PR

マイクロソフト製品に相次いで致命的なセキュリティ・ホールが報告された。IIS 5.0および4.0は,リモートから簡単な操作で任意のコマンドを実行されてしまう。IEとOutlookでは,HTMLページやHTMLメールを読むだけでクラッカがあらゆる操作を実行できてしまう。内容を知り,早急に対策が必要だ。

 2000年10月,マイクロソフト製WWWサーバーInternet Information Server(IIS)5.0/4.0,WWWブラウザのInternet Explorer(IE)5.5以前のバージョン,および電子メール・クライアント・ソフトOutlookに,相次いで致命的なセキュリティ・ホールが発見された。

 IISのセキュリティ・ホールは,同製品のUnicodeの解釈にバグがあり,簡単なアクセスでリモートからのコマンド実行ができてしまうというもの(写真1[拡大表示])。サーバー上の非公開ファイルの削除や更新だけでなく,ファイル転送プログラムFTPを起動することもできる。写真1では伏せてあるが,その方法の入手は容易だ。

写真1●リモートからコマンドの実行が可能
IIS5.0,IIS4.0に発見されたセキュリティ・ホール。リモートからコマンドの実行が可能。写真はC:\winnt以下のファイル一覧を表示させているが,単なる表示ではなく,「dir」コマンドを実行している点に注意。「delete」や「FTP」など,他のコマンドやプログラムも実行することが可能である

 IEにはJavaVMの実装のバグに起因するセキュリティ・ホールがあり,クラッカが作成した悪意のあるページを読むだけで,ファイルの読み出し,削除,作成を含むあらゆる操作を勝手に行われてしまう。OutlookでHTMLメールを読む場合にも同じ危険がある。こちらもホールの存在を実証するデモ・ページがあり,ホールを突くためのソース・コードが公開されている。

 どちらも致命的で,かつ,攻撃が容易なセキュリティ・ホールである。以下に各ホールの詳細と防御法を示すが,まだ対策をとっていないユーザーは,ただちにマイクロソフトが提供している修正ファイルをダウンロードし,適用すべきである(URLは図参照。ただし10月末時点で,Windows 2000上のIE/Outlook用修正ファイルなど,用意されていないものもある)。

 もちろん,これら以外にもセキュリティ・ホールは多い。最新のセキュリティ情報を参照し,修正ファイル適用などの措置を施したい。記事末に示す最新セキュリティ情報の入手先をチェックし,対策を実行しよう。

不正プログラムが送り込まれる

 IISのセキュリティ・ホールは,10月17日,米Microsoftなどによって公表された。

 URLに特定の文字列を含めてアクセスすることで,Winntディレクトリなど,本来は外部に公開していない部分にまでアクセスできてしまう(図1[拡大表示])。具体的には,公開しているInetPubディレクトリから,上位ディレクトリを示す「..」を使ってディレクトリをさかのぼる。もちろん通常はこのような行為は不可能だが,前述のようにUnicodeの扱いにバグがあったことから,制限をすり抜けることが可能になってしまった。

図1●IISのセキュリティ・ホールの概要と対策

 写真1はこのセキュリティ・ホールを使い,あるファイルをCGI*プログラムとして動かしたところである。結果,dirコマンドが実行されWinntディレクトリの一覧が表示されている。

 このホールを使ってサーバーに不正アクセスした場合,実行は「IUSER_マシン名」というユーザー権限で行われる。「IUSER_マシン名」はWWWアクセスしてきたユーザーのために用意されたアカウントで,標準ではEveryoneおよびUsersグループに属する。つまり,ほとんどのファイルの実行,削除,更新の権限が与えられている。FTPといった他のプログラムを起動することも可能だ。FTPを使えば,ファイルを読み出すことはもちろん,トロイの木馬*のようなプログラムを送り込み,実行させることができる。極めて危険なセキュリティ・ホールである。

 最大の対策は,修正ファイルを適用すること。日本語版のIIS向けには,10月20日,マイクロソフトから修正ファイルが提供された(図1[拡大表示]参照)。

 同様なセキュリティ・ホールが存在した場合に備えた対策としては,「IUSER_マシン名」をEveryoneおよびUsersグループから事前にはずしておくという方法がある。また,今回のセキュリティ・ホールでは,WWW公開ディレクトリと別のドライブに置いてあるファイルにはアクセスできない。WWW公開ディレクトリを独立したドライブにすれば安全性は高まる。

