【過去の「95/98その他パーソナル製品のセキュリティ情報」】


【99/08/23】「Microsoft ODBC ドライバに関する問題」の情報提供
 マイクロソフト株式会社の「Microsoft Security Advisor」にて、Microsoft Office 97 や Office 2000 のようなマイクロソフト製品で使用されている、Microsoft Jet データベース エンジン に、2 つのセキュリティ上の弱点が存在するという情報が99年8月23日付けで公開されています。

Microsoft ODBC ドライバに関する問題
(マイクロソフト:99/08/23)

 尚、日本語版 Office 97、Office 2000 でも利用可能な「Office 97、Office 2000 共用Microsoft Jet のアップデート モジュール」は、8月20日より Microsoft社のページで公開されています。また、日本語での説明を含めたアップデート モジュールは、9月上旬の公開予定とされています。

【99/08/22】Excel 97 セキュリティ修正プログラム 誤情報のお詫びと訂正

 8月19日掲載の情報で、Excel 97 セキュリティ修正プログラム を、【99/08/10】に紹介済み(MS99-030)「Patch Available for Office "ODBC Vulnerabilities" 」の日本語版パッチと掲載しましたが、実はそうではなく1999年5月に公開された(MS99-014)「Patch Available for Excel 97 Virus Warning Vulnerabilities」の日本語版パッチでした。

 早く修正して欲しいという願望のせいか?完全な思い込みでの間違いです。済みません。また、ご指摘を頂いたHIKARU様有難うございます。

 このWebページは、マイクロソフト等に特別なルートがある訳ではなく、完全に個人ペースで収集可能な情報/ノウハウで運営しておりますので、間違いがあればビシビシご指摘お願い致します。

【99/08/19】【訂正版】Excel 97 セキュリティ修正プログラム 公開(日本語版)
 マイクロソフト株式会社の「Microsoft Security Advisor」にて、マクロウィルスに対する警告の機能があるにも関わらず、悪意のあるクラッカーから自分のパソコン上で悪意のあるプログラムを警告メッセージ無しに実行されてしまう可能性があるセキュリティ問題の日本語版修正プログラムの情報が99年8月19日付けで公開されています。

Excel 97 セキュリティ修正プログラム
(マイクロソフト:99/08/19)
[XL97]Excel 97 セキュリティ修正プログラムについて
(Microsoft Technical Support:99/08/17)

 これは、1999年5月に公開された(MS99-014)「Patch Available for Excel 97 Virus Warning Vulnerabilities」の日本語版パッチです。

【99/08/10】Excel 97 の ODBC ドライバに問題点を発見
 マイクロソフト株式会社の「Microsoft Security Advisor」にて、電子メールに添付されたワークシートや Web サイトからリンクしているワークシートを開くことによって、ファイルを削除する等の悪影響を与える動作をする Excel 97 ワークシートが、悪意のあるプログラマによって作成することが可能なセキュリティ問題の情報が99年8月6日付けで正式公開されています。

Excel 97 の ODBC ドライバに問題点を発見

 尚、関連ニュースがあります。かなり深刻ですね。

Officeユーザーを悩ますエラー表示バグとセキュリティホール
(ZDNetニュース:99/08/06)
Office 97のバグへのパッチは準備中
(CNET Japan Tech News:99/08/05)
Office 97/Jet 3.51に新たなセキュリティホールの報告
(ZDNetニュース:99/08/02)
『Office 97』にセキュリティホール、侵入を可能に
(CNET Japan Tech News:99/07/30)

【99/07/23】Outlook 電子メール添付ファイル用セキュリティ アップデート 公開(日本語版)
 マイクロソフトから、 電子メール添付ファイルに対して Outlook 関連 のセキュリティによる保護機能を高めるためのセキュリティ アップデートモジュールを記載した「Outlook 2000, 98, 97 電子メール添付ファイル用セキュリティ アップデートの提供開始」(日本語バージョン用)が7月22日付けで公開されています。

 各製品のセキュリティ アップデートモジュールは、以下のドキュメントを確認する必要があります。

Outlook 2000 電子メール添付ファイル用セキュリティ アップデート
Outlook 98 電子メール添付ファイル用セキュリティ アップデート
Outlook 97 電子メール添付ファイル用セキュリティ アップデート

