<前の日記(2005年08月01日) 次の日記(2005年08月03日)> 最新 編集

高木浩光@自宅の日記

目次 はじめに 連絡先:blog@takagi-hiromitsu.jp
訪問者数 本日: 3486   昨日: 5551

2005年08月02日

ActiveXをやめてセキュリティを後退させてしまったWebUD

4月のJVN#A7DA6818 「WebUD における任意のプログラムが実行される脆弱性」は、7月に 発表されたIPAの定例発表資料の以下の記述によると、ベンダー自身によ る届出だったそうだ。

≪「WebUD」における任意のプログラムが実行される脆弱性≫(項番4)は、製品開発者自身から脆弱性およびその対策情報の連絡を受けたものです。

なるほど、対処方法などの説明がずいぶん出来栄えよいなと思った(たとえば 「『信頼された発行元』から削除」の手順を忘れなかったことなど) *1のだったが、そういうことだったのか。 当時は、asahi.com などでは一旦ダウンロードを中止していた。

その中止されたダウンロードが7月になって再開された。

現在の配布ページを見に行ってみると、「WebUDsetup.exe」というインストーラ プログラムの配布という形式になっている。 以前は署名済みActiveXコントロールによる自動インストールだったはずだが、 それをやめて、.exe ファイルの配布という方式に変わったようだ。

これは、「ActiveXは危ない」という認識からだろうか……?

ところが、7月から配布されている「WebUDsetup.exe」にはデジタル署名がない。

「インストール手順」の説明にも書かれていないが、 これを Windows XP SP2 の Internet Explorerでダウンロードして WebUDsetup.exe をダブルクリックすると、図1の警告が現れるはずだ。

図1: WebUDsetup.exeをIEでダウンロードしてダブル クリックした様子

アイコンが赤く「×」になっており、「発行元を検証できる有効なデジタル 署名がありません」とある。

ActiceXコントロールの場合には、一部の事業者が、未署名のものを配布して、 閲覧者に危ない設定(未署名のActiveXコントロールを有効にする)に変更さ せようとしたことがあったが、それは稀であり、それがよくないことだという のは誰でも理解できるところだろう。

しかし、.exe ファイルをダウンロードさせてインストールさせる場合には、 デジタル署名をしない事業者がかなり多い。

未署名のActiceXコントロールを配布してしまったところは、何らかの理由で 証明書を取得できなかった(しようとしなかった)ためだろう。証明書を買う お金がないとか、証明書を買うための社内手続きが整備できていないとか。

だが、以前のWebUDには既に「FUJITSU LIMITED」のデジタル署名が施されてい たのであり、証明書は手元にあるはずではないか。署名しない理由がない。

実行ファイルの改竄攻撃(通信路上での改竄や、配布元コンテンツの改竄) に対する安全性という点では、WebUDは、理由もなくセキュリティレベルを後 退させてしまったことになる。

ちなみに、もしデジタル署名された .exe ファイルであればどうかというと、 ユーザがWindows XPの SP2を使用していて、かつ、ダウンロードに InternetExplorerを使うという前提が成立するならば、ActiceXコントロール による配布より安全性は高まったといえる。ただし、その前提が成り立たない 場合には、ダブルクリックしたときに図1の警告が出ないので、ダウンロード した .exe ファイルのデジタル署名をユーザが確認しないで起動してしまう可 能性が高く、改竄攻撃に対してという意味では、むしろActiceXコントロール の方が安全だといえる。

どんなにセキュリティ機能を追加してもそれを設定で殺させる虫が湧いてくる

スパイウェアがActiveXコントロールの形で配布されるという現実に対して、 Microsoftがその危険性を認め、改善として打ち出した回答が、Windows XP SP2からセキュリティ設定に追加された「ActiveXコントロールに対して自動的 にダイアログを表示」という設定項目だ。

この項目はデフォルトで「無効にする」に設定されており、「無効にする」の ときに安全機能が働く。「無効にする」にすると機能が働くという、ひねくれ た命名になっているので、ここで混乱してはいけない*2

この項目が「無効にする」になっていれば、署名済みActiveXコントロールを インストールさせる画面にアクセスしたとき、図2のように、画面上部の黄色 い部分(「情報バー」と呼ばれる)が現れるようになっている。

図2: ActiveXコントロールをインストールさせるページで「情報バー」が現れた様子

ここには次のなどように書かれている。

以前のサイトには*3、 次の ActiveX コントロールが必要な可能性があります: 'Microsoft Corporation' からの 'Office Update'。インストールするには、 ここをクリックしてください...

