Enterprise Watch
バックナンバー

手当てなきセキュリティホール “非公式”パッチは使えない?


 ソフトウェアのセキュリティアップデートに時間がかかるケースが増えている。最近発見されたInternet Explorer(IE)の新たな脆弱性では、Microsoftのパッチがリリースされないまま、サードパーティが独自に“非公式”パッチを配布するという事態になった。経過をまとめてみよう。


 IEの脆弱性は、3月22日、デンマークのセキュリティ企業Secunia Researchが報告した。active scriptの機能にかかわるもので、「createTextRange()処理の脆弱性」と呼ばれるセキュリティホールを突いて、攻撃者は任意のコードをリモートから実行できるようになるという。悪用するコードはすでに流通しており、Secuniaの危険度評価は、5段階で最大の「Extremely critical」だ。

 これに対しMicrosoftは、その日のうちに Security Response Centerのブログで、この問題を認識していることを説明。翌23日にMicrosoftが公開したセキュリティアドバイザリでは、「問題はシリアスであり、悪意を持った攻撃が試みられてはいるが、今のところ、攻撃範囲は限定されている」と述べ、危険性は比較的低いという判断を示した。

 対応パッチは、次の月例パッチのリリース予定日(4月11日)に、他のものと合わせて提供するとした。それまでは、Active Scriptの無効化と、「信頼できないサイトには近づかない」ことで対処するよう求めている。

 非公式パッチは、3月26日、米eEye Digital Securityと米Determinaという2つのセキュリティ企業が、それぞれ独自にリリースした。発見からは4日後、Microsoftの公式パッチのリリース予定日まで2週間以上あり、いずれもMicrosoftの正式なパッチが出るまでの“暫定”的なものと位置づけていた。

 eEye Digitalは「ユーザーは手作業で設定を変えることができるが、eEyeはすべての組織がそういったステップをとれないことを実感している。Active Scriptingを無効にできない組織にはパッチが必要だ」(Marc Maiffret共同創設者兼最高ハッキング責任者)と説明している。

 同じ日、createTextRange()処理の脆弱性を悪用したWebサイトを200以上確認したと米Websenseが発表している。アクセスすると、ボットやスパイウェア、バックドア、トロイの木馬などをインストールする悪質なサイトだ。この影響もあってか、eEye Digitalのパッチのダウンロード数はリリースから1日で3万4000回を記録した。


 しかし、Microsoftは、28日付のSecurity Response Centerのブログで、「製品の動作を修正するようなサードパーティのソリューションは推奨できない」(Mike Reavey氏)と、非公式パッチを使わないように呼びかけた。理由は「システムに与えるインパクトが不明瞭」(同)なためだ。

 実際に非公式パッチで問題が出たという報告は、これまでのところあがっていないが、検証を受けていないパッチをインストールすることが新たな別の問題を生む可能性は否定できない。ソフトウェアはあまりに複雑になりすぎているのだ。

 非公式パッチは、昨年から今年にかけての「Windows Metafile Format(WMF)の脆弱性で登場した。このときはベルギーのDataRescueのシニア開発者、Ilfak Guilfanov氏が開発したものが広く利用された。

 eEye Digitalなどが独自パッチをリリースしたのも、この事例をふまえてのようだ。サードパーティが非公式パッチを公開するケースは、これからも増えてゆくと考えられる。だが、パッチの影響について確実な保証が得られないとすると、ユーザーは個別のケースで、メリットとデメリットを天秤にかけて、判断することを迫られる。

 なお、createTextRange()脆弱性の公式パッチのリリースは、まだ先だが、新手の攻撃が登場している。30日には、偽ニュースメールを送りつけて、仕掛けをした偽の英BBCサイトに誘導する手口が出現。31日には、より素早く動作するよう改良した攻撃コードがみつかったという。



URL
  Secuniaのセキュリティアドバイザリ
  http://secunia.com/advisories/18680/
  Microsoftのセキュリティアドバイザリ
  http://www.microsoft.com/technet/security/advisory/917077.mspx
  Security Response Centerのブログ
  http://blogs.technet.com/msrc/archive/2006/03/25/423116.aspx
  http://blogs.technet.com/msrc/archive/2006/03/28/423409.aspx
  Websenseのニュースリリース
  http://www.websensesecuritylabs.com/alerts/alert.php?AlertID=451
  http://www.websensesecuritylabs.com/alerts/alert.php?AlertID=452
  DETERMINAのニュースリリース
  http://www.determina.com/news/press_releases/releases02272006.asp
  eEye Digital Securityのニュースリリース
  http://www.eeye.com/html/company/press/PR20060327.html


( 行宮翔太=Infostand )
2006/04/03 08:59

Enterprise Watch ホームページ
Copyright (c) 2006 Impress Watch Corporation, an Impress Group company. All rights reserved.