投稿者 FP親衛隊国家保安本部 日時 2000 年 7 月 19 日 20:45:57:
【米国記事】 2000年7月19日 05:05 PM 更新
ネット接続されたコンピュータに1通の電子メールを送りつけるだけで,PCを乗っ取ることができる新たな攻撃手法が明るみに出た。
Microsoftの電子メールプログラム「Outlook」の弱点を突いたこの攻撃が投げかける波紋は大きい。これまで電子メールのセキュリティホールと言えば,ユーザーが添付書類を開いたり特殊形式のメッセージを閲覧したりしなければ被害に遭うことはないというのが通説だった。
しかし,いまやたった1通のメールを同報するだけで,数千台のコンピュータを乗っ取ることが可能になったという。攻撃側は,標的のマシンが問題のメッセージのダウンロードを始めれば,そのマシンへの侵入が可能になる。
この問題は,およそ1カ月前に南米のセキュリティ研究集団Underground Security Systems Research(USSR Labs)が発見したもの。MSNBCが情報を得たのは6月11日だが,Microsoftが問題を解決する時間を与えるため,この情報を公開しないことに同意していた。しかしある人物が7月18日朝,この問題についての詳細をセキュリティ関連のメーリングリストに流した。Microsoftに対しては何度も電話取材を試みたが,返答はない。
USSR Labsの広報担当者がMSNBC.comに語ったところでは,同グループは電子メールのヘッダ部分に不正コードを添付して送り,標的のコンピュータがそのメールをダウンロードし始めると同時にそのコードを実行させることに成功したという。
パッチは間もなくリリース
USSR Labsから提供を受けたMicrosoftのセキュリティ警報の草案によると,Microsoftはこの問題を認めており,最も危険にさらされるのはホームユーザーだろうとしている。しかしMicrosoftは,このバグは企業ユーザーにはほとんど影響がないとも指摘。特に,Outlookを「企業/部門モード」で利用している企業は問題ないが,「インターネットオンリーモード」で利用している企業は危険だという。
被害を防ぐ唯一の方法は,Microsoftのパッチをインストールすることだ。このパッチはMicrosoft.comのセキュリティサイトで間もなくリリース開始の予定。
Microsoftはセキュリティ警報の草案の中で次のように指摘している。「このセキュリティホールによって,Outlook Security Updateをインストールし,『セキュリティゾーン』機能を利用して自分のメールクライアントのセキュリティを管理するなど通常は安全とされる使い方を守っているユーザーでさえも,被害を受ける可能性がある」
攻撃側は被害に遭ったコンピュータをほしいままにできることから,具体的な被害としてはいくつかのシナリオが考えられる。例えば1通の電子メールによって,ハードディスクの全ファイルを削除するようコンピュータに命令を出させることも可能だ。また,被害者の社外秘情報などを探し出して攻撃側に送り返すよう命令することもできる。このセキュリティホールによって,プライバシーが侵害される恐れもある。例えばスパムメールを送りつける広告主が,自動的にInternet Explorerを立ち上げて自社のWebサイトを開かせるような電子メールを送信することもあり得る。
これは,今年5月,たった12時間で世界に広まった「I Love You」ウイルスのように,自分をコピーして繁殖するものではない。攻撃側が悪用しようと思ったら,特定の形式の電子メールを特定の標的に向けて直接送信する必要がある。ただ,ウイルス作者がこのコードを利用して,自己増殖型の危険なウイルスを作り出すことも可能だ。
「NTBugTraq」メーリングリストの管理者としてMicrosoftのセキュリティホールを注意深く監視しているRuss Cooper氏によると,このセキュリティホールは大きな問題だという。
Cooper氏は,「電子メール1つでコンピュータを破壊できる」という古いコンピュータ神話を引き合いに,「これはとてつもない問題だと言ってもいい。Good Timesウイルスが現実のものになった。これについて耳にしたことがある人なら,悪い冗談だと言うだろう」と話し,さらにこう付け加えた。「これで,『自分のハードディスクがフォーマットされてしまった理由は,その電子メールを開いたからだ』という話を聞かされる可能性が出てきた」
サンプルコードも存在しているため,誰かがすぐにこれを真似て悪意を持った電子メールを書き始めるだろうとCooper氏は予想する。ただ,不安を和らげる要因が1つある。このセキュリティホールはほとんどの企業ユーザーには影響を与えず,一方ホームユーザーはそれほど愉快な標的ではないため,コンピュータ犯罪者はそれほど関心をそそられないかもしれないということだ。通常,取り扱いに注意を要する価値ある情報をコンピュータに保存しているのは企業ユーザーの方だ。
Microsoftに対して高まる懸念
USSR Labsの広報担当者は,Microsoftは今回,このセキュリティホールをふさぐために迅速な対応を採ったと思うとしながらも,同社がまだセキュリティを十分深刻にとらえていないことが懸念されると話している。
「各社とも,ソフトウェアを作ってそれを販売することの方が重要のようだ。もし問題があれば,あとで修正するという姿勢だ」と同氏。
18日にリリースされたサンプルコードは,コンピュータ犯罪者の手で改変され,利用されるかもしれない。USSR Labs版のサンプルはまだリリースされていないが,広報担当者は,Microsoftが問題を修正すれば,サンプルコードをリリースするとしている。この広報担当者によると,コンピュータのバグを探す過程でサンプルコードは欠かせないという。
「ソフトウェア会社の注意を向けさせるには,この方法しかない」(USSR Labsの広報担当者)
18日朝,Bugtraqにこのセキュリティホールを報告したのは,個人で問題を発見した人物だった。電子メールではAaron Drewと名乗っているこの研究者によると,問題のバグには,電子メールのヘッダのデータ領域に過剰なデータを詰め込むことが含まれるという。ただ,USSRの見方と異なるのは,ある程度ユーザーの自発的な行為がなければ攻撃は誘発されないとDrew氏が考えていることだ。同氏が記しているところでは,Outlook Expressでは問題の電子メールが入ったメールフォルダを開かなければ被害は受けないという。またOutlookの場合,問題のメールをプレビュー/閲覧/返信/転送することで被害を受けるという。
BugtraqリストをモニタしているElias Levy氏は次のように指摘している。「この種のセキュリティホールは,電子メール経由で個人を標的とした攻撃を加えるのに利用される。さらに,新たな電子メールウイルスの作成にも利用され
る……事の重大さは理解できるだろう」