“Windows Update”

　マイクロソフト（株）は3日、改ざんされたWebサイトをIEで閲覧しただけで、トロイの木馬プログラムがパソコンにインストールされてしまう脆弱性がIEに存在すると公表し、Windows NT 4.0/2000/XP/Server 20003用の修正プログラムを公開した。現在、同社Webサイト、または“Windows Update”機能を利用して、修正プログラムを無償でダウンロードできる。

　今回報告された脆弱性は、修正プログラム“MS04-011”を適用していないWindows 2000上で稼働するWebサーバープログラム「IIS」v5.0が、クラックされたことが原因で発生する。クラッキングの内容は、Webサーバー上に置かれたWebページのフッター部分に悪意あるJavaScriptが追記されるというもの。

　改ざんされたWebページにIEでアクセスすると、そのJavaScriptによりトロイの木馬プログラム“Download.Ject”がパソコンに自動でインストールされてしまうという。これは、ActiveXのコンポーネント“ADODB.screen”に存在する脆弱性をついたもので、トロイの木馬プログラムはユーザーのキー入力を記録し、その内容を外部へ送信するため、個人情報漏洩につながってしまう。

　今回公開された修正プログラムは、脆弱性そのものを修正するわけではなく、Windowsの設定を変更するもの。修正プログラムを適用すれば、“ADODB.screen”がハードディスクへデータを書き込むことを禁止できるため、トロイの木馬プログラムがインストールされなくなるという。

　また、本修正プログラムを使わずに直接レジストリを編集し、Windowsの設定を変更する方法も同社サイト上で紹介されている。なお、現在テスト段階のWindows XP用アップデートプログラム「Windows XP Service Pack 2 Release Candidate 2」では、本脆弱性の影響は受けないとのこと。

□Download.Ject に関する情報
http://www.microsoft.com/japan/security/incident/download_ject.mspx
□Internet Explorer で ADODB.Stream オブジェクトを無効にする方法
http://www.microsoft.com/japan/security/incident/adostream.mspx

（中井 浩晶）