ニュース
» 2015年04月14日 07時32分 UPDATE

Windowsに脆弱性、悪用でパスワードが盗まれる恐れ

この問題は1990年代に発見され、Windows 10までのWindows全バージョンに存在。AppleやAdobeといった大手各社のソフトウェアアップデート機能が影響を受ける可能性があるという。

[鈴木聖子,ITmedia]

 ソフトウェアの更新版チェックなどの機能に使われているHTTPリクエストを利用してユーザーを不正なSMBサーバに誘導し、パスワードなどの情報を入手できてしまう攻撃手法が発見された。セキュリティ企業Cylanceが4月13日のブログで伝えた。カーネギーメロン大学CERTも同日、セキュリティ情報を公開して対策を呼び掛けている。

 この問題はWindows 10までのWindows全バージョンに存在していて、AppleやAdobeといった大手各社のソフトウェアアップデート機能が影響を受ける可能性があるという。

 Cylanceやカーネギーメロン大学CERTによると、この問題は「file://」で始まるURLをInternet Explorer(IE)に入力すると、WindowsがSMBサーバに接続しようとしてユーザー名やパスワードなどのログイン情報を提供してしまう脆弱性に起因する。この脆弱性は1997年に発見されていたという。

 Cylanceの研究チームはこの問題を突いて、中間者攻撃を通じて正規のWebサーバとの間の通信を乗っ取り、悪質なSMBサーバにリダイレクトする手口で被害者のユーザー名や暗号化されたパスワードなどを提供させる攻撃が可能であることを確認したとしている。パスワードは暗号化されているものの、ブルートフォース攻撃(総当たり攻撃)によって破られる可能性がある。

wnval01.jpg Cylanceが公開した脆弱性悪用シナリオ

 カーネギーメロン大学CERTによれば、この問題はMicrosoftのほか、OracleやAVGのウイルス対策ソフトが影響を受けることが確認された。Cylanceによれば、ほかにもAdobe、Apple、Symantec、Githubなど少なくとも31社のソフトウェアが影響を受ける可能性があるという。

 緩和策としては、ローカルネットワークからWANへのアウトバウンドSMB接続(TCP 139番および445番ポート)のブロックや、Group Policyを通じたNTLMの制限などを挙げている。また、ソフトウェアの認証用にNTLMをデフォルトで使わないよう呼び掛けた。

 Cylanceでは、今回の研究がきっかけとなって、Microsoftがこの脆弱性に対処することを望むと促している。

wnval02.jpg カーネギーメロン大学の注意喚起

関連キーワード

脆弱性 | Windows | Microsoft


Copyright© 2016 ITmedia, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -

注目のテーマ