|
|
■URL
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-055.asp
米Microsoftは13日、11月8日に発見されたプライバシー情報が漏洩されるバグを修正するためのパッチを発表した。現在同社のダウンロードページからダウンロードすることができる。IE5.5、6.0の利用者は至急このパッチを充てなければ、Cookieの情報が完全に漏洩してしまうおそれがある。
このセキュリティーホールは11月8日にフィンランドの会社によって発見され、セキュリティー関係のメーリングリストにその詳細な内容が報告された。通常セキュリティーホールに関する情報をどのように扱うかということに関しては、悪意を持った人物も公開と同時にその情報を利用できるようになるため、公開すべきか、それとも対策がとれるまで公開を持つべきかということに関してたびたび議論が行なわれてきた。
しかし、今回発見されたバグの詳細を見るにつけ、この件に限って言えば公開は妥当だったとも考えられる。フィンランドの会社の報告によると、このバグは「about:」URLの扱いが適切でないために、どのようなサイトに対してもCookieの内容が表示されてしまったり改竄される恐れがあるというものであった。
これまでセキュリティーホールというと複雑なコードを入力する必要があったり、到底想像もつかないような文字列や数字列を入力する必要があったりしたため、セキュリティーホールを発見するためにはかなりのプログラミングの素養や複雑なパズルを解くような忍耐心が要求されていた。しかし今回発見されたセキュリティーホールはJavaScriptに関するある程度の知識を持つ人物が試行錯誤、もしくはふとした拍子に間違うことによって発見されかねない程度のものだった。
Microsoftは11月8日(セキュリティーホールが発見されたのと同じ日に)緊急のセキュリティー公報を発表したが、その中で「この弱点を見つけた人物は問題を無責任に取り扱うことを選び、Microsoftに通知してからわずか数日後故意にこの問題を公開した。この時間内に品質管理の基準を満たしながらパッチを作成し、テストし、発表することは全く不可能なことだ」とコメントし、フィンランドの会社を激しく非難した。
しかし、もしもフィンランドの会社が公表しなかったとしたならば、通常のセキュリティーホールと異なり、このバグを悪意を持った人物が先に発見し、悪用していた可能性も否定できない。さらにIE6.0に搭載されたプライバシー機能をすべてオフにし、スクリプト機能もすべてオフにすることによってとりあえず対策がとれる状況にあったこともフィンランドの会社に有利に働いている。
MicrosoftがIE6.0を発表したときに、その最も大きな特徴とされたのは「P3P」に代表されるプライバシー保護機能を強化したことだった。しかし、その中のもっとも大事なプライバシーのひとつであるCookieの情報がすべて漏れてしまうという重大なバグが発見されたということは、Microsoftのセキュリティー関連の品質管理基準に問題があると言わざるを得ない。Microsoftは「.NET」戦略で多くの個人情報を取り扱うシステムを運用することを発表しているが、今後Microsoftがセキュリティーに関して利用者の信頼を得、成功を収められるかどうかは今後の対策の仕方にかかっていると言えるだろう。
◎関連記事
■Microsoft「IE」にセキュリティホール~Cookie情報が盗まれる可能性
■米Microsoft、InternetExplorer6.0を正式リリース~プライバシー保護機能を強化
(2001/11/15)
[Reported by taiga@scientist.com]