 但し、これらのパッチをインストールしても、添付ファイルがプログラムなどである場合、添付ファイルを開いたときに今までよりも明確な表現で警告が表示され、ディスクに保存してからでないとファイルを開けないというだけの「セキュリティ アップデートモジュール」です。

 その為、マイクロソフト自身が記載するように、「このパッチは、プログラムに潜んでいるウィルスが拡がるのを防ぐ補助手段」にしか過ぎません。

【99/05/08】速報! Office 97 ドキュメント識別番号問題対応モジュール 公開(日本語版)
 マイクロソフト株式会社の「Internet Explorer セキュリティ情報」にて、Word 97、Excel 97、PowerPoint 97 、 Office Binder 97 で作成したドキュメントに識別番号を勝手に埋め込んでしまう問題に対する情報が99年4月30日付けの最終更新で公開されています。

Office 97 識別番号修正プログラム *新規に作成する Office 97 ドキュメントに識別番号が挿入されなくなります

Office 97 識別番号削除ツール *作成済みの Office 97 ドキュメントから識別番号を取り除きます

 尚、Outlook 97、Outlook 98、Access 97、FrontPage 97 、 Publisher 97 は、ドキュメントに識別番号は埋め込まれません。

【99/04/19】速報! Forms 2.0 コントロール のセキュリティー・バグ関連情報
 マイクロソフト株式会社の[Microsoft Security Advisor](日本版)にて、「Microsoft Technical Support -サポート技術情報」に掲載されたセキュリティー・バグ関連情報が99年4月19日付けの最終更新で公開されています。

[OFF97] Forms 2.0 コントロール セキュリティ問題修正プログラム

 「Personal Forms 2.0 コントロール」を利用することにより、悪意のある Web ページや電子メールを介して、他のユーザーのクリップボード上にあるデータを読み込んだり、入手することが可能セキュリティ問題を修正するパッチです。

【99/04/08】速報! パーソナル Web サーバーのセキュリティー・バグ関連情報
 マイクロソフト株式会社の[Microsoft Security Advisor](日本版)にて、「Microsoft Technical Support -サポート技術情報」に掲載されたセキュリティー・バグ関連情報が99年4月6日付けの最終更新で公開されています。

W98:パーソナル Web サーバー利用時のセキュリティ問題について

 これは、Microsoft社から「Microsoft Security Bulletin (MS99-010)」「Patch Available for File Access Vulnerability in Personal Web Server」(英語バージョン用)として3月26日付け(現地時間)で公開されたものの日本語情報です。

 英語版用にリリースされているパッチは、日本語バージョンにはまだ用意されていません。

【99/03/19】速報! Excel 97 CALL 関数のセキュリティ問題に関するパッチ公開(日本語版)
 マイクロソフト株式会社から、この「Winセキュリティ虎の穴」で【98/12/11】に報告した、利用者が気づかないうちに悪意 のあるアプリケーションを稼働させられてしまう可能性のあるExcel 97のCALL 関数のセキュリティ・バクに関する「 Microsoft Excel 97 CALL 関数のセキュリティ問題について」が99年3月17日付けの最終更新で公開されています。

 ただ、「Excel 97 Service Release 2 (Office 97 Service Release 2)」の適用が前提条件です。また、このパッチを適用した場合、マクロからはCALL関数が利用出来ますが、ワークシートからはCALL関数が利用出来なくなります。

【99/03/08】速報! Windows 98のY2K問題を修正するプログラム 公開
 マイクロソフト株式会社から、この「Winセキュリティ虎の穴」で【98/12/09】にお知らせ済みの、予定の1月下旬出荷が遅れていたWindows 98のY2K問題を修正するプログラムがようやく提供されるWindows 98の西暦2000年問題を修正するプログラム 3月8日(月)に提供開始 (日本語バージョン用)が3月8日付けで公開されています。

 「Windows 98 システム関連」「Windows 98 添付ツール(アクセサリ)関連」「インターネットおよびLAN関連」「開発環境関連」「MS-DOSプロンプト用コマンド」に関する問題点が、今回の修正プログラムで修正されます。

