Internet Watch logo
記事検索
特別企画
【 2009/06/11 】
6月のマイクロソフトセキュリティ更新を確認する
[20:03]
【 2009/06/09 】
「Googleブック検索」和解案と電子書籍ビジネスの行方(後編)
[12:52]
【 2009/06/08 】
「Googleブック検索」和解案と電子書籍ビジネスの行方(前編)
[14:12]
【 2009/06/04 】
多彩なリフィルでタスクも予定も柔軟に管理できる「xfy Planner」
[10:54]
【 2009/06/02 】
DirectShowのゼロデイ脆弱性に対応する
[14:18]
【 2009/05/28 】
ソニー「nav-u」の小さいカーナビ使ってみました<徒歩・自転車編>
[10:56]
【 2009/05/26 】
SNSはメールの10倍危険? 「心がけ」が大事とカスペルスキー氏
[11:24]
【 2009/05/21 】
被害が多発する「Gumblarウイルス」への対策を実施しよう
[19:20]
ソニー「nav-u」の小さいカーナビ使ってみました<基本機能編>
[11:00]
【 2009/05/15 】
Adobe Reader/Acrobatの脆弱性対策を考える
[15:27]
【 2009/05/14 】
5月のマイクロソフトセキュリティ更新を確認する
[12:58]
【 2009/04/16 】
4月のマイクロソフトセキュリティ更新を確認する
[15:57]

12月のマイクロソフトセキュリティ更新を確認する


 マイクロソフトが、月例のセキュリティ更新プログラムとセキュリティ情報を12月14日未明に公開した。

 マイクロソフトではセキュリティ問題の深刻度を4段階にレベル分けしており、今回のセキュリティ更新では、最大の深刻度である「緊急」に分類される脆弱性情報が1つ、その次の深刻度である「重要」が1つ報告され、それぞれセキュリティ更新プログラムが利用できるようになった。

 さらに、過去に報告されたセキュリティ情報が1件更新され、このセキュリティホールに対してこれまで用意されていなかったWindows 2000 SP4、Windows XP SP1およびWindows Server 2003用の更新プログラムが用意された。

 また、ウイルスやトロイの木馬など悪意のあるプログラムをシステムから削除するソフト「悪意のあるソフトウェアの削除ツール」の新版が配布された。

 まずは、新しく公開されたセキュリティ更新の内容を見ていこう。


【MS05-054】Internet Explorer用の累積的なセキュリティ更新プログラム(905915)

 このセキュリティ更新プログラムでは、4点のセキュリティホールが修正されている。この4点のうち、2点はWindows XP SP2では「緊急」に指定されている危険なセキュリティホールで、総合的にもWindows Server 2003以外のほとんどのOSで深刻度「緊急」とされている深刻なセキュリティホールであるようだ。

 また、問題のうちの1つは、リモートでコンピュータを乗っ取るための容易に悪用が可能なコンセプト実証コードが公開され、実際にこれを悪用したトロイの木馬プログラムも発見されている、かなり危険なセキュリティホールとなっている。

 Windows Server 2003系以外のOSを利用している場合は、できるだけすみやかにこのセキュリティ更新プログラムを適用すべきだ。

 4点のセキュリティホールを個別に見ていこう。


ファイルのダウンロードダイアログボックスの操作に関する脆弱性

 この脆弱性は、デンマークのセキュリティコンサルタント会社Secuniaから報告されたものだ。Secuniaのセキュリティアドバイザリによると、2つの問題からなっていて、1つはInternet Explorer(IE)が、ファイルダウンロードダイアログを隠してしまうという問題だ。

 これは、IEで新しいウィンドウを開く動作のデザイン上の問題で、ダウンロードダイアログを隠すように新しいブラウザ画面を開き、ユーザーに新しいウィンドウの特定のエリアをダブルクリックするように誘うことができるというもの。その結果、隠れたファイルダウンロードダイアログの「実行」ボタンをクリックさせられるという。つまり、ユーザーを視覚上の引っかけで、意図せずに「実行」ボタンをクリックさせることができるということのようだ。

 もう1つの問題は、キーボードショートカットを悪用することで、ファイルダウンロードダイアログを表示しているときに、「実行」ボタンをクリックしたことにさせることができるというもののようだ。

 この脆弱性は、リモートでPCを乗っ取ったりできるわけではないためか「警告」(4段階中の下から2番目)と、比較的弱い深刻度とされている。ただし、比較的手軽に悪用でき、例えばWeb経由でスパイウェアをインストールさせるといった、手段としては使われやすいのではないかと思う。特にあまり詳しくないユーザーが使うPCでは、確実にふさいでおきたいセキュリティホールだ。