ここで言われたとおりにクリックすると、図3のメニューが現れる。

図3: 情報バーをクリックすると現れるメニュー

ここで、「ActiveXコントロールのインストール」を選ぶと、図4の確認画面が 現れる。

図4: 署名済みActiveXコントロールの確認警告

この図4の「セキュリティの警告」のダイアログウィンドウは、Windows XP SP2 で初めて目にするデザインのものになっているが、役割や機能は、 Windows 98のころからWindows XP SP1 までに存在していて見慣れてきた図5の ものに相当する。セキュリティ設定で「署名済みActiveXコントロールのダウ ンロード」を「ダイアログを表示」とするときの、「ダイアログ」とはこれら のことだ。

図5: 旧来の確認警告

SP2では、図3のステップと図4のステップがあるため、インストールしたい場 面では、2つの「インストール」というボタンをそれぞれ押さないといけなく なった。これを「単なる二度手間じゃないか」と考えるのは早計である。

図4(や図5)のウィンドウはダイアログウィンドウであるため、いずれかのボ タンを押すまで、他の作業が続行できなくなる。つまり、Webページの閲覧を 続けるとか、戻るボタンを押すだとか、別のページへ移動するということがで きない。それに対し、図2の「情報バー」では、表示されていてもそのまま作 業を続行できる。危ないサイトだと感じたら、そのまま別のページへ移動して 立ち去ることができる。

悪意あるActiveXコントロールを用いたスパイウェア等の攻撃では、図5のダイ アログウィンドウを繰り返し表示させるというものがあった。つまり、「いい え」ボタンを押しても、また同じダイアログが現れ、「いいえ」を押しても押 しても止まらないという攻撃だった。ひとたび悪意あるWebページを表示して しまうと、その罠から容易には抜けられず、手が滑って「はい」を押してしま いかねないというものだった。

それが、SP2で導入された「情報バー」によって、そうした攻撃は回避される ようになった。なぜなら、罠ページにアクセスしただけでは攻撃は発動せず、 閲覧者が自分の意思でメニューを表示させて「ActiveXコントロールのインス トール」を選ばない限り、その攻撃は開始されない。

このように、この「情報バー」は、有効なセキュリティ向上効果をもたらして いる。ようするに、ようやくMicrosoftが、ActiveXコントロールインストール 機能のユーザインターフェイスをまともなものに改善することができたものだ。

ところがである。早くもこの機能を殺す設定をユーザに指示する輩が登場して きているのである。「ActiveXコントロールに対して自動的にダイアログを表 示」を「有効にする」に設定変更するということは、「自動的にダイアログを 表示」することになる、つまり、Windows XP SP1以前と同じ動作に逆戻りになっ てしまう。

  • 徳島県 電子申請システム, Windows XP Service Pack 2をご利用の場合

    お使いのパソコンのOSがWindows XP SP2(Service Pack 2)の場合、以下の設定を行ってください。

    (5)(4)の操作後、画面をスクロールさせ「アクティブXコント ロールに対して自動的にダイアログを表示」項目の「有効にする」にチェック をいれます。

    なぜそんな設定が必要なのか?

  • 福島県 市町村共同電子申請システム, Windows XP SP2をお使いの方へ

    (略)そのためシステムをご利用いただくためには、

    • ポップアップブロックを無効にする
    • 「ファイルのダウンロード時に自動的にダイアログを表示」を有効にする
    • 「ActiveXコントロールに対して自動的にダイアログを表示」を有効にする
    必要があります。下記の手順にしたがって、利用されるパソコンの 設定を行ってください。

    (略)

    「ActiveXコントロールとプラグイン」の設定に
    「ActiveXコントロールに対して自動的にダイアログを表示」
    があります。
    「有効にする」
    にチェックをします。

    おまえは本当にその設定が必要なものだと確認したのか? と。

  • 富山県電子入札システム, FAQ(よくある質問)

    A5 使用するパソコンのOSがwindowsXPの場合、設定変更が必要だと聞きま したが、どうすればよいのですか?

    WindowsXP SP2(ServicePack2)でインターネットエクスプローラを利用してい らっしゃる場合は、電子申請、電子入札に際しては、以下の設定をお願いしま す。

    (2)セキュリティ設定

    (エ)[ActiveXコントロールに対して自動的にダイアログを表示]を「有効 にする」に設定します。

    そんな質問が本当に「よくある質問」なのか?

  • 横浜市 電子申請サービス, WindowsXP Service Pack2の設定

    「ActiveXコントロールに対して自動的にダイアログを表示」を 「有効にする」にチェックをします。

    どこからそのフレーズをコピーしてきたんだ?