 発生する問題は色々ありますね。決して安定しているとは言えないWindows 98へのサービスパックも早くリリースして欲しいです。

【99/01/28】速報! 「Access 97」の重大バグに対するパッチ 公開
 マイクロソフト株式会社から、「新着情報」にMS-OFFICE製品のパッチ情報が掲載される異例のケースとして「Access 97 で一定条件下でレコードに正しくデータが保存できない現象の修正モジュールダウンロードのご案内」が1月27日付けで公開されています。

 Access 97 において、フォーム上のレコードを変更したとき、変更したデータが別のレコードに保存される障害とその回避方法について記載されたレポートです。セキュリティ・バグではないのですが、重大な内容の為、敢えてご紹介します。

 今回は「Access 97」用パッチとして紹介されていますが、Microsoft Visual Basic等の他の「Microsoft Jet データベース エンジン」を使用するマイクロソフト製品にも影響するパッチだと思います。(あくまで個人的な見解です。ただ、「Microsoft Jet データベース エンジン」と「Accessでの特定の機能の利用」の組み合わせでないと、今回のバグの再現は難しいとの情報も頂いています。)

 尚、このバグは、去年の8月に発見され、米国で話題騒然となったものです。ちなみに、関連記事の一覧は以下の通りです。

「マイクロソフトのデータベースにデータを消すバグ」
(CNET Briefs Tech News:98/08/25)
「MS Accessにデータ記録ミスのバグ」
(ZDNetニュース:98/08/26)
「Accessの全バージョンでデータ・バグ」
(CNET Briefs Tech News:98/08/27)
「データアクセス・バグはJetにも影響」
(CNET Briefs Tech News:98/08/28)
「マイクロソフトの発表よりも多くのケースで発生、波紋広がるAccessのバグ問題 」
(Biztech News:98/09/22)

【99/01/24】再掲 「Word 97 マクロが含まれたテンプレート」のセキュリティー・バグ 公開
 Microsoft社から、「Word 97 マクロが含まれたテンプレート」に関するセキュリティー・バグに対するパッチが公開された「Microsoft Security Bulletin (MS99-002)」として「Patch Available for "Word 97 Template" Vulnerability」(英語バージョン用)が1月21日付け(現地時間)で公開されています。

 Word 97の標準の安全機能として、マクロを含む文書がオープンされようとすると、それをユーザに警告する機能があります。しかし、もしその文書がマクロをそれ自身で含まないが、マクロを含むテンプレートへリンクを張られているケースでは、警告は出されません。その為、悪意があるクラッカー(原文はハッカー)によって送られた電子メールに添付された「マクロを含むテンプレートへリンクを張られたWord文書」をオープンすれば、悪意があるクラッカーは、警告なしで悪意があるマクロコードを実行させさせることが可能です。

 併せて公開されたパッチ(英語版用)を適用すると、マクロを含むテンプレートにリンクを張られた文書を起動する前にも、ユーザは警告を受けるようになります。パッチ適用後も、利用者が自分の責任で判断してWord文書をオープンしなければいけないことには変わりありません。また、日本語製品用パッチの提供はありません。

 ちなみに、CNET Briefs Tech Newsの1月22日付けの関連翻訳記事「マイクロソフト、Office 97用パッチをアップロード 」があります。

【99/01/24】再掲 「Forms 2.0 ActiveX control」のセキュリティー・バグ 公開
 Microsoft社から、「Forms 2.0 ActiveX control」のセキュリティー・バグに対するパッチが公開された「Microsoft Security Bulletin (MS99-001)」として「Patch Available for exposure in Forms 2.0 TextBox Control that allows data to be read from user's Clipboard」(英語バージョン用)が1月21日付け(現地時間)で公開されています。

 「Forms 2.0 TextBox Control」は、Active Xコントロールのひとつで、「Visual Basic for Applications 5.0」を含むアプリケーションが影響を受けます。

 悪意があるクラッカー(原文はハッカー)は、「Forms 2.0 TextBox Control」のリード機能を利用し、ユーザが悪意があるクラッカーによってセットアップされたWebサイトを訪れるか、もしくは悪意があるクラッカーによって作成されたHTML電子メールをオープンすることにより、ユーザのクリップボードの上の情報を読み取ることが可能です。

 具体的には、「Microsoft Office 97」「Microsot Outlook 98」「Microsoft Project 98」「Microsoft Visual Basic 5.0」「Visual Basic for Applications 5.0 を含むいくつかのサードパーティの製品」をインストールしているパソコンが影響を受けます。その中でも、「\Windows\Systemフォルダ」の「Fm20.dllファイル」のファイル日付が1999年1月11日より以前であれば、パッチを適用する必要があります。

 しかし、今回提供されるパッチは英語環境のもので、日本語製品用パッチの提供はまだありません。

 ちなみに、CNET Briefs Tech Newsの1月22日付けの関連翻訳記事「マイクロソフト、Office 97用パッチをアップロード 」があります。

【99/01/06】「Windows 95/98ネットワークファイル共有」に関するセキュリティ・バグ?
 「L0pht Security Advisory」において、「Windows 95/98ネットワークファイル共有」に関するセキュリティ警告である「Sniffed authentications can be used to impersonate network users」が、1月5日付け(現地時間)で公開されています。

 Windows 95/98ネットワークファイル共有は、SMBチャレンジ/レスポンス認証で使われた暗号のチャレンジ(乱数)を再利用していることから発生するセキュリティ・ホールです。暗号のチャレンジが再利用されている為、攻撃者は、ネットワーク経由で調査された正式な認証を利用することにより、ネットワークファイル共有の利用者のフリをすることが、出来るだろうということです。それは、SMBチャレンジ/レスポンス認証を捕えるL0phtCrackの2.5のSMBパケットキャプチャツールにより、Windows 95/98がおおよそ15分の期間の間、同じチャレンジを出すことから判明したようです。

 危険がある所では、Windows 95/98をサーバにしたファイル共有は、行ってはいけないということですね。また、NTを使用していてもWindowsの世界のファイル共有は、お勧め出来ません。これは、unixのファイル共有であるNFSも一緒ですね。

【98/12/12】Excel 97の「CALL Vulnerability」問題に関する解説記事 公開
 CNET Briefs Tech Newsから、セキュリティ関連の警告レポート「Microsoft Security Bulletin (MS98-018)」「Patch Available for Excel "CALL Vulnerability"」に関する解説記事(12月11日付け)の翻訳版「Excelの問題にパッチ」が12月12日付けで公開されています。

 Excelを知らない私が書いた解説はやや怪しい(^^;)ので、こちらの記事を参照下さい。

【98/12/11】速報! Excel 97の「CALL Vulnerability」問題 公開
 Microsoft社から、セキュリティ関連の警告レポート「Microsoft Security Bulletin (MS98-018)」「Patch Available for Excel "CALL Vulnerability"」が12月10日付け(現地時間)で公開されています。

"CALL Vulnerability"と呼ばれる、ユーザへ警告なしで実行させられる「types of executables(実行可能なタイプ?)」を制限するパッチのようです。

 対象は、「Excel 97」 です。


 ”CALL”は、ワークシートがダイナミックリンクライブラリ(DLL)かコードリソースでプロシージャを呼ぶのを許すExcelの関数です。そして、Excelはワークシート関数を実行する前に、警告を生成しません。そして、もしこの方法で使えば、”CALL”はユーザへ警告なしで外部のDLLを呼ぶために使われ、攻撃者は、Excelスプレッドシートの中に”CALL”関数を固定し、そして、それを不注意なユーザに送ることによって、この攻撃を行うことが可能なようです。また、犠牲者がスプレッドシートをオープンした時か、別のイベントが起こった時でも影響を受けるように、攻撃者はコントロール可能なようです。
(この解説は、Excelを知らない私が書いていますので、的はずれの可能性もあります。)

 この問題に対する「Excel 97」のhotfixes(パッチ)が、英語版のみ公開されています。

【98/12/09】Windows 98の西暦2000年問題 日本語版修正プログラム 1999年1月下旬に提供!
 マイクロソフト株式会社から、米国Microsoft社のプレスリリースの翻訳として、Windows 98の西暦2000年問題に伴う日付が誤表示される問題を解決する修正プログラムを配布という情報Windows 98の西暦2000年問題に対応が、12月8日付けで公開されています。

