03-032によって修正されたはずだった。しかし残念ながら、マイクロソフトによるパッチの品質に関する検証作業は不十分だったことになる。
事態は「緊急」よりも深刻
もともとこの問題は、Webサーバから返されたHTTPレスポンスに含まれるObject Dataタグ/Content-Type ヘッダーを、IEが適切に取り扱わないことに起因する。
もし、WebサーバがIEに返すHTTPレスポンスに、「.html」といった拡張子が記されていたObject Dataタグが含まれていた場合、そのURLの示す先が、たとえ本来ならば実行されるべきでない「.hta」(HTMLアプリケーション)といったファイルだったとしても、IEはそれを安全なものと判断し、実行してしまう。そのうえ.hta形式のファイルには、IEが備えているセキュリティゾーンの規制が適用されないという。
その上eEye Digital SecurityやSecuniaによると、このセキュリティホールを悪用した実証コード(Exploit)が出回り始めているという。またセキュリティ企業のラックは、「Download.Aduent.Trojan」のように、MS03-032を悪用したウイルスが作成済みであることを指摘し、同種のウイルスが作成される可能性に注意すべきとしている。
にもかかわらず、問題の根本的な解決策はまだない。マイクロソフトが更新した情報によると、同社は、問題を修正した「更新版修正プログラム」を公開する計画というが、具体的な日時は不明だ。
eEye Digital Securityの鵜飼裕司氏はZDNetからのメールに対し、「既にexploitが公開されているが、問題を根本的に解決するパッチはまだリリースされていない。しかも、この問題は極めて簡単に悪用が可能であり、攻撃に深い技術力は必要ない。事態は非常に危機的状況であると言える」と警告し、さらに、「仮に『緊急』よりも深刻なレベルが存在するとすればそれに該当する」と付け加えている。
不用意なWebアクセスには注意を
一連の状況を踏まえれば、マイクロソフトが再修正版パッチを公開するまでの間、何らかの回避策を取ることが望ましい。
1つは、問題を指摘したmalware.comが言うように、IEのアクティブ スクリプト機能を停止することだ。同様に、IEの「ActiveX コントロールとプラグインの実行」を無効にすることでも問題を回避できる。いずれも、IEの「ツール」から「インターネットオプション」を選択し、「セキュリティ」タブを選ぶ。
さらに、「レベルのカスタマイズ」をクリックすると「セキュリティの設定」ウィンドウが開くので、ここで設定を変更する。
もう1つの方法はレジストリの変更である。アプリケーション上の都合などでアクティブ スクリプト機能を停止できない場合には、こちらの方法を取ることになるが、この作業はある程度Windowsの内容や操作に慣れたユーザーにお勧めしたい。具体的には、
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MIME\Database\Content Type\application/htaのレジストリを削除する。あるいは、上記レジストリの最後の部分に含まれる文字列「application/hta」を「application/htaxxxhogehogexxx」という具合に、ある程度長いランダムな文字列に変更することによっても、リスクを減らすことができる。
さらに、ラックの新井悠氏は対処策として、「添付ファイルのダブルクリックを避けるのと同様に、見知らぬ電子メールの本文に、アクセスを促す文章とともに示されたURLをクリックすることも絶対に避けるべき。またOutlook Express 6 Service Pack 1以上を利用しているならば、『メッセージはすべてテキスト形式で読み取る』のチェックを必ず入れておくこと」を挙げている。
また、セキュリティ関連メーリングリストの投稿によると、一部のウイルス対策ソフトウェアで、このセキュリティホールを悪用したコードをブロックできたとの報告も見られる。ウイルス対策ソフトを過信しすぎるのも問題だが、改めて定義ファイルを最新のものにアップデートしておくのが望ましい。また、もし導入済みであれば、パーソナルファイアウォール機能が適切に設定されているかどうかを確認しておくと、リスクはより小さくなるだろう。
ちなみにMS03-032に関しては、他にも不具合が報告されている。Windows XPと「Microsoft ASP.NET 1.0」の組み合わせがそれで、この環境でMS03-032を適用すると、その後ASP.NETで「サーバー アプリケーションは現在使用できません」というエラーメッセージが表示されてしまう。マイクロソフトではサポート情報を公開し、回避策を紹介しているが、このエラーも「更新版修正プログラム」で修正される予定という。
関連記事
IEの累積パッチは「不十分」の指摘IEとWindowsにまたも深刻なセキュリティホール関連リンク
Secunia:Special Update: Microsoft Internet Explorer Multiple VulnerabilitiesGreyMagic Software:GreyMagic Security Advisory GM#001-IE[高橋睦美,ITmedia]
