［米国／国内］
マイクロソフト、4件の月例セキュリティ修正プログラムを公開

DNSキャッシュ・ポイズニングの脆弱性などに対処

（2008年07月09日）

SQL Serverのセキュリティ修正プログラム（MS08-040）を当てる場合は、Microsoftのサポートサイトで製品バージョンを確認しよう

　米国Microsoftは7月8日（日本時間9日）、4件の月例セキュリティ更新プログラムを公開した。これらは同社の「Exchange Server」「SQL Server」「Windows Server」「Windows Vista/XP/2000」に含まれる合計9つの脆弱性に対処するもので、いずれも深刻度は上から2番目のレベル「重要（Important）」となっている。

　米国nCircleのセキュリティ・オペレーションズ担当ディレクター、アンドリュー・ストームズ（Andrew Storms）氏は、今回公開されたパッチは、深刻度が「緊急」（マイクロソフトの評価システムで最も高い深刻度）に分類されていないが、企業のシステム管理者は今週、対応に負われることになるだろうと指摘している。

　「IT管理者は、通常のクライアント・サイドのアップデート適用に忙殺されるだけでなく、最も重要な企業内サービスである電子メールやデータベースにもパッチを当てなければならない」（Storms氏）

　セキュリティ専門家たちが「特に厄介だ」と指摘しているのが、DNS（Domain Name System）に関する脆弱性（MS08-037）だ。というのも、それらはDNSプロトコルの設計上の欠陥に起因し、その欠陥はインターネット上のすべてのDNSサーバに影響しているからだ。

　ある特定のタイプのクエリをDNSサーバ群に送ることで、クラッカーは、多数のユーザーを意図せずに合法的なWebサイトから悪質なWebサイトへリダイレクトさせることができる。「DNSキャッシュ・ポイズニング」と呼ばれるこのタイプの攻撃の対象は、Webサイトだけにとどまらず、すべてのインターネット・トラフィックを、クラッカーのサーバにリダイレクトさせることもできるのだ。

　米国QualysのCTO（最高技術責任者）、ウォルフガング・カンデック（Wolfgang Kandek）氏は、「この攻撃は、いわば“電子メールを送りつけないフィッシング攻撃”に悪用されるおそれがある」と指摘している。

　米国Internet Software Consortiumや米国Cisco Systems、米国Sun MicrosystemsなどのDNSソフトウェア提供元も、同様の脆弱性解消に取り組んでいる。

　この脆弱性について、発見者である米国IOActiveのセキュリティ研究者、ダン・カミンスキー（Dan Kaminsky）氏は、一部のホーム・ルーターとクライアントDNSソフトウェアにも影響するが、問題になるのは主に、DNSサーバを運営している企業ユーザーとISPだとしている。同氏は7月9日の電話会見で「ホーム・ユーザーがパニックを起こすことはない」と語っている。

　また、今回のセキュリティ修正プログラムで解消される脆弱性の1つ「MS08-038」は、すでに公表されているために対処が急務とされていたものである。

　この脆弱性はWindows VistaおよびWindows Server 2008の「Windows Explorer」に存在し、悪質なソフトウェアをWindows PC上で実行させる手段として利用されるおそれがあった。

　本来であれば、このたぐいの脆弱性はワンランク上の「緊急」となる。しかし、悪意のあるユーザーが同脆弱性を攻撃するためには、ローカルディスクの検索情報を保存したファイルに特定の細工をし、同ファイルを特定の手順で開いて保存するようにユーザーを誘導する必要がある。

　マイクロソフトでセキュリティレスポンス・マネジャーを務める小野寺匠氏は、「もし、メールなどに添付されたファイルを開くだけで攻撃されてしまうのであれば、緊急にランクされたはずだが、攻撃側から見て“使いにくい”脆弱性だったため、重要にランクされた」と語った。

　一方、Exchangeを使用してWeb経由で電子メールを読んでいる企業は、「Exchangeのセキュリティ修正プログラムの適用を最優先で行うべき」とKandek氏は警告している。というのも、同脆弱性（MS08-039）を突いたクロス・スクリプティング攻撃が、Outlook Web Access（OWA）を実行するExchangeを介して、ユーザーに仕掛けられるおそれがあるからだ。

　同氏によると、クラッカーが、細工した電子メールをOWAユーザーに送ることで、電子メールの証明書を盗んだり、悪質なソフトウェアを被害者のシステムにインストールしたりすることが理論上可能だという。

　さらに、5年ぶりに提供されたSQL Serverのセキュリティ修正プログラム（MS08-040）は、特権の昇格を許すおそれのある脆弱性を修正するものだ。対象となるのは、SQL 2005/2000/7.0およびOSにバンドルされているSQL Server 2000 Desktop Engine（MSDE）/Expressである。

　注意したいのはSQL Server 7.0の管理者だ。同製品は「Windows Update」に対応しておらず（そもそも発売時にはWindows Update自体が存在しなかった）、インストーラが存在しない。そのため今回は管理者が手動で作業する必要がある。

(Robert McMillan／IDG News Serviceサンフランシスコ支局＆Computerworld.jp)