ニュース
2004/04/26 15:55 更新


GW前にMS04-011への対応を――経産省、総務省らが連名で呼びかけ

Windowsに存在するSSLの脆弱性を悪用するコードが登場したことを踏まえ、経済産業省と総務省、警察庁、内閣官房が共同で対策を呼びかけている。

 「MS04-011をはじめとするセキュリティ問題の修正プログラムを一刻も早く適用して欲しい」――ゴールデンウィークの到来を前に、内閣官房と警察庁、総務省、経済産業省が連名で、マイクロソフトのWindowsに存在するセキュリティホールに対する警戒を呼びかけている。

 各省庁がこのように連名の形で注意喚起を行うのは、昨夏のMSBlastの発生以来4回目。今回は特に、週の後半より大型連休が始まることを踏まえ、休暇が始まる前に予防対策を講じることを「強く」推奨している。

 今回注意が呼びかけられているのは、マイクロソフトが4月の月例パッチとして公開したWindowsの複数の脆弱性(MS04-011)についてだ。特に、Microsoft SSL(Secure Sockets Layer)ライブラリに存在する脆弱性については、これを悪用し、任意のプログラムを実行可能とするExploitコードが公開されていることから、ウイルスが出回る可能性が高いと判断。緊急の対応が必要だとしている。

 具体的な対処策だが、まずはマイクロソフトが提供するパッチを適用する。そして、Webサーバとして運用している場合を除いては、マイクロソフトが提供する情報を参照しながら、Internet Information Service(IIS)をアンインストールする。業務上このサービスが不可欠な場合は、必要最低限のものを残して不要なサービスを停止するとともに、Lockdown Wizard(IIS 4.0もしくは5.0の場合)を利用したり、フィルタリング設定の見直しを行うなどして、サーバの保護を図る。

 なお今回の呼びかけでは、「この他にも、ソフトウェアの脆弱性を悪用した攻撃プログラムが多数発見されており、Windowsシリーズ以外のOSが導入されたコンピュータも攻撃対象となる可能性」があるとも述べられている。事実、CiscoSystemsのIOSに存在するSNMPの脆弱性を狙ったExploitコードが公開されている。したがって、非Windows系のシステムにおいても十分な警戒が必要だろう。

 また経済産業省は、今回の問題が、特にWebアプリケーションに与える影響が大きいと判断。これを踏まえて、一般に向けた連名での呼びかけに加え、電子申請/電子商取引などのサービスを提供している企業や事業者と関係の深い3団体に、対策の徹底を要請している。

関連記事
▼Windows SSLの脆弱性を突くコード
▼ユーザーの怒りを買ったMicrosoftの最新パッチ
▼No patch, No Computing――MSの月例アップデートを考える
▼MSの月例アップデート、Outlook Expressの脆弱性などに対応

関連リンク
▼経済産業省:マイクロソフト社製OSの脆弱性を攻撃するプログラムへの緊急の対応及び大型連休に向けた情報セキュリティ対策について
▼経済産業省:マイクロソフト社製OSの脆弱性を攻撃するプログラムへの緊急の対応及び大型連休に向けた情報セキュリティ対策の徹底要請について
▼総務省
▼警察庁(@police)
▼IPAセキュリティセンター

[ITmedia]

Copyright © ITmedia, Inc. All Rights Reserved.