 「日本においては、米国と同様の修正プログラムの日本語版を1999年1月下旬に提供します。」と記載されています。尚、日本語版Windows 98には、既にダウンロード可能となっている英語版の修正プログラムを適用してはいけません。

 西暦2000年を境にある限られた条件のもとでコンピュータを使用すると日付が誤って表示されるという問題が中心ですが、現在判明している問題点でも、11件存在します。ウ〜ム。

【98/09/16】『自称』BackOrifice除去ソフト「BoSniffer」や、「NetBus」に注意
 NTSecurity.netから、この「モバイル虎の穴」で【98/08/07】に報告した、遠隔地のパソコンを乗っ取るプログラム"BackOrifice(バック・オリフィス,通称:BO)"問題の続報「BoSniffer is Really a Trojan」が、8月31日付けで公開されています。

 現在、「"BackOrifice(バック・オリフィス,通称:BO)"伝染に伴う治療用」として広く配送されているプログラムである「BoSniffer.zip」は、実は「BO server」そのものだったとのことです。(ここで言う「BO server」とは、乗っ取られるパソコン側に不当にインストールされる機能です。)また、「BoSniffer.zip」とは違った名称でバラ撒かれている可能性もあります。

 全く、激しい話です。

 また、ISSが公開した「ISS Security Alert Advisory」の「Cult of the Dead Cow Back Orifice Backdoor」(紹介済み)の続報として、「Windows Backdoors Update」が、9月10日付けで公開されています。

 これによると、対象は、Windows 95、Windows 98のみであり、Windows NTは影響を受けなかった"BackOrifice(通称:BO)"に加え、Windows NTも影響を受ける「NetBus」("BackOrifice"と同等の機能?)と呼ばれるプログラムがインターネットで入手可能になっているようです。

 "BackOrifice(通称:BO)"の対策は、レジストリの「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices」に、自分が意図的にインストールしていないサービスが無いか?を探し、regedit(c:\windows\regedit.exe)で、不要なものを取り除きます(紹介済み)。また、UDPポートの「31337」を使用して情報の受け渡しをする為、UDPポートの利用状況を監視します。

 もし、『netstat -an | find "UDP"』というコマンドを入力して、『UDP 0.0.0.0:31337 *:*』のような結果が表示されれば、ポート31337でUDPサービスが使用されていることを、あらわしています。(必ずしも「31337」であるわけでは、ないようですが...)

 "BackOrifice(通称:BO)"に関する検出や除去に関するより詳しい情報は、「The Back Orifice "Backdoor" Program」にあります。

 一方、「NetBus」は、TCPポートの「12345」と「12346」を使用して情報の受け渡しをする為、TCPポートの利用状況を監視します。

 『netstat -an | find "12345"』というコマンドを入力しても発見出来ますし、「telnet」クライアントで、「localhost」にポート12345で接続して、'NetBus 1.53' や 'NetBus 1.60 x'とのプロンプトが出れば、「NetBus」が不当に仕掛けられています。除去方法は、「NetBus 1.5x removal」と、「NetBus 1.6 removal」にあります。

 尚、この"BackOrifice(通称:BO)"を作ったグループ(原文:A hacker group)『Cult of the Dead Cow(カルト・オブ・ザ・デッド・カウ:通称 cDc)』は、「Back Orifice Tシャツ」なんか作って喜んでるんで、イヤになっちゃいますね。

【98/08/28】メールが消えるバグを解消した「Becky! Internet Mail」新版登場
 窓の杜から、メールが消えるバグを解消した「Becky! Internet Mail」v1.24.14とv1.24.15をリリースしたという「Becky! Internet Mail」マイナーバージョンアップが8月25日付けで公開されています。

 「Becky! Internet Mail」は、私も愛用しているメーラーですが、v1.24.xでは、ドラッグ&ドロップによるアカウント間のメールの移動を行った直後に「巡回チェック」を実行すると、移動先アカウントの「受信箱」メールが全て消えてしまう致命的なバグがあり、そのバグを修正するマイナーバージョンアップのようです。

 ビックリして早速、私も最新版に入れ替えましたが、開発元の「有限会社リムアーツ」のWebページでは、特別広報されていません。なぜ?

