■ ActiveXをやめてセキュリティを後退させてしまったWebUD
4月のJVN#A7DA6818
﹁WebUD における任意のプログラムが実行される脆弱性﹂は、7月に
発表されたIPAの定例発表資料の以下の記述によると、ベンダー自身によ
る届出だったそうだ。
≪﹁WebUD﹂における任意のプログラムが実行される脆弱性≫︵項番4︶は、製品開発者自身から脆弱性およびその対策情報の連絡を受けたものです。
なるほど、対処方法などの説明がずいぶん出来栄えよいなと思った︵たとえば
﹁﹃信頼された発行元﹄から削除﹂の手順を忘れなかったことなど︶
のだったが、そういうことだったのか。
当時は、asahi.com などでは一旦ダウンロードを中止していた。
その中止されたダウンロードが7月になって再開された。
●︿WebUD﹀ダウンロード再開のお知らせ, 朝日新聞社から, 2005年7月4日
現在の配布ページを見に行ってみると、﹁WebUDsetup.exe﹂というインストーラ
プログラムの配布という形式になっている。
以前は署名済みActiveXコントロールによる自動インストールだったはずだが、
それをやめて、.exe ファイルの配布という方式に変わったようだ。
これは、﹁ActiveXは危ない﹂という認識からだろうか……?
ところが、7月から配布されている﹁WebUDsetup.exe﹂にはデジタル署名がない。
﹁インストール手順﹂の説明にも書かれていないが、
これを Windows XP SP2 の Internet Explorerでダウンロードして
WebUDsetup.exe をダブルクリックすると、図1の警告が現れるはずだ。
アイコンが赤く﹁×﹂になっており、﹁発行元を検証できる有効なデジタル
署名がありません﹂とある。
ActiceXコントロールの場合には、一部の事業者が、未署名のものを配布して、
閲覧者に危ない設定︵未署名のActiveXコントロールを有効にする︶に変更さ
せようとしたことがあったが、それは稀であり、それがよくないことだという
のは誰でも理解できるところだろう。
しかし、.exe ファイルをダウンロードさせてインストールさせる場合には、
デジタル署名をしない事業者がかなり多い。
未署名のActiceXコントロールを配布してしまったところは、何らかの理由で
証明書を取得できなかった︵しようとしなかった︶ためだろう。証明書を買う
お金がないとか、証明書を買うための社内手続きが整備できていないとか。
だが、以前のWebUDには既に﹁FUJITSU LIMITED﹂のデジタル署名が施されてい
たのであり、証明書は手元にあるはずではないか。署名しない理由がない。
実行ファイルの改竄攻撃︵通信路上での改竄や、配布元コンテンツの改竄︶
に対する安全性という点では、WebUDは、理由もなくセキュリティレベルを後
退させてしまったことになる。
ちなみに、もしデジタル署名された .exe ファイルであればどうかというと、
ユーザがWindows XPの SP2を使