  • Yahoo! JAPAN Chat, 「Java」「JavaScript」「ActiveX」を有効にするには(Java版 ・DHTML版の場合)

    (2) [ActiveXコントロールとプラグイン]項目の[ActiveXコントロールとプラ グインの実行]、[ActiveXコントロールに対して自動的にダイアログ を表示]、[スクリプトを実行しても安全だとマークされている ActiveXコントロールの初期化とスクリプトの実行]で、それぞれ[有効にする] にチェックを入れます

    なんでもかんでもぜーんぶとりあえず「有効にする」にしとけばいいと?

  • UFJ銀行, Windows XP Service Pack2をインストールされたお客さまへ

    2004年9月2日Microsoft社より提供開始された「Windows XP Service Pack2」 のセキュリティ強化機能の中にActiveX コントロール (*)のインストールの 抑制やポップアップのブロック、自動ダウンロードを一時的に停止させるといっ た機能が追加されています。

    「Windows XP Service Pack2」が適用されたパソコンでMicrosoft Internet Explorerのセキュリティの設定やポップアップフィルタレベルの設定内容によっ ては、U-LINE Web の一部機能が動作しない事象が発生しますので 下記内容をご確認のうえ、ご利用いただきますようお願いいたします。

    (略)

    「セキュリティの設定」ウィンドウの「設定(S)」の中から「ActiveX コント ロールに対して自動的にダイアログを表示」を「有効にする」に設定します

ここに挙がった人たちは先進的な人たちだ。まだこれを書いているところは少 ないようだ。

UFJ銀行が言うには、この設定をしないと「一部機能が動作しない事象が発生 します」というのだが、それは事実無根だろう。なぜなら、図2のところで、 情報バーをクリックしてメニューを出し、「ActiveXコントロールのインストー ル」を選べば、ちゃんとインストールできるのだから。

これを書いた人たちは、黄色い情報バーに書かれている「インストー ルするには、ここをクリックしてください」という文章が目に入ら ないのか? 最初の1行を読んだところでもう脳が固まってしまったのというか?

こういう人たちが居なくならない限り、どうやっても安全にはならない。

はっきり言う。あなた方はもうこの仕事をしないでくれないか。何も書くな。

まだ「先進的」でない他の人たちにも言う。こういうのを真似しようとするな。 「サイトを立ち上げたらとりあえず、必要な設定方法を書かないとね」などと いった愚かな習慣を忘れろ。セキュリティの設定について何も書くな。何も書 く必要がない。それが正解だ。書く必要があるような状況の方が誤っているの だ。書けば害になるだけだ。既に書いたものがあるなら全部消してくれ。「間 違ってました」と書かなくてもいいから、とにかく消せ。

*1 「不具合」と称していた問題を除いて。

*2 どうしてこう、 Microsoftはセンスのない名前付けをするのだろうかという話は、もはや口に する気さえしない。

*3 「以前のサイトには」って……、あいもかわらず マイクロソフトの翻訳は……本当に人が翻訳してるのかと疑いたくなる。 いっそ「ここにかちりと鳴らしなさい」にしたらどうか。

本日のTrackBacks(全100件) [TrackBack URL: http://takagi-hiromitsu.jp/diary/tb.rb/20050802]

登 大遊@筑波大学情報学類の SoftEther VPN 日記で欠陥ソフトが話題...

検索

<前の日記(2005年08月01日) 次の日記(2005年08月03日)> 最新 編集

最近のタイトル

2016年12月04日

2016年11月29日

2016年11月23日

2016年11月05日

2016年10月25日

2016年10月10日

2016年08月23日

2016年07月23日

2016年07月16日

2016年07月02日

2016年06月12日

2016年06月03日

2016年04月23日

2016年04月06日

2016年03月27日

2016年03月14日

2016年03月06日

2016年02月24日

2016年02月20日

2016年02月11日

2016年02月05日

2016年01月31日

2015年12月12日

2015年12月06日

2015年11月23日

2015年11月21日

2015年11月07日

2015年10月20日

2015年07月02日

2015年06月14日

2015年03月15日

2015年03月10日

2015年03月08日

2015年01月05日

2014年12月27日

2014年11月12日

2014年09月07日

2014年07月18日

2014年04月23日

2014年04月22日

2000|01|
2003|05|06|07|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|02|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|08|09|10|11|12|
2009|01|02|03|05|06|07|08|09|10|11|12|
2010|01|02|03|04|05|06|07|08|09|10|11|12|
2011|01|02|03|05|06|07|08|09|10|11|12|
2012|02|03|04|05|06|07|08|09|
2013|01|02|03|04|05|06|07|
2014|01|04|07|09|11|12|
2015|01|03|06|07|10|11|12|
2016|01|02|03|04|06|07|08|10|11|12|
<前の日記(2005年08月01日) 次の日記(2005年08月03日)> 最新 編集