WindowsのWi-Fi脆弱性、修正パッチのリリースはしばらく先か

　Microsoftは、Windows XPのWi-Fi機能にセキュリティ脆弱性があることを認めた。だがこの脆弱性を修正するパッチが出るまでに、長ければ18カ月かかる可能性がある。

　この脆弱性は、接続できるWi-Fiネットワークを自動的に探すWindowsの機能のなかに存在するもので、Mark Lovelessというセキュリティ研究者が米国時間14日に、ハッカーのカンファレンス「ShmooCon」でその存在を公にした。Lovelessは、ハッカーがこの脆弱性を悪用して被害者のラップトップ内にあるファイルにアクセスするおそれがあると述べていた。

　Microsoftは米国時間18日、この申し立てに関する調査を完了し、脆弱なWindowsシステムが影響を受ける可能性があることがわかったことを明らかにした。しかし同社には、性急に修正パッチをリリースする意向はないという。

　「この機能の設計を考えると、そのデフォルトの動作を変更するには、今後公開するService PackもしくはUpdate Rollupで対応していくのが最も適切だと考えられる」とMicrosoftの声明のなかで述べている。

　Microsoftは米国時間17日に、Windows XP向けの次期Service Packとなる「XP SP3」を2007年後半以降に公開する予定であることを明らかにした。Service Packはパッチや新機能を1つにまとめたもので、一方Update Rollupはすでにリリースされたパッチを集めたものになるのが一般的だ。Update Rollupは新たな機能を含む場合もあるが、Service Packと比べると先進機能が限られている場合が多い。

　LovelessがShmooConの講演で行った説明によると、Windows XP/2000が稼働するPCは、起動後自動的に無線ネットワークへの接続を試みるという。そして、無線接続を確立できない場合は、ローカルアドレスへのアドホック接続が行われる。ここでコンピュータはIPアドレスを取得し、WindowsはこのIPアドレスと、最後に接続した無線ネットワークのSSIDを関連づける。

　次にコンピュータは、このSSIDをブロードキャストし、近くにあるほかのコンピュータへ接続しようと試みる。このようなかたちでブロードキャスト送信を行うコンピュータの存在を攻撃者が把握し、同じSSIDを使ってネットワークコネクションをつくり出すと危険が生じる。ユーザー側のPCと攻撃者のマシンとが通信可能な状態になれば、攻撃者が標的とするPC内のファイルにアクセスできるようになってしまうおそれがある。

　セキュリティ専門家らが米国時間16日に発表したところによると、WindowsにService Pack 2を適用し、パーソナルファイヤウォールを有効にしていれば、ラップトップを利用しているユーザーでもこの攻撃の被害に遭う危険性は低いという。

　Microsoftは18日に、顧客に対してファイヤウォールを有効にし、ソフトウェアアップデートを適用し、またウイルス対策ソフトウェアを導入することを進める勧告を公開した。また、自分のPCがこの影響を受けた疑いのある顧客は、Microsoft Product Support Servicesのウェブサイトから同社に連絡をとることが可能だ。