| エンタープライズ:トピックス | 2002年5月16日更新 |
IEの累積パッチ再び。「信頼できるコンピューティング」への道のりはいかに?
 |
|
|
|
マイクロソフトは5月16日(米国では5月15日),Internet Explorer(IE)用の累積的な修正パッチを公開した(別記事参照)。同社はこの3月に,IE向けの累積的なパッチ(MS02-015)を公開したばかり。今回公開されたパッチは,MS02-015で修正された内容に加え,新たに6つの問題を修正するものだ。
このたび公開されたセキュリティホールが影響を与えるのは,IE 6,IE 5.5 Service Pack 2/1,それにIE 5.01 Service Pack 2。いずれも修正用パッチが同社サイトよりダウンロードできるが,IE 5.01についてはOSがWindows 2000 ,Windows NT 4.0のものに限られている。
新たに公表されたセキュリティ問題には,クロスサイトスクリプティング,cookieやローカルファイルの読み取りによる情報の漏洩,ゾーン偽装によるセキュリティ制限の回避が含まれている。
さらに,過去にMS01-058として公開された問題の変種も含まれており,これを悪用すれば,Webページにアクセスしただけで,ユーザーが意図しないスクリプトやファイルを実行されてしまう可能性がある。仮に悪意あるコードやウイルスを含んだファイルが悪用されれば,Code Redなどの再来という可能性もある。
なお同社による評価では,個別の問題の深刻度となるとまちまちだが,MS02-023によって修正される脆弱性を総合的に判定する段では,すべてにおいて「高」と判断している。早急に修正プログラムをダウンロードし,適用することを推奨したい。
また別記事でも触れているとおり,この修正パッチを適用すると,Outlook(Outlook Express 6,Outlook 98,Outlook 2000)でHTML形式のメールを受信した場合,それが「制限付きサイト」ゾーンで実行されるように変更される。このため,HTML形式のメールを悪用して,新しいウィンドウを開いたり,ファイルをダウンロードさせたりといった行為は,自動的には行われなくなるという。
セキュリティ情報公開のあり方とは?
今回新たに公開された問題には,ラックの新井悠氏が2月に発見,公開したものが含まれている。MS01-058の「Content-Disposition」問題の変種として説明されているものがそれで,HTMLのContent-Typeヘッダを悪用することで,ユーザーの意思に関係なくファイルを自動的にダウンロードし,実行してしまう可能性がある。
同社ではMS02-023の公開に合わせてアドバイザリを更新。問題の詳細や再現環境,問題の検証用コンテンツとともに公開している。
ところで,新井氏がこの問題を報告してから,マイクロソフトより修正パッチが提供されるまでの間は約3カ月。この間ユーザーは,セキュリティホールを塞ぐ手立てもないまま放置されていたと見るべきだろうか? それとも,少なくとも問題が存在するという事実は知ることができたと,前向きにとらえるべきだろうか?
今のところ,セキュリティ情報の公開において主流となっている方法は,セキュリティ問題を発見した場合,まず開発者やベンダーにその旨を報告し,パッチ作成や修正に必要な一定の時間を与えたうえで,対策方法やパッチとともにその情報を公開,勧告するという流れだ。
もちろん新井氏も,まずマイクロソフトにこの問題を報告したという。しかし,その後1カ月経ってもマイクロソフト側から対応がなかったこと,またこの問題が多くのユーザーに影響を与えるものであることを考慮して,最小限の情報のみを公開するに至ったそうだ。ユーザーがこの問題の存在すら知らずにいる間に,本当に悪意を持った攻撃者がこの問題を発見,悪用して被害をもたらす可能性を考慮したわけである。
米マイクロソフトが昨年,セキュリティ情報の「責任ある開示」を推進するための団体を設立して以来,米国では,ベンダーとセキュリティ専門家を巻き込んで,セキュリティ問題に関する情報をどのように公開すべきかという議論が起こっている。これには大きく2つの意見があり,1つは,詳しい情報開示は攻撃者を利することになるため,なるべく公開すべきではないというもの。もう1つは,詳細をオープンにし,誰もが問題を認識できるようにすべきだというものだ。
ユーザーを保護するという意図から言えば,どちらの意見にも分はある。また,パッチ作成は一朝一夕にできる作業ではないことも十分理解できる。だが,ユーザーにリスクに関する情報を提供し,選択肢を与えるという意味では,やはり,速やかでオープンな情報提供に意味があるのではないだろうか。
マイクロソフトでは今年より,「信頼できるコンピューティング」を掲げ,セキュリティ対策に本格的に取り組んでいる。この中にはマイクロソフト内部におけるレビュー,監査の強化に加え,セキュリティ対策ツールやオンラインでの情報提供などが含まれており,事実,その対応は改善されているといっていいだろう。だがあえて,さらに一歩踏み込んで,セキュリティコミュニティとの連携と,ユーザーの身に立った情報公開を求めたい。
関連記事
IE 6に影響を与える重大なセキュリティホール,当面は設定変更で回避を
マイクロソフト,コンパイラのバグ問題で「責任ある開示」論争再び
関連リンク
マイクロソフト:「2002年5月15日 Internet Explorer用の累積的な修正プログラム(Q321232)(MS02-023)」(詳細)
[ ITmedia]