HTTPSプロキシの脆弱性

 オンラインショッピングやオンラインバンキングをはじめ、個人情報などの他人に見られては困るセンシティブな情報を扱う場合、HTTPSを用いることで、SSLによってクライアント認証を行ない、データの暗号化を行なうことでのぞき見を防止できる。しかし、この暗号化が行なわれず、データののぞき見が可能になるという問題があったようだ。

 具体的には、プロキシサーバーを使う場合に、IDとパスワードによって利用者を管理する「基本認証」を行なっており、かつそれからHTTPSで接続していた場合に、データが暗号化されず平文のまま送信されているという問題があった。

 マイクロソフトが公開した情報によると、この問題は「一般に知られていた脆弱性」とされており、実際に悪用されていた可能性もあるかもしれない。


COMオブジェクトインスタンス化のメモリ破損の脆弱性

 8月にセキュリティアドバイザリとして公開された問題から続いているものだ。「意図されていないのにインスタンス化されるCOMオブジェクトのCLSIDがある」という問題に対して、これらのオブジェクトをIEで実行しないように、システムレジストリ上でCLSIDにKill Bitを設定する対策が考え出された。10月には、Kill Bitを設定するCLSIDをさらに増やしたセキュリティ更新プログラムが公開されていた。

 10月の記事で筆者は「これまでに公開されている脆弱性情報から、悪意のプログラムが作りやすい脆弱性だと思われ、また、個人的には他にも同様に危険なCLSIDがまだあるのではないかと思われる問題だ。しばらくは、この脆弱性関連の情報には注意した方がいいだろう」と指摘していたのだが、その通りになったようだ。今回、さらに危険なCLSIDが報告され、これに対応したセキュリティ更新プログラムが公開された。

 なお、今回は、後述するSONY BMGのCDに含まれていた、rootkit的な悪意のあるソフトに関連して、CDFirst4Internet XCPアンインストーラのActiveXコントロールにもKill Bitが設定されている。


不適切なDocument Object Modelオブジェクトのメモリ破損の脆弱性

 リモートでコンピュータを乗っ取るための容易に悪用が可能なコンセプト実証コードが公開され、実際にこれを悪用したトロイの木馬プログラムも発見されているという、最も大きな問題となっているのがこの脆弱性だ。いわゆる「onload=window()問題」として知られていたセキュリティホールに対する修正を行なう。

 IEが「window」で始まるオブジェクトの名前を正しく管理できていなかったために、JavaScriptではページを開いたときに実行されるonLoad()メソッドなどで問題が起きていた点を修正する。セキュリティ更新がリリースされるまで、この問題はマイクロソフトセキュリティアドバイザリ(911302)で、「Internet ExplorerのonLoadイベントを処理する方法の脆弱性のため、リモートでコードが実行される」として公開されていたが、今回、正式に対応するセキュリティ更新プログラムが公開された。

 このセキュリティホールは、Webページ中に以下のように書かれているとIEがハングアップする問題として知られていた。



 その後、英国のセキュリティ対策ベンダーComputer Terrorismによって、ハングアップするだけでなく任意のコードが実行できることが発見されていた。Computer Terrorismによる公表の際、この欠陥の存在を実証するために実際にこのExploitコードを使ったコンセプト実証ページが公開されたため、悪用が容易にできるようになってしまい、実際にトロイの木馬「Delf.DH」などでも利用された。

 これは、確実に、すみやかに、修正しておくべきセキュリティホールだろう。現在はDelf.DHでしか利用されていないが、実証コードの悪用の容易さ、確実性などを考えればもっと多くのプログラムで悪用されていても不思議はなかったのではないだろうか。


【MS05-055】Windowsカーネルの脆弱性により、特権が昇格される(908523)

 Windows 2000 SP4のみが影響を受けるセキュリティホールで、Asynchronous Procedure Call(APC)のキューの一覧にあるアイテムを処理する方法に問題がある。

 不正にユーザーの権限を昇格することが可能となり、ゲストや一般のユーザーとしてログオンしてからこのセキュリティホールを悪用すると、管理者権限を手に入れることができる。ただし、このセキュリティホールを悪用するには、ローカルでPCにログオンしておく必要がある。

 OSが限定されること、リモートで利用できないことなどを考え合わせると、あまり影響の大きくないセキュリティホールだろうと考えられるが、該当OSを利用しているユーザーは念のためにセキュリティ更新を実行しておくべきだろう。


「悪意のあるソフトウェアの削除ツール」はSONY BMGのrootkitに対応

 今月のセキュリティ更新で注目されるのは、「悪意のあるソフトウェアの削除ツール」が、SONY BMGの音楽CDに含まれていた「XCP」に対応したことだろう。マイクロソフトのページでは「WinNT/F4IRootkit」という名前で解説されている。