【98/08/10】電子メールソフト「Eudora Pro」にも重大なセキュリティーホール
 QUALCOMM社から、電子メールソフト「Eudora Pro」に関するセキュリティ関連の警告レポート「Eudora Pro Security Alert」が公開されています。

 対象は、「Eudora Pro Email 4.0 for Windows」と「Eudora Pro Email 4.0.1 for Windows」です。最新のEudora Pro 4.1(「ベータ版入手可能」)、Eudora Light、4.0以前のEudora Proは対象外です。また、Mac版とWindows 3.1版も対象外です。

 このWebページで【98/07/29】に報告した、Microsoftの『Outlook 98』、『Outlook Express』や、Netscape CommunicationsのCommunicatorに含まれる電子メールソフトが影響を受けた「ファイルの添付に使用するMIME形式のヘッダーの長さをチェックしないバグを悪用して、電子メールソフトにバッファ・オーバーフローを起こさせ、クラッシュもしくは、任意のコードを走らせるアタック」には、影響を受けなかった「Eudora Pro」ですが、今回は違った内容のセキュリティ・ホールです。

 これは、対象の「Eudora Pro」のHTMLメール処理が可能な機能を悪用し、もしHTMLメール機能が有効な場合、メールの文中に添付ファイルや、悪意のあるWebページへの単純なリンクを埋め込んでおくだけで、任意の命令を実行させることも可能です。

 この問題に対する「Eudora Pro Email 4.0 for Windows」と「Eudora Pro Email 4.0.1 for Windows」パッチ(英語版のみ)は、「Eudora Pro Email v4.0 Updaters」「Eudora Pro for Windows 4.0 -> 4.0.2 Updater」です。

 もしこのパッチを当てていない状態で、このセキュリティ・ホールを利用した攻撃を受けた際にも、利用者はあらかじめ「Eudora Pro」のオプションで「Microsoft viewer」を無効にすることによって攻撃の回避は可能です。 (具体的には、日本語版の場合 [ツール]の[オプション]の中の[メッセージの表示]の[メッセージウィンドウ]内の[マイクロソフトのビューワを使用]のチェックを外す。)


 尚、CNET社の8月7日付けの関連翻訳記事「安全脅かす欠陥がEudoraで見つかる」や、ワイアード・ニュースの8月7日付けの関連翻訳記事「メールのリンクが悪意を誘う」があります。

【98/08/07】遠隔地のパソコンを乗っ取るプログラム"BackOrifice(バック・オリフィス)"問題
 Microsoft社から、セキュリティ関連の警告レポート「Microsoft Market Bulletin (MS98-010)」「Information on the "BackOrifice" Program」が8月4日付けの更新で公開されています。

 対象は、Windows 95、Windows 98のみであり、Windows NTは影響を受けません。

 ハッカー・グループ『the Cult of the Dead Cow』が1日に発表した"BackOrifice(バック・オリフィス)"は、悪用された場合、他のパソコンをネットワーク経由で遠隔地から操作したり、中身を閲覧したりすることを、その所有者に知られることなく可能にします。ユーザーがキーボードでタイプする全てを読むことも可能です。

 Microsoft社は、"BackOrifice(バック・オリフィス)"は、ユーザー自身が意図的にインストールしなければ組み込まれないから、安心だとレポートで説明していますが、この「モバイル虎の穴」で【98/07/29】に報告した、「ファイルの添付に使用するMIME形式のヘッダーの長さをチェックしないバグを悪用して、電子メールソフトにバッファ・オーバーフローを起こさせ、クラッシュもしくは、任意のコードを走らせるアタック」を利用すれば、任意の相手のパソコンにメールを送りつけるだけで、組み込み可能なはずという指摘もあります。

 また、ネットワーク経由以外にも、ローカルな環境下でもフロッピー経由で仕掛けられる可能性がある為、注意が必要です。ちなみに、ISSが公開した「ISS Security Alert Advisory」の「Cult of the Dead Cow Back Orifice Backdoor」に、"BackOrifice(バック・オリフィス)"が自分のパソコンに仕掛けられていないかを、判断する方法が解説されています。レジストリの「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices」に、自分が意図的にインストールしていないサービスが無いか?を探します。


