【 ここから本文 】
[特集]Webブラウザ
ソーシャルブックマークに登録 :
印刷用ページの表示
[米国]
「IEに未パッチ対応の脆弱性につけ込む攻撃の危険性」──米マイクロソフトが警告
(2005年12月01日)
米国マイクロソフトは11月29日、先週リリースしたセキュリティ・アドバイザリを更新し、同社のWebブラウザ「Internet Explorer(IE)」に対して、パッチが提供されていないセキュリティ・バグをターゲットとする攻撃の危険性があるので、ユーザーは閲覧先に気をつけるようにと警告を発した。攻撃者がユーザーのシステムを外部から制御するのに成功するおそれがあるという。
マイクロソフトは、セキュリティ・アドバイザリの中で、「報告済みの脆弱性をターゲットとするコンセプト実証コードと悪意のあるソフトウェアの存在を知らされた」と説明している。このセキュリティ・アドバイザリの日本語版も、11月30日付けで更新されている。
さらに、更新されたセキュリティ・アドバイザリは、「この脆弱性につけ込む悪意のあるソフトウェア(トロイの木馬プログラム)であるTrojanDownloader:Win32/Delf.DHを、「Windows Live Safety Centerで検知し除去できるようになった」と報告している。(なお、現在のサービスはベータ(試用)版。)
マイクロソフトが同社のWebサイトに11月上旬に掲載したTrojanDownloader:Win32/Delf.DHに関する情報では、「ユーザーのコンピュータがTrojanDownloader:Win32/Delf.DHに感染していることを明確に示す印はないが、スタートアップ・フォルダ内に「KVG.exe」や「keks.exe」という名前のファイルがあれば、それが感染した症状である可能性がある」と説明している。
問題のセキュリティ・バグの存在が最初に公表されたのは今年5月だったが、最近まで、重大な問題があるとは見なされていなかった。しかし先週、英国のセキュリティ会社コンピュータ・テロリズムが、クラッカーがこのバグを突いてWindowsシステムを乗っ取ることができるコンセプト実証コードを公表したことで、にわかに注目されるようになった。
問題のバグは、JavaScript(Webサイトの表示をより動的にするために広く使われているスクリプト言語)の「Window()」関数をIEが処理する方法に関係するもの。IEをWindows XP、Windows 2000、Windows 98上で使っているユーザーに影響を与えるが、Windows Server 2003やWindows Server 2003 Service Pack 1をデフォルト設定にして(すなわちEnhanced Security Configurationが有効になった状態で)使用しているIEユーザーには影響はないという。
攻撃者がこの脆弱性を利用するには、ユーザーにWebリンクをクリックさせて悪意のあるコードを起動させることが必要だ。クリックすれば、悪意のあるコードが一連のイベントを設定し、最終的には、ユーザーのシステムを制御できるようになる可能性がある。
米国SANSインスティチュートのインターネット・ストーム・センター(ISC)では、この問題の回避策として、JavaScriptを無効にするか、別のWebブラウザ(FirefoxやOpera)を使用することを勧めている。
今回の問題について、マイクロソフトの幹部はコメントを控えている。同社のPR代理店の広報担当者も、マイクロソフトのセキュリティ・アドバイザリで言及された悪意を持つソフトウェアに関する情報や問題が修正される時期についてのコメントは避けており、電子メールで「マイクロソフトは現在もこの脆弱点について調査中」としか回答していない。
マイクロソフトの対応について、NTBugtraqニュースリストの編集者で米国サイバートラストの研究員でもあるラス・クーパー氏は、「今回の対応は、マイクロソフトのセキュリティに対する姿勢に疑問を抱かせるのに十分だ。同社は、今年5月以降、問題のあるモジュールの存在を認識しており、問題を公表しないにしても、最低限このモジュールは修正しておくべきだった」と指摘する。
さらにクーパー氏は、「今回の問題で、またしても明らかになったのは、製品の不具合に対してベンダーの注意を引くためには、あえて弱点を突くようなプログラムを作成し、公開するしかないということである。通報するだけでは不十分だ」とも述べている。
これに対し、マイクロソフトのセキュリティ・アドバイザリでは、まさにそうした行為を行ったコンピュータ・テロリズム社を、次のように批判している(以下、日本語版のセキュリティ・アドバイザリから引用)。
「マイクロソフトはInternet Explorerに存在する脆弱性についてのこの新しい報告が責任ある態度で公開されなかったこと、またそれにより、コンピュータ・ユーザーを危険にさらす可能性があることを懸念しています。マイクロソフトは引き続き、脆弱性を責任ある態度で公開することを推奨します。マイクロソフトは、ベンダーに直接脆弱性を報告するという一般的に受け入れられた慣習がすべての人たちにとって最善であると確信しています。この慣習は、更新プログラムの開発中に悪質な攻撃にさらされることなく、お客様が脆弱性に対する包括的で高品質な更新プログラムを確実に受け取る手助けとなります」
セキュリティ・ベンダーである英国ソフォスのシニア・テクノロジー・コンサルタント、グレアム・クルーリー氏は、「現段階ではこの脆弱性をねらった攻撃をまだ確認できていない」としながら、マイクロソフトはこの問題を修正するセキュリティ更新プログラムを次の月例セキュリティ情報の公開日(米国時間の12月13日)に合わせてリリースする可能性が高いとの見方を示している。
「少数のWebサイトにコードが掲載されているだけであれば、マイクロソフトはすぐには対応することはないだろう。しかし、そうしたコードがあちこちで配布されるようであれば、急いで更新プログラムをリリースせざるを得なくなる。同社は、通常のサイクルをはずれたアップデートを嫌がる傾向がある」(クルーリー氏)
(Originally reported by Robert McMillan, IDG News Service 11/30/2005)
マイクロソフト
http://www.microsoft.com/
セキュリティ・アドバイザリ(日本語)
http://www.microsoft.com/japan/technet/security/advisory/911302.mspx
Windows Live Safety Centerについての情報(日本語)
http://www.microsoft.com/japan/athome/security/update/windows_live_safety_center.mspx
(IDG News Service)
