MSの月例パッチ「MS14-066」の適用急いで！ 米国機関が強く勧告

Microsoftが公開したセキュリティ情報14件の中でも、WindowsへのSSL/TLS実装「Schannel」の脆弱性は1週間足らずで攻撃が発生する恐れがあるとして、直ちに対応するよう専門家が呼び掛けている。

[鈴木聖子，ITmedia]

　米Microsoftが11日に公開した14件のセキュリティ情報の中で、WindowsへのSSL/TLS実装に使われている「セキュアチャネル」（Schannel）の脆弱性を修正した更新プログラム（MS14-066）の重大性に注目が集まっている。米セキュリティ機関SANS Internet Storm Centerの専門家は、1週間足らずで攻撃が発生する可能性があると指摘し、最優先でこの更新プログラムを適用するよう呼び掛けた。

　Microsoftによると、Schannelの脆弱性を悪用された場合、攻撃者が細工を施したパケットをサーバに送信することによって、任意のコードを実行される恐れがある。問題はMicrosoft社内で発見され、11日に情報を公開した時点で攻撃の発生は確認されていないという。

　この更新プログラムについてSANS専門家のヨハネス・ウルリッチ氏は、「潜在的影響は今回の更新プログラムの中で最も大きい。特にサーバでは、最優先で適用を検討する必要がある」と指摘した。

　同氏はさらに、「エクスプロイトが公開される前にシステムにパッチを当てる時間は恐らく1週間、あるいはそれ以下かもしれない」と推測し、「パッチを当てると同時に、対抗策や非常時の代替策も確立する」ことを促している。

　脆弱性を突いた攻撃は「SSLサービスが標的にされる可能性が大きく、特に外部からアクセス可能なWebやメールサーバは筆頭に挙げられる」と指摘。次いで社内のサーバや外へ持ち歩くノートPCも標的になる可能性があると警告した。Apacheを攻撃したOpenSSLワーム「slapper」のようなワームが出回る可能性もあるとしている。

　SSL/TLSを巡っては、今年に入って「Heartbleed」と呼ばれるOpenSSLの脆弱性や、オープンソースのSSL/TLSライブラリ「GnuTLS」の脆弱性、「POODLE」と呼ばれるSSL 3.0の脆弱性など重大な問題が相次いで発覚していた。Appleは「Secure Transport」の脆弱性、Firefoxは「Network Security Services」(NSS）の脆弱性を修正するなど、大手が軒並み対応を迫られている。