 尚、ワイアード・ニュースの8月6日付けの関連翻訳記事「米マイクロソフト社、『バック・オリフィス』の脅威を否定」や、7月29日付けの関連翻訳記事「『バック・オリフィス』は頭痛の種?」があります。

【98/07/05】ナント!ハードディスクを強制フォーマットする新種ウイルス発見
 トレンドマイクロ株式会社から、なぜかニュースサイトではあまり話題になっていませんが、パソコンのハードディスクを強制フォーマットする新種のファイル感染型ウイルスの報告ハードディスクの全データを消去する新種ウイルス「PE_CIH」発見!が6月25日付けで公開されています。感染機種は、Windows95/98の動作するマシンです。

 このウイルスは、.EXE拡張子のついたPEファイル(Windows用32Bit実行ファイル)に上書きで感染するタイプのものです。.EXEファイルの中でも、NEタイプファイル (Windows用16Bit実行ファイル) や、DOS実行ファイル は対象外です。また、このウイルスはメモリ常駐するための技術にWindows 95 とWindows 98 で有効な「VxD プログラム技術」を使用しています。その為、Windows NT では、メモリに常駐できずウイルス感染の拡大や、データを破壊するといった活動は出来ないようです。


 トレンドマイクロ製品では、現在発見されているCIHシリーズのすべての亜種が発見可能なパターンファイル「376」及びウイルスバスター97、ウイルスバスターNT、ウイルスバスターサイトライセンスパック各種に新検索エンジン「v3.51」が提供されます。

 過去に色んなウイルスがありましたが、これほど「ウイルス対応商品」の拡販に役立つ(^^;)訴求力充分のウイルスは初めてです。う〜ん、さっそく準備せねば!

【98/05/28】号外! 3種類の「Denial of Service Attack(サービスが出来なくなる攻撃)」に対するWindows 95用パッチようやく公開(日本語版対応)
 マイクロソフト株式会社から、Microsoft Windows 95最新モジュールとして、3種類の「Denial of Service Attack(サービスが出来なくなる攻撃)」に対する修正モジュールである「TCP/IPドライバーのアップデート日本語対応版」が5月27日?付けで公開されています。対象は、Windows 95と、Windows 95 OSR1/2/2.1/2.5です。

 3種類の「Denial of Service Attack(サービスが出来なくなる攻撃)」とは、このモバイル虎の穴の姉妹(兄弟?)ページである「NTイントラ虎の穴」の【過去の「NTイントラ虎の穴」セキュリティ関連情報】でお知らせ済みのものばかりです。

 具体的には、障害内容と「NTイントラ虎の穴」で紹介したリンク、及び日本語の内容説明(現在は、Windows 95用のものが無いので、仕方なくNT版の説明です)は、以下の通りです。(障害発生の時系列順)

  「Out Of Band (OOB) データ受信時の問題」 NT版の内容説明(日本語)
  「無効な ICMP データグラムフラグメントによってハングアップ」 NT版の内容説明(日本語)
  「"Land Attack" により、Windows 95 の動作速度が遅くなる」 NT版の内容説明(日本語)

 ちなみに、有名な「Nuke」攻撃は、実は「Out Of Band (OOB) データ受信時の問題」を突いたものです。インターネット・サービス・プロバイダ「InfoBears」の企画/管理者という顔も持つ私が、テスト用に入手したある2種類の「Nuke」コマンドを使用して実際に実験した所、Windows 95 OSR2の私のパソコンは、この「TCP/IPドライバーのアップデート日本語対応版」を適用する前は、OSそのものはハングアップこそしませんが、ネットワークが使用不可になっていました。
 しかし、この「TCP/IPドライバーのアップデート日本語対応版」を適用した後は、「Nuke」攻撃を受けても全く影響が無く、平然としています。少なくとも私の環境では障害対応が有効であり、システム的な問題も発生していません。


