Microsoft Exchangeに重大なバグ--メールアカウントが公開される危険性

　米MicrosoftのExchange Server 2003に重大な欠陥の可能性が見つかり、同社は現在調査を行なっている。Exchange Server 2003は、Office System 2003の一部としてわずか1カ月前に発売されたばかりだ。

　このバグは、ExchangeにあるOutlook Web Access（OWA）というコンポーネントに影響する。OWAは、ユーザーがウェブブラウザから自分の受信トレイやフォルダにアクセスできるようにするコンポーネントだ。

　今月、NTBugtraqセキュリティメーリングリストにこのバグを報告したMatthew Johnsonは、このバグにより、ユーザーが自分のウェブベースのメールボックスにログインすると、たまに他人のアカウントにフルアクセス権限でアクセスできてしまうことがある、と述べている。Johnsonは投資家やファンドマネジャーにツールを販売している米国企業で、ネットワーク管理者を務めている。

　「これは大型のセキュリティ欠陥のようだ。我々はこの問題のため、OWAを無期限にシャットダウンしなければならなかった」（Johnson）

　Microsoftは現在、この問題を調査中だとしており、この欠陥はKerberos認証機能がオフになっている場合にのみ生じる模様だと述べている。Kerberosは、Microsoftがサービス要求の認証に使用している方法で、マサチューセッツ工科大学で開発されたものだ。同社はさしあたり、Kerberos認証機能をデフォルト設定のまま、オンにしておくよう顧客に求めている。同社は調査終了後、パッチもしくは追加情報を発表する可能性がある。

　しかし、Johnsonの会社はExchange Serverのデフォルト設定を変更していないので、Kerberosは使用しているはずであるため、Microsoftが最初に行なった分析は間違っているようだ、とJohnsonは言う。Johnsonは2カ月前にこのバグをMicrosoftに報告し、現在Microsoftはパッチのテスト中だと言う。

　Microsoftに追加のコメントを求めたが返答は得られなかった。

　旧版のOWAも、同様のセキュリティ問題に悩まされたことがある。同社は2001年に、Exchange 5.5および2000のOWA機能用パッチをリリースしたが、このパッチ自体が多くのサーバに負荷をかけて停滞させてしまったため、オンラインから引っ込められてしまった。この後に出た2番目のパッチにも、破滅的なバグが含まれていた。

　10日ほど前、ハーバード大学3年生で、コンサルティング会社米Think Computer社長も務めるAaron Greenspanは、Exchange 5.5と2000が、スパム業者が匿名電子メールを送る際に悪用される恐れがあると結論付ける白書を発行している。