山下眞一郎/富士通南九州システムエンジニアリング 第一ソリューション事業部 ネットソリューション部 担当部長

 仕事柄,様々な企業からセキュリティに関する相談を受けます。中でも最近特に増えてきたのが『情報漏えい対策』という切り口の相談です。

 組織としてセキュリティ対策を考える場合,『情報漏えい対策』は身近でかつ優先順位も高い課題の一つになってきています。例えばウイルス感染に関するインシデントでも,「社内でウイルス感染が発生して多くのシステムが影響を受ける」のと,「社内でウイルス感染が発生し,その結果社外に個人情報や顧客業務情報が漏えいする」のとでは,企業や事業継続(BC:Business Continuity)への脅威という観点で全くインパクトが異なります。

 こうしたことから,このコラムでは『情報漏えい対策』にこだわって,現場で発生する悩みや質問,課題を解決するヒントを書いていきたいと考えます。

 情報漏えい対策の基本中の基本は,まず個々の機器(クライアントPCやサーバー)のセキュリティ対策を継続的に,漏れなく実施することです。Windowsの環境で言えば,マイクロソフトが提唱するように「コンピュータを守るための四つのステップ」を徹底する必要があります。具体的には,
ステップ1.ファイアウォールを常に有効にする
ステップ2.オペレーティング・システムを常に最新の状態に保つ
ステップ3.更新済みのウイルス対策ソフトを使用する
ステップ4.更新済みのスパイウエア対策技術を使用する
の4項目です。

 このステップ2に関連して,最近,ある企業のシステム担当者から相談を受けました。『2月13日にマイクロソフトから公開された「2008年2月のセキュリティ情報」の注意点はありますか?』というものです。そこで今回は,私がこの企業に対して回答した内容を紹介しましょう。

 2月のセキュリティ情報の最大の注意点は,通常のセキュリティ・パッチに加えて,「Internet Explorer 7(IE7)の自動更新による配信」が同時に行われることです。マイクロソフトからは,「Windows Internet Explorer 7:自動更新インストールのお知らせ」という情報が公開されています(関連記事:「強制的にはインストールされない」――徹底解説「IE7の自動更新」)。

 私の個人的な考えでは,企業内のWebサイトのIE7対応が完了していれば,セキュリティが向上したIE7にバージョンアップすることは賛成です。ただ,Microsoft Updateを利用してIE6からIE7にバージョンアップする場合,重要な注意点があります。『Microsoft Updateを利用してIE7にバージョンアップした後,再度Microsoft Updateを行う必要があること』です。

 1月に公開されたパッチを適用済みのWindows XP SP2の環境では,Microsoft Updateを利用してIE6からIE7にバージョンアップしても,そのままではIE7のセキュリティ・ホールが残る危険な状態になりました。具体的には,IE7に「マイクロソフト セキュリティ情報 MS07-050 - 緊急 Vector Markup Language のぜい弱性により,リモートでコードが実行される(938127)」が未適用の状態となります。このセキュリティ・ホールは,IEを使用して悪意のある細工がなされた Web ページを表示すると,リモートから任意のコードを実行される可能性があるというもので,深刻度は“緊急”です。

 なお,この“再度Microsoft Updateを行う必要がある”という情報は,私が知る限りマイクロソフトのセキュリティ情報レポートなどには記載されていません。「Microsoft Updateを実施後は,再起動を行い,適用が必要なパッチが表示されなくなるまで,繰り返しMicrosoft Updateを実施する」ことが常識なのかもしれませんが,マイクロソフトには徹底したアナウンスをお願いしたいと考えます。

 他の注意点としては,今回のセキュリティ情報が公開される前から,既にセキュリティ・ホールの情報や攻略方法が公開されている危険なものが存在しないかをピックアップする必要があります。

 そのためにはTechNetセキュリティセンターで,2008年2月のセキュリティ情報の内容を確認することに加え,マイクロソフトのセキュリティ・セクションが記載するブログ「日本のセキュリティチームのBlog」をチェックすることをお勧めします。

 その情報から,「マイクロソフト セキュリティ情報 MS08-010 - 緊急 Internet Explorer 用の累積的なセキュリティ更新プログラム(944533)」の中の,「ActiveX オブジェクトのメモリの破損のぜい弱性- CVE-2007-4790」は,今回のパッチ公開前に攻略情報が公開されている危険な状態であったことが分かります。

 なお,パッチ公開前にセキュリティホールの情報や攻略方法が存在した危険な状態かどうかは,マイクロソフト セキュリティ情報レポートの中の「謝辞」の項を見ればヒントになります。「謝辞」に記載されるということは,セキュリティ・ホールの発見者が,そのセキュリティ・ホールを一般に公表する前にマイクロソフトに連絡し,パッチを準備する猶予を与えたということだからです。この「謝辞」に記載されていないセキュリティ・ホールは,パッチ公開前に既にセキュリティ・ホールの情報や攻略方法が公開されている危険なもの,もしくはマイクロソフト自身が発見したものとなります。実際,MS08-010の場合,「ActiveXオブジェクトのメモリの破損のぜい弱性- CVE-2007-4790」だけは「謝辞」に記載されていません。

 そして,今回の緊急のパッチ6件のうち,MS08-010以外の5件は,すべてのCVE(Common Vulnerabilities and Exposures:各団体が公開しているセキュリティ・ホールに対して,統一した番号を付与したもの)に関して,「謝辞」に記載されています。

 さらにブログの情報で,3営業日前に公開される「事前通知」でアナウンスされた内容と比べて緊急1件がテスト・プロセスの中で品質にかかわる問題が判明したため,公開されなかったことが分かります。ちなみにその緊急1件は,「Windows, VBScript, JScript」が影響を受け,リモートからコードを実行されるという影響を受けるものです。

 どこにもアナウンスされていないようですが,今回の「2008年2月のセキュリティ情報」から“Windows Server 2008”が影響を受けるかどうかの記述が始まりました。これは,Windows Server 2008 が日本語版も含めて完成し,製造工程向けの出荷が開始されたことによると思われます。Windows Server 2008にも興味深い特徴がありますので,機会があればコメントしたいと考えています。

著者について
以前,ITproで「今週のSecurity Check [Windows編]」を執筆していただいた山下眞一郎氏に,情報漏えい対策に関する話題や動向を分かりやすく解説していただきます。(編集部より)