 すでにたびたび取り上げられているSONY BMG問題だが、もう一度まとめておこう。

 これは、米国のSONY BMGが一般に市販している音楽用CDに、悪意のあるプログラムを忍び込ませていたという問題だ。最初は、Van Zantの「Get right with the man」というアルバムで発見されたが、その後、セリーヌ・ディオンなど著名で売上の多いCDにも含まれていることが確認されている。

 日本でも、Amazonなどのオンラインショップや、輸入盤を扱っている店舗などでこの種類のCDが販売されており、Amazonなどでは現在、回収・返金処理を行なっていることが報じられた。

 このプログラムは、CDをPCに入れたときに実行されるもので、表面上は、CDに入っている楽曲のタイトルを表示したり、現在行なわれているプロモーション情報をインターネットから取得して表示したりといったことを行なうソフトだった。しかし、実際には、裏で悪意の行動を取るプログラムが実行されている。


セリーヌ・ディオンのアルバムCD「On ne chage pas」に含まれているソフト。この裏で悪意のプログラムが実行される。なお、プロモーション情報欄には、現在、CDに含まれている悪意のプログラムに関する注意と、情報が掲載されているページのリンクが表示されている

 この悪意のプログラムの問題点としては、まず、ユーザーに説明なくプログラムをシステムに潜り込ませる点が挙げられる。次いで、潜り込ませたプログラムに、ユーザーの了解を得ずに、ユーザーの意に反する活動を行なわせている点も挙げられるだろう。

 このCDは、PCに入れたときに、プロモーション用の動画や音楽などを再生するプログラムを実行する。その際に、OSのカーネルなどを改変し、メモリ中やディスク内に入った特定のプログラムの存在を隠すような悪意の細工(いわゆるrootkit手法)をシステムに行なう。さらに、OSの通信を横取りし、プロセス同士での通信を攪乱して、特定のソフトの実行を妨害したり、その活動をインターネットを通じて悪意のユーザーに伝えるといった活動を行なう。

 また、その副作用として、一部のCDリッピングソフトやMP3エンコードソフトなどで、音質の低下を招くという症状も報告されている。さらに、この悪意のプログラムが自分自身などを隠すために、ファイル名に特定の名前を付けるとそのファイルが見えなくなる細工を施している。この仕組みを悪用し、システムに侵入してもその痕跡が確認できなくなる「Stinxウイルス」などがウイルス対策ソフトベンダーによって発見されている。

 rootkit手法は、たとえばリモートでサーバーに侵入した際にログや足跡を残さないようにするためのツールなど、悪意のソフトで古くから使われてきた技法だが、今回は一般に広く市販されている音楽用CDで、メジャーなCDレーベル会社が採用してしまった。さすがにこれは米国のコンピュータユーザーの間などではかなりの大問題となり、マイクロソフトとしてもOSの根幹に手を入れられる悪意のプログラムであることから、対策に乗り出したようだ。

 その1つは、前述のMS05-054で行なわれているKill Bit設定だ。表で実行されるCDの内容紹介プログラムが、悪意のプログラムを呼び出す際に使うActiveXが実行されないようにKill Bitを設定している。

 そして、もう1つは、悪意のあるソフトウェアの削除ツールにこのSONY BMGのCDに含まれるプログラムを対象とすることだ。

 Windows Update、もしくはマイクロソフトの「悪意のあるソフトウェアの削除ツール」のWebページからツールを実行することで、今回のSONY BMGによる悪意のプログラムを削除することができる。

 SONY BMGの発表によれば、今回、このXCPソフトが含まれるとされるCDタイトル数は52。さらに米国などのPCユーザーにはSONY BMG以外のレーベルでもこの悪意の仕組みが採用されているCDもあるという指摘もある。

 もし、海外輸入盤のCDをPCでリッピングしたり、聞いたりする習慣がある場合は、一度は削除ツールを実行しておくべきだろう。

 なお、この削除ツールは、ウイルス対策ソフトではないので、実行時に削除しても、再度CDをPCのドライブに入れるとまた悪意のプログラムがシステムに侵入してしまう。必ずMS05-054のセキュリティ修正をかけて、できればウイルス対策ソフトなどもシステムにインストールしておこう。


関連情報

URL
  Windows Update
  http://windowsupdate.microsoft.com/
  2005年12月のセキュリティ情報(マイクロソフト)
  http://www.microsoft.com/japan/technet/security/bulletin/ms05-dec.mspx
  悪意のあるソフトウェアの削除ツール(マイクロソフト)
  http://www.microsoft.com/japan/security/malwareremove/default.mspx
  XCPが含まれるCDタイトルの一覧(SONY BMG)
  http://cp.sonybmg.com/xcp/english/titles.html

関連記事
12月の月例パッチは深刻度“緊急”のIEの累積的なセキュリティ修正など(2005/12/14)


( 大和 哲 )
2005/12/15 15:57

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2005 Impress Watch Corporation, an Impress Group company. All rights reserved.