IEコンポーネント採用の国産アプリに脆弱性、セキュリティゾーンの実装に問題

[高橋睦美，ITmedia]

　情報処理推進機構（IPA）セキュリティセンターとJPCERTコーディネーションセンター（JPCERT/CC）は7月12日、Internet Explorerのコンポーネントを組み込んだ国産アプリケーションのいくつかに脆弱性が存在するとして情報を公開した。セキュリティゾーンが適切に扱われない結果、セキュリティ制限がゆるいゾーンで任意のコードを実行されてしまうおそれがあるという。

　この脆弱性は、IEおよびIEのコンポーネント自身に存在するものではなく、実装上の問題だ。JVNの情報によると、少なくともジャストシステムの「ネタの種」、ユミルリンクの「紙copi」「紙2001」に存在するほか、マナックス、日本標準、富士通の製品でも脆弱性が確認されているという。

　解決策はパッチを適用するか、問題を修正した最新版へアップグレードすること。上記ベンダーのうちジャストシステムとユミルリンクでは、問題を修正した新バージョンやモジュールを公開している。

　IEではWebコンテンツの実行を、ゾーンごとに異なるセキュリティレベルを割り当てて制御している。同じコンテンツでも「イントラネット」や「ローカルコンピュータ」ゾーンの場合は実行が許可されるが、信用できないWebサイトが含まれる可能性がある「インターネット」ゾーンでは実行されない仕組みだ。

　しかし一連のアプリケーションでは、本来ならば実行を制限すべきWebコンテンツが、「ローカルコンピュータ」などの不適切なゾーンで処理されてしまう。この結果任意のコードが実行され、PCを乗っ取られるなどの被害を受ける可能性がある。

　JPCERT/CCはこの脆弱性に関して、IEおよびそのコンポーネントを使うと「『セキュリティゾーン』という概念が適用されてしまうため、その取り扱いには注意が必要になる」と指摘。手軽に利用できる反面、実装には十分注意すべきであるとした。

　さらに、セキュリティゾーンを適切に扱えば安全かというと、そうとも言い切れないという。「そもそも『セキュリティゾーン』という概念自体、それほど安全性を保障するものではないという別の問題も背後にはある」（JPCERT/CC）。