Microsoftは米国時間9日、同社のセキュリティサーバソフトで見つかった欠陥について警告を発した。攻撃者がこの欠陥を悪用すると、悪意あるコンテンツを信用できるものと見せかけることができてしまうという。
この脆弱性が影響するのは、Microsoftの Internet Security and Acceleration(ISA)Server 2000という製品だが、このソフトウェアにはファイアウォール、コンテンツフィルタリング、ウェブコンテンツのキャッシュなどの機能が含まれている。ISA Server 2000はスタンダロンおよび同社の「Small Business Server」パッケージの一部として販売されている。
この脆弱性は、Microsoft Proxy Server 2.0でも見つかっており、Microsoftは9日にこの脆弱性を修正するパッチをリリースした。なお、同社はこの脆弱性の深刻度を2番目に高い「重要」に分類している。
「ユーザーが、実際には悪質なインターネットコンテンツ(例:不正なウェブサイト)にアクセスしていながら、それを信用できるものだと信じてしまう可能性がある」と、Microsoftは最新の勧告のなかで述べている。
この欠陥はISAサーバのある機能に影響する。それは、ユーザーが頻繁に利用するサイトのコンテンツをキャッシュに保存し、素速くアクセスできるようにする機能だ。今回発見されたISAの脆弱性により、攻撃者が偽のフォームのような悪質なコンテンツをキャッシュに挿入し、それを銀行のウェブサイトのものに見せかけることが可能になる。
セキュリティ企業のSymantecは、ISAを導入している企業に対し、この欠陥がユーザーからの機密情報の収集に使われる可能性があるとの警告を出している。攻撃者は、悪意あるウェブサイトにユーザーをおびき寄せた後で、有効なドメインのものに見せかけた偽造フォームを作成できるからだ。
Symantecでは、この脅威に対する防御策として、知らないウェブサイトへのリンクをクリックしないようにアドバイスしている。
「フィッシング攻撃が相次ぐなか、この脆弱性がID情報収集のための新たなプラットフォームとなる可能性がある」と、Symantec Security Responseのシニアマネージャ、Oliver Friedrichsは声明のなかで述べている。
Microsoftは、9日に公開した月次パッチリリースの一部として、この警告を発した。今月明らかにされたのは、このISAの脆弱性だけだったが、これは大きな変化といえる。ちなみに先月は1度に20件以上の脆弱性が発表されていた。
Microsoftは同時に、発行されるパッチを前もって通知するサービスも開始している。これは、修正パッチが発行される前の週末、計画中のパッチに関する詳細情報を明らかにするというものだ。
Microsoftによると、この欠陥は「Microsoft ISA Server 2004」には影響を与えないという。また、ISA Server 2000とProxy Server 2.0について、同社はシステム管理者に対し、パッチをあてるか、感染したシステムのDNS(Domain Name System)をゼロに設定することで悪用を防ぐことができるとアドバイスしている。
この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス