ニュース

IEの“修正予定がない脆弱性”、これほど問題になるとは……MSが事情説明

「脅威は限定的、緊急性は低い」との判断

 Internet Explorer(IE)に存在することが先週末に公表されて話題になった“修正予定がない脆弱性”について、日本マイクロソフト株式会社が12日、報道関係者向けに毎月開催している月例セキュリティ修正パッチの説明会の席上で言及した。同社としては緊急性は低いとの判断だったことを説明する一方で、そうした脆弱性が注目されたことに対して「あまり問題になるとは思わなかった」(チーフセキュリティアドバイザの高橋正和氏)とコメント。脆弱性情報の公開にあたってのベンダーとしての対処という観点では不十分な面もあったと反省した。

 この“脆弱性”は、独立行政法人情報処理推進機構(IPA)と一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)が運営する脆弱性情報サイト「JVN(Japan Vulnerability Notes)」において、6月7日付で公表されたもの。IEにXMLファイルの取り扱いに関する脆弱性があり、細工を施されたXMLファイルをローカルファイルとして開くことで、別のローカルファイルの内容が漏えいする可能性があるとしている。2009年7月、IPAの脆弱性届け出窓口に発見者から情報が寄せられ、その後、JPCERT/CCがIEの開発者であるマイクロソフトと調整。ここに来て公表するに至った。

 脆弱性の影響を受けるバージョンはIE 6/7/8/9で、IE 10では初期出荷バージョンで対処済み。そこでJVNではユーザーに対して、IE10にアップグレードするか、「ローカルディスク上に信頼できないファイルを保存しない」という軽減策をとることを提示。あわせて、IEの開発者であるMicrosoftがIE 9以前でこの脆弱性を修正する予定がないとしていることを伝えていた。

 同時に、JVNに掲載されているJPCERT/CCによる脆弱性分析結果では、攻撃の成立条件として、「攻撃経路」という尺度では「インターネット経由からの攻撃が可能」、「認証レベル」では「匿名もしくは認証なしで攻撃が可能」、「攻撃成立に必要なユーザーの関与」では「リンクをクリックしたり、ファイルを閲覧するなどのユーザー動作で攻撃される」、「攻撃の難易度」では「専門知識や運がなくとも攻撃可能」と判定。その結果、「攻撃経路」「認証レベル」「攻撃の難易度」の3項目について、脆弱性の脅威として4段階中で最も高い「高」の評価が付けられている(「攻撃成立に必要なユーザーの関与」は3段階中で2番目の「中」)。

 こうしたことから、MicrosoftがIEの旧バージョンの危険な脆弱性を修正しないまま放置しているとも受け取れかねない印象も与えてしまった模様だ。

 一方で、共通脆弱性評価システム「CVSS(Common Vulnerability Scoring System)」による深刻度の評価スコアは「2.6」となっている。CVSS基本値は10.0が最高で、0.0~3.9が「レベルI(注意)」、4.0~6.9が「レベルII(警告)」、7.0~10.0が「レベルIII(危険)」という分類だ。今回の脆弱性は「レベルI(注意)」に該当する。また、CVE番号が割り当てられていない脆弱性だったということもあり、それほど危険な脆弱性ではないのではないかという見方も当然できたが、なにぶん、この脆弱性についての情報がJVNしかなく、Microsoft側から公式なセキュリティ情報が出ていなかったことも、不安や不信感を拡大することになった。

Microsoftでは「脅威は限定的、緊急性は低い」と判断

 こうした状況を受けて日本マイクロソフトでは今回、IE 6/7/8/9でこの脆弱性を修正していない理由を説明するに至ったわけだ。同社チーフセキュリティアドバイザの高橋正和氏によると、やはりCVEのリストに入っていないことからも分かるように、軽微な脆弱性であるとの判断がMicrosoftにあったとしている。

 高橋氏によると、JPCERT/CCによる脆弱性分析結果を見ると非常に危険な脆弱性のような印象を受けるが、実際にこの脆弱性を悪用した攻撃が成立するにはいくつかの前提条件があるため、脅威は限定的で、緊急性は低いという。

 具体的には、攻撃者はまず、入手したいローカルファイルのファイル名とファイルパスを事前に知っている必要がある。その上で、入手対象ファイルの情報を設定したXMLファイルをメールやウェブからのダウンロードによってユーザーのPCのローカルディスク上に保存させ、それをIEで開かせることで、入手対象のファイルがXMLファイル内に読み込まれ、指定したサーバーにHTTP通信で送信される流れだ。これらすべてが成立し、攻撃を成功させるのは困難なのだという。

脆弱性を悪用した攻撃の流れ
JPCERT/CCによる脆弱性分析結果に対する反論

 また、JVNにあった「修正予定がない」との表現についても、やや意味あいが違うと指摘。「対処しない」というのではなく、Microsoft米国本社も含めて所定のプロセスに沿った対応を進めているが、具体的な修正スケジュールを立てるような緊急性が高い脆弱性ではないために、「現状では、対応予定を公表できる段階にない」といった意味合いだとした。また、XMLに詳しい人であればどういった仕組みか想像がつくような、仕様的な部分が含まれているとし、「脆弱性」というよりも「攻撃手法」と考えられる側面もあるのではないかとも述べた。

 いずれにせよ今回の件を受けて高橋氏は、脆弱性の情報を公表するにあたっては伝え方やインパクトを考慮する必要があるが、どういった表現で脆弱性情報が公開されるのかについて、ベンダーとしてきちんとチェックする必要があったのに見逃してしまったという。

 特に同社製品のセキュリティ対応については、米国本社での対応になる。本社がいったん軽微とみなし、対処を見送った脆弱性については、今回のように日本の脆弱性情報サイトで公表されて話題になったとしても、セキュリティアドバイザリなどのかたちでMicrosoftの公式見解を日本法人から出すのは難しいという。今回の騒ぎが起こってからは、この脆弱性の発見者自らが自身のブログで見解を示し、JVNで示されているより危険性は低いと述べているのは知りながらも、そのような情報をMicrosoftとして公式に提供できなかったと振り返る。

 高橋氏は、今回の騒ぎによってあらためて脆弱性情報の公表方法や対応について改善すべき余地があることを痛感したとし、今後、公表される脆弱性情報についてはJVNの窓口との調整・話し合いなどをしっかり行いながら、誤解されないような情報提供ができるよう見直し・改善を図っていきたいとした。

 なお、この脆弱性について現時点で詳細な情報は公開されておらず、攻撃に悪用されたとの報告もないとしている。また、IE 6/7/8/9での軽減策として、「ローカルディスク上に信頼できないXMLファイルを保存しない」というものに加えて、「信頼できないXMLファイルは、IEでは開かない」「XMLファイルを開く既定のプログラムを、メモ帳など他のプログラムに変更する」という方法を挙げている。

(永沢 茂)