ブラウザのバグで気紛れコードが走る

呉井嬢次(Johji Kurei) 2005-11-23 06:53:00

 Secunicaは、ウインドウズのブラウザ(IE)のonLoadイベントの処理する箇所に気紛れ(Arbitrary)コードが実行できるセキュリティーホールの存在を発表した。これにより、Windows XP SP2の利用者であっても、外部から不正アクセスされる危険性があることが判明した。受動的な攻撃も可能で、極めて深刻である。利用者に電子メール送り込み、特定のホームページに誘導し、不正なアクセスが遂行できるからだ。利用者への注意を呼びかけること、そして開発側との連携も必要となるだろう。

セキュリティーホールの存在を発表した Secunica http://secunia.com/

対処方法は、既に公開

 問題となるケースは、ホームページを記述するHTMLの中で使われるので、利用者が該当するHTMLを目にすることはない。ホームページを閲覧している時、自動的に画面が開かれる時に不正アクセスされる危険性がある。技術的な話になるが、ホームページのコンテンツを記述しているHTMLの中に、<body onload="window();">とある場合、このイベントが発生する。肝心な不正アクセスを防ぐ方法については、下記のマイクロソフトの関連サイトに詳しく書かれている。

 この問題についての説明および対処方法が書かれたマイクロソフトのホームページ

 http://www.microsoft.com/japan/technet/security/advisory/911302.mspx

解決方法は企業によって異なるケースも

 今回の問題を解決するには、修正プログラムは存在しない(執筆時点で)。このため、ブラウザを使用する全てのパソコン上で、ブラウザの設定を確認する必要がある。Onloadイベントが処理される設定になっていた場合は意外に多いので、多くの場合、設定を変更が必要となる。この時に注意して欲しいのは、社内システムでブラウザを使っているケースである。ウインドウズ画面を開き、業務処理が不要になったら閉じる社内システムでは、Onloadイベント処理を使っている。このような社内システムを作っている企業では、この対処方法では、社内システムが正常に機能しないことが起きる。そこで、社内システムの動作確認を行った上で、今回の問題対処を行うことが望ましい。場合によっては、社内システムの修正が必要となる場合もあるだろう。

 今回は、セキュリティーホールを直接攻撃するExploitコードではなく、気紛れに実行できるArbitrary(自由裁量、勝手な)コードとして発表されている。Exploitコードは、利用者権限や管理者権限の奪取、サービスの停止など、特定の目的を持って作られている。しかし、Arbitraryコードは、プログラムを組む者にとって、自由度を許容しているコードという意味がある。よって、セキュリティー上問題となる今回のケースは制限すべきだが、ソフトウエアを開発する側にとってみると、設計を制限することになる。

 既に作られたシステムは、設計段階で問題がないと判断して作られているので、メーカーによるセキュリティー修正プログラムによって制限されてしまうと、大きな問題がある。開発側にとって、譲れない線まで踏み込まれた問題として考えるべきだろう。OS、開発環境を提供するメーカーが開発の自由度を奪うことになれば、今後のソフトウエアに影響を及ぼすことになる。この問題は、ソフトウエアの開発者自身が正面から考えていかないといけないかもしれない。例えば、現在あるP2Pソフトウエアによって、著作権違反のコンテンツ、個人情報を漏洩させるウイルスの問題が発生している。それにもかかわらず、開発者はプログラミングの自由だけを叫び、利用者の問題と割り切り、社会的な問題が起きている点に目を向けず、P2Pソフトの改善を試みない。こうなれば、メーカーは、なんらかの対処をとったとしても、多くの利用者はメーカーを支持することは確実だ。

 Arbitraryコードは、Exploitコードとは異なる。セキュリティーを確保するには、セキュリティー製品を活用するのも有効な方法であるが、Arbitraryコードの場合は、システムの設計者側との連携が大切である。

※このエントリはZDNetブロガーにより投稿されたものです。朝日インタラクティブ および ZDNet編集部の見解・意向を示すものではありません。

SpecialPR

  • デジタル変革か?ゲームセットか?

    デジタルを駆使する破壊的なプレーヤーの出現、既存のビジネスモデルで競争力を持つプレイヤーはデジタル活用による変革が迫られている。これを読めばデジタル変革の全体像がわかる!

  • 「奉行シリーズ」の電話サポート革命!活用事例をご紹介

    「ナビダイヤル」の「トラフィックレポート」を利用したことで着信前のコール数や
    離脱数など、コールセンターのパフォーマンスをリアルタイムに把握するに成功。詳細はこちらから