Internet Watch logo
記事検索
イベントレポート
【 2009/06/12 】
ひろゆき氏&夏野氏が講演「日本のネットは決してダメじゃない」
[18:57]
携帯ゲーム機のような見た目のNGN対応回線品質測定器
[14:28]
ISAO、IPデータキャストを利用したサービスイメージを展示
[11:33]
【 2009/06/11 】
アナログ停波後の周波数帯域を利用したマルチメディアサービス
[18:50]
日テレが「ニュース検索API」などを紹介、国内の地上波放送局初
[18:36]
UQ Com田中社長、高速&オープン志向「UQ WiMAX」のメリット語る
[17:45]
主催者企画コーナーでは「ServersMan@iPhone」のデモも
[11:13]
国内初のデジタルサイネージ展示会、裸眼で見られる3D映像など
[11:12]
【 2009/06/10 】
CO2排出量が都内最多の地域、東大工学部のグリーンプロジェクト
[20:01]
IPv4アドレス枯渇で「Google マップ」が“虫食い”に!?
[19:29]
UQ Com、7月の有料サービス開始に向けて「UQ WiMAX」をアピール
[19:20]
「Interop Tokyo 2009」展示会が開幕、今年はひろゆき氏の講演も
[14:53]

非公式パッチの作者が語る「WMF脆弱性」の脅威


 情報セキュリティに関するイベント「東京国際セキュリティカンファレンス2006」が、東京・大手町の経団連会館で29日と30日の2日間に渡って開催される。初日の29日には、2005年末にWMF(Windows Metafile)の脆弱性に対する非公式パッチを公開したIlfak Guilfanov氏が、脆弱性を解説するとともに非公式パッチについての考え方を語った。


WMFの脆弱性は実装ではなく仕様の問題

Ilfak Guilfanov氏
 Guilfanov氏は、ベルギーのソフトウェア開発会社であるDataRescue社に勤務し、1990年からセキュリティ関連ソフトの開発に従事している。Guilfanov氏は、2005年末にWMFに脆弱性があることが報告され、調査したところ「これまでにあった脆弱性よりもずっと危険なもの」と判断したため、対策に乗り出したという。

 なぜWMFの脆弱性が危険度が高いかという理由について、Guilfanov氏は「悪用方法がインターネットで公開された」「公式パッチが存在しなかった」「Webページを閲覧するだけで脆弱性が悪用される」の3点を挙げた。特に、WMF形式のファイルは画像ファイルとして認識されるため、メールに添付されてきた場合でも開いてしまう可能性が高く、Webページを閲覧しただけでもウイルスに感染してしまうことも含めて、非常に危険な脆弱性だとした。

 また、WMFの脆弱性の特徴としては、実装のエラーによる脆弱性ではなく、仕様の段階で既に存在している脆弱性だという点を挙げた。WMFはベクター形式の画像フォーマットで、ファイル内には画像描画を行なうためのコマンドを記述する形になっている。このコマンドには、様々なWindows GDI関数が使用できるが、将来的な拡張のために、コマンドを拡張するためのエスケープコマンドが用意されていた。発見された脆弱性はこのエスケープコマンドを悪用する。

 脆弱性が悪用するのは、ユーザーが印刷ジョブを取り消した場合などに、メモリリソースを開放するための「SETABORTPROC」というエスケープシーケンスだ。この印刷ジョブ中止手順に悪意のあるコードを記述することができ、悪用も非常に容易なものだったという。

 Guilfanov氏は、このWMFの仕様にはデータ内にコードが埋め込めるという問題と、コード実行を無効にするためのメカニズムが備わっていないという2つの大きな問題があったと指摘する。ただし、「WMFはとても古いファイル形式であり、その当時にはセキュリティ問題はそれほど深刻ではなかった。メールやFTPなどインターネットの古いアプリケーションもそうであるように、かつてはセキュリティのことは考えずに仕様が決められていた」として、「WMFの仕様には問題があったが、そのことについて(仕様を決めた)マイクロソフトを責める気にはなれない」と述べた。

 Guilfanov氏は、この問題に対処するためには、かつて大流行したWordのマクロウイルスへの対策と同様に、WMFファイル内のSETABORTPROCコマンドを無効にすることが必要だと判断。問題となる「GDI32.DLL」ファイルを修正する方法として、メモリ内のDLLイメージを動的に修正するプログラムを作成。当初は自分用に作成したが、ネット上で公開したところ大きな反響を呼んだという。


パッチの適用には検証が必要

 WMFの脆弱性は2005年12月に世界各地で報告され、12月28日にはマイクロソフトがセキュリティ勧告を発表し、2006年1月の月例パッチで対応するとした。Guilfanov氏はこうした状況の中、12月31日に自作のパッチを公開した。

 Guilfanov氏はパッチへの反応について「意外なほど肯定的だった」として、公開したその日にはフィンランドのF-SecureがGuilfanov氏のパッチを推奨するなどしたため、推計で50万件以上のダウンロードがあったという。一方、マイクロソフトは5日、月例パッチを前倒しする形で、WMFの脆弱性を修正する公式のパッチを公開した。

 Guilfanov氏は、「こうしたサードパーティ製のパッチに対しては、パッチにバグがあったり、意図的に害を及ぼすものであったりした場合に誰が責任を取るのか、信頼に足るものかといった当然の疑問がある」と説明。サードパーティ製パッチを使用する理由としては、公式パッチが提供されておらず、脆弱性攻撃のリスクが高いといった場合以外にはあまり考えられないとした。

 また、パッチの提供者が意図的に悪意のあるコードを埋め込む可能性や、意図していなくても誤ってPCに害を与えるようなパッチを作成してしまう可能性はあると指摘。一方、マイクロソフトではパッチの公開にあたって大掛かりな検証を行なっており、こうしたテストはサードパーティには難しいとした。

 Guilfanov氏はこうした状況を踏まえた上で、「最終的な判断はご自分で、ということになると思うが、少なくともパッチの適用には検証が必要だ。企業などで大規模な導入を行なう場合には、事前に小規模環境での検証などを行なうことも重要。パッチを適用した場合の影響と、パッチを適用しない場合の影響を考慮することが重要だ」と述べて講演を締めくくった。


関連情報

URL
  東京国際セキュリティカンファレンス2006
  http://www.tokyointersec.com/

関連記事
マイクロソフト、「WMFの脆弱性」に対する修正パッチを緊急リリース(2006/01/06)


( 三柳英樹 )
2006/11/29 17:38

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2006 Impress Watch Corporation, an Impress Group company. All rights reserved.