［世界］
Windows 2000の脆弱性を突く危険な実証コードが登場

シマンテックは脆弱性の危険度評価を7.1から8.5へ引き上げ

（2007年09月14日）

　米国マイクロソフトが9月11日に公表し、修正パッチを公開したばかりの脆弱性を突く危険な実証コードが登場した模様だ。

　セキュリティ上の脅威に関する早期警告サービスを提供する米国シマンテックのDeepSightネットワークのアナリストは9月12日朝（米国時間）、マイクロソフトが月例パッチ・リリースで公表したWindows 2000の脆弱性を悪用するJavaScriptコードが登場したことを報告し、顧客に警告を発した。

　この脆弱性実証コードは、ブラジルの電子メール・アドレスを持つユーザーによってインターネットに公開された。シマンテックはその1時間半後に警告を更新し、イミュニティが提供する人気の侵入テスト・ソフトウェア「CANVAS」のユーザー向けに新たな実証コードが公開されたと報告した。

　シマンテックは危険が増したことについて注意を促すため、13日にこの脆弱性の危険度の評価点を、当初の7.1（最大10点）から8.5に引き上げた。

　問題のWindows 2000の脆弱性は、11日にパッチが公開された4件の脆弱性の中で唯一、深刻度が「緊急」とされており、インタラクティブなアニメーション・ヘルプ・キャラクター（Office Assistantがよく知られている）を動作させるWindows Agentに関係している（関連記事）。

　12日に登場したJavaScriptベースの脆弱性実証コードは、IBMインターネット・セキュリティ・システムズのX-Forceチームの研究員、トム・クロス氏が12日に発表した分析の内容と合致している。

　クロス氏は12日、「このWindows Agentの脆弱性は、Agent ActiveXコントロールに存在する。ActiveXコントロールの脆弱性は一般に、悪意あるスクリプト・コードを埋め込んだWebサイトにユーザーをだまして誘導し、これを実行させることによって悪用がなされる。これは非常に一般的な攻撃の手口だ」と述べた。

　マイクロソフトが脆弱性を公表した翌日に早くも実証コードが登場したことも、クロス氏の最初の印象から見て当然のことと言えるかもしれない。「この脆弱性には、非常に一般的な攻撃の手口が通用してしまう。この脆弱性の特徴は、多くのバグに見られる特徴と一致している」と同氏は述べていた。

　シマンテックは、パッチをすぐに適用できなかったユーザーに、Webブラウザのスクリプト処理機能を無効にするようアドバイスしている。「この脆弱性の悪用を成功させるには、アクティブ・コンテンツが実行されなければならない。この種の脆弱性を軽減するには、Webブラウザのアクティブ・コンテンツ・サポートを無効にすることが有効だ」（同社）

　マイクロソフトはWindows Agentの脆弱性に関する詳しい技術解説を、セキュリティ情報「MS07-051」として公開している。

　なお、マイクロソフトはこの脆弱性について、ベリサイン傘下のアイディフェンスから報告を受けたとしている。Windows Agentの脆弱性は4月にも公表され、修正パッチが公開されており、マイクロソフトはその時点では、Windows Agentの脆弱性をすべて発見できていなかったと見られる。

(グレッグ・カイザー／Computerworld オンライン米国版)