JavaからActiveX操作のバグ

 IEとOutlookのセキュリティ・ホールは,10月5日に報告された。報告者は本誌2000年9月号でも紹介した「Brown Orificeバグ」*1の発見者,ブルガリアのGeorgi Guninski氏である。そして,このセキュリティ・ホールは,「Brown Orificeバグ」よりさらに危険なものだ。

図2●デモのぺージにアクセスしただけで,パソコン上に勝手にファイルが作成される
IE 5.5以前のバージョン,Outlookのセキュリティ・ホールを実証するデモ。ダイアログ・ボックスなどで許可を求められることはない。ファイル作成だけでなく任意の操作が可能で,HTMLメールでも同じ危険がある

 Guninski氏が公開しているデモを見てみよう。「IE 5.5/Outlook security vulnerability - com.ms.activeX.ActiveXComponent allows executing arbitrary programs」という表題のページ*2を見ると,問題の詳細,セキュリティ・ホールを突くプログラムのソース・コード,デモ本体へのリンクがある。「Demonstration that places a file on Desktop」というリンクをクリックすると「EA.HTA created」というメッセージが現れ,そのときにはすでにデスクトップにEa.htaという名前のファイルが作成されている(図2[拡大表示])。この方法でスクリプト・ファイルをスタートアップ・フォルダに作れば,トロイの木馬として機能させることができる。

 このホールが存在してしまう原因は,JavaVMのバグである(図3[拡大表示])。MicrosoftのJavaVMは,セキュリティを確保するため,スタンドアローンのJavaアプリケーションかデジタル署名*が施されたJavaアプレットにのみActiveXコントロールの作成および操作を許可している。しかし,上記のデモで使用されたJavaアプレットはこの制限をすり抜けてしまっている。HTMLの解釈エンジンやJavaVMなどをIEと共有しているOutlookおよびOutlook Expressでも,悪意のあるHTMLメールを読むと同じことが起きる。

 このセキュリティ・ホールを突くと,ActiveXでできることはすべてできる。つまり,何でもできてしまう。「Brown Orificeバグ」でできることがファイルの読み出しと公開にとどまっていたのに比べ,より凶悪なセキュリティ・ホールであると言える。

図3●IE,Outlookのセキュリティ・ホールの概要と対策

 対策だが,マイクロソフトよりWindows9x/Me用の修正ファイルが提供されている(図3[拡大表示]参照)。ただし10月末時点では,Windows 2000,NEC PC-98向けWindows9x/Me用の修正ファイルはまだ提供されていない。修正ファイル以外の対策としては,IEの設定で,Javaを無効にするよう指定する。ActiveXコントロールを無効にするという方法もある。

他にもJavaでデータ漏えいの危険

 IIS,IE,Outlookには,これら2つ以外にも多くのセキュリティ・ホールが見つかっている。

 例えば,やはりMicrosoft JavaVMのバグにより,Javaアプレットからローカルのファイルが読み出せてしまうというものがある。これもGuninski氏が発見し,10月18日付けで報告,デモを公開した*3。情報をJavaアプレットのダウンロード元サイトへ送信することは元々許されているので,クラッカがアクセスしてきたマシンのファイルを読み出すことができる。間にファイアウオールがあったとしても防ぐことはできない。「Brown Orificeバグ」に匹敵する危険がある。修正ファイル*4を適用するか,Javaを無効にして対処すべきだ。

 さらに,URLに特定の文字列を含めることでIISのサービス停止を引き起こすセキュリティ・ホールなど*5,10月にマイクロソフトから報告されたものに限っても,30件近くの問題がある。

 もちろん,他のOSやソフトウエアでもセキュリティ問題は数多く報告されている。例えば米Red Hat Softwareは,10月だけで10件のセキュリティ問題を報告した。10月18日には,ApacheとPHPという主要ソフトウエアの修正ファイルがアップされている*6

表1●最新のセキュリティ・ホール情報を入手できるサイト,メーリング・リスト

 本稿が出版されるまでの間にも,重大な問題が新たに報告されているかもしれない。システム管理者は,最新のセキュリティ情報をチェックして,対策を取るようにしたい。表1[拡大表示]に,セキュリティ情報を入手できる情報源を示した。ここに挙げたのはいずれも質の高い情報を提供しているサイトだが,メーカーや公的機関以外の,個人や有志団体の情報提供はボランティアであることに留意して利用されたい。すなわち,感謝と自己責任である。

 重大な問題はマスコミのニュースでも報告されるようになってきた。日本のニュース・サイトで有用なのはZDNet Japanの「ウイルス&セキュリティ」*7,日経BP社の「IT Pro セキュリティ」*8である。最低限,ニュースになるような問題には対処しよう。

(高橋 信頼=nob@nikkeibp.co.jp)