 尚、これはインターネットに接続している時だけの問題ではありません。実際に某大手企業のシステム管理者の方から相談を受けた時も、社内ネットワークで社員間においてこの「Nuke」攻撃が発生していましたし、他にもかなり事例も多かったようです。

  注)「Nuke」攻撃を受けた場合、以下の様なエラーメッセージを表示する場合があります。
     例外 OE が VxD MSTCP(01) + 000041AE の 0028:(address) で発生しました。
     VxD NDIS(01) + 00000D7C の 0028:(address) からの呼び出しです。

 こうした他のマシンを「Nuke」攻撃することは犯罪行為ですので、絶対に行ってはいけません。(どこから「Nuke」攻撃が行われたかを、モニターするツールもあります)

 しかし、これで全てのWindows 95の「Denial of Service Attack」問題が解消するわけではなく、「Bonk」問題 (NT版の内容説明)も残っていますので、今後ともセキュリティ関連のウォッチが必要です。

【97/12/23】Windows 95「ネットワークパスワード漏洩」問題修正公開(日本語版対応)
 マイクロソフト株式会社からMicrosoft Windows 95が稼働しているコンピュータのネットワークパスワードが盗まれる問題(97年5月末公表)対応パッチの日本語版「パスワードセキュリティ強化のためのMicrosoft Windows 95アップデート」が公開されています。まず、この問題の特徴として注目しないといけないのは、コンピュータに物理的にアクセスする必要があり、ネットワークを経由してネットワークパスワードを不法に盗まれる訳では無いということです。しかし、ユーザーがネットワークにログオンした状態で、Windows 95を実行しているコンピュータを放置した場合、コンピュータのメモリを不法なプログラムによって走査することにより、そのユーザーのネットワークパスワードを取得されることが有り得ます。このパッチに頼らずとも、ちょっと席を外した際にも「パスワードによって保護されたスクリーンセーバーを使用する」等の自衛策は必須だと思います。

【97/06/21】「マイクロソフト オフィスセキュリティ」情報公開
 マイクロソフト株式会社からMicrosoft Word 6.0 (Windows 版および Macintosh 版) に対応したウィルス対策ツールもダウンロードが可能な「マイクロソフト オフィスセキュリティ情報」が公開されています。このページは、マイクロソフト オフィスのインターネットに関する様々なセキュリティ問題情報やマクロ ウィルス情報が掲載されており、必見です。

【97/06/16】「マイクロソフト パワーポイントセキュリティ」情報公開
 マイクロソフト株式会社からPowerPoint 97 for the Windowsのセキュリティ機能が強化される「マイクロソフト パワーポイントのファイルを表示するときに発生する可能性のある、セキュリティ問題を解決するための修正プログラム」が公開されています。このアップデート プログラムをセットアップすると、プレゼンテーション内から MS-DOS やWindows のプログラムが起動されるときに、常に警告メッセージが表示されるようになります。PowerPoint 95 for the Windowsとインターネット エクスプローラを使用している場合には、【97/05/20】に紹介済の「PowerPoint/IE セキュリティ情報」を参照下さい。

【97/05/20】「マイクロソフト パワーポイントセキュリティ」情報公開
 マイクロソフト株式会社からInternet Explorer上でPowerPoint のファイルを表示するときに発生する可能性のある、セキュリティ問題を解決するための修正プログラムの提供「PowerPoint/IE セキュリティ情報」が公開されています。PowerPointには、PowerPointのファイルから他のプログラムを実行できる機能があり、その機能を悪用されてしまうと、ユーザーへの警告がないままファイルが実行され、結果的に知らないうちにコンピュータが操作されてしまう可能性があるとのことです。「ユーザーへの警告が表示されない」というのが、一番恐いですね。

【97/04/28】日経BP社からShockwaveのセキュリティ問題「Shockwaveにもセキュリティ・ホールが見つかる」が公開されています。尚、英語版の最新版( V13.0)で、解決されています。


【Winセキュリティ虎の穴】へ戻る


このページに関するご意見ご感想は山下 眞一郎(E-mail:yama@bears.ad.jp)までどうぞ。

All Rights Reserved, Copyright Fujitsu Minami-Kyusyu Systems Engineering Limited 1996.