「Outlook Express」の脆弱性実証コードが公開に--米セキュリティ対策企業が注意呼びかけ

　ハッキングサイトがMicrosoft「Outlook Express」の脆弱性をつくサンプルコードをばらまいたことで、先週より、同製品の脆弱性に関係する攻撃が発生する可能性が高まっている。

　French Security Incident Response Teamが米国時間20日に発した警告によると、この攻撃では、電子メールプログラムOutlook Expressの特定のバージョンを利用するユーザーが、ハッカーによって運営されるニュースグループを閲覧した際に、完全な支配権が奪われる可能性があるという。

　もっとも、ユーザーが悪質なニュースグループを閲覧しなければ攻撃は発生しないことから、セキュリティ専門家らは大規模な被害が発生するおそれは低いだろうと分析している。また、セキュリティ企業iDefenseのラボディレクターMichael Suttonは、ばらまかれた実証コードにはいくつか問題があると指摘した。

　「ユーザー自身が行わなければならない作業が相当あるため、全体的な危険性は低くなっている」（Sutton）

　念のためiDefenseでは、Microsoftが同脆弱性の修復のため先々週リリースしたパッチを適用するよう、脆弱なマシンを利用しているユーザーに勧めている。この問題は、「Network News Transfer Protocol」と呼ばれるOutlookのニュースリーダープログラムのコンポーネントに起因するもの。

　Microsoftは先々週、自社のセキュリティサイトのなかで同パッチを提供すると発表し、「攻撃者が完全なユーザー権限を取得することで、プログラムをインストールしたり、データを改ざん／削除したり、新しいアカウントを作成したりするおそれがある」と警告した。同社はこの問題がはらむ危険性について、独自の評価基準における「緊急」に次いで深刻な「重要」な脆弱性だとしている。

　Microsoftの関係者は、同社は実証用コードの存在を把握しているが、これを利用した攻撃はまだ検知していないと述べている。また同関係者によると、Microsoftは事態の監視を続けており、ユーザーにはパッチの適用を促していくという。さらに同社は、何らかの攻撃を受けた場合は、MicrosoftおよびFBIに通報してほしいと呼びかけている。

　Microsoftの発表では、脆弱性が発見されたのは、Windows2000/XPおよびWindows Server 2003向けのバージョン5.5/6.0を含む、Outlook Expressの複数のバージョンだという。なお、Outlook Expressプログラムを起動しない場合でも、同攻撃の被害に遭う可能性があるという。