ニュース
» 2009年02月06日 11時21分 UPDATE

Microsoft、Windows 7βのUACのセキュリティ問題に対応

MicrosoftはWindows 7β版のユーザーアカウントコントロール(UAC)の問題に対処したが、UACのデフォルト設定の脆弱性についての主張には反対している。

[Brian Prince,eWEEK]
eWEEK

 Windows 7β版のユーザーアカウントコントロール(UAC)機能に脆弱性があると指摘されていた件で、米Microsoftはこのセキュリティ問題に対処したとコメントしている。

 同社は、研究者がWindows 7β版で指摘した権限昇格の問題を修正したとしている。ただし同社担当者は、UACのデフォルト設定に脆弱性が存在し得るとする主張には異議を唱えている。

 このUACの問題は、ブロガーのラファエル・リベラ氏、ロン・チェン氏が公表した。この1週間の間に、チェン氏とリベラ氏は、Windows 7β版のUACを回避して、署名済みMicrosoftアプリケーションを使って同OSに誤認識を起こさせ、不正なコードにフルアクセス権限を与えることを可能にするコンセプト実証コードを公開した。

 この問題の中心は、Windows 7のUACのデフォルト設定が、「プログラムがコンピュータに変更を加えようとしたときのみユーザーに通知する」「ユーザーがWindows設定を変更したときに通知しない」になっている点にある。リベラ氏らによると、Windows 7は特別なMicrosoft Windows 7証明書を使って、Windows設定を管理するサードパーティーのプログラムやアプリケーション、アプレットを区別しているという。

 Microsoftの署名入りアプリケーションの中には、サードパーティーのコードを実行できるものもあり、同社の署名があるものは初めから信頼されるため、そうした信頼の連鎖が誤ってほかのサードパーティーのコードにも流れるとチェン氏は説明している。その結果、ハッカーがその信頼を利用して、ユーザーの知らないうちにUACの設定を変えることが実質的に可能になると同氏らは主張している。

 「この問題を先日MicrosoftとWindows 7βテスターにひそかに通知した後、今回の公開に踏み切った」とチェン氏は自身のブログで述べている。「パッチが提供されるまでは、『プログラムによる変更を通知し、Windowsの変更を通知しない』というデフォルトのUAC設定でWindows 7β版を使っている多数のユーザーに対し、権限昇格のリスクを説明しなければならないと感じている。この設定は安全なOSの重要な要素である権限システムを十分に施行していない」

 しかしながらMicrosoftは、UACは本来の働きをしていると主張している。

 「まずはっきりさせるべきなのは、マルウェアがPCに入り込んで起動することと、マルウェアが起動したときにできることの違いだ」とMicrosoftのジョン・デバーン氏はブログに記している。「マルウェアが承諾なしでPCに入り込む方法については報告がない。これまで受けたフィードバックはいずれも、マルウェアがPCに入り込んで起動してからのUACの振る舞いに関するものだ。Microsoftが、UACに関する報告は脆弱性についてのものではないというスタンスを取っているのは、これまでの報告では、そもそもマルウェアが勝手にマシンに入り込む方法が示されていないからだ」

 デバーン氏によると、MicrosoftはUACにWindows Vistaでは利用できないオプションを2つ追加している。「プログラムがコンピュータに変更を加えようとしたときのみユーザーに通知する(デスクトップを暗くしない)」「プログラムがコンピュータに変更を加えようとしたときのみユーザーに通知する(デスクトップを暗くする)」の2つだ。Vistaでは「常に通知する」「通知しない」しか選べない。

 狙いはユーザーの選択肢を増やし、メッセージがしつこく表示されるのを防ぐことにある。Microsoftの広報担当者は、βビルドのフィックスの公開時期を明らかにしていないが、次のリリース候補に盛り込まれるとしている。

 それまでは、現行β版のユーザーは、解決策としてUACの設定をもっと高いレベルに変えることができる。

関連キーワード

Windows 7 | Microsoft | 脆弱性


原文へのリンク

Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.

ピックアップコンテンツ

- PR -

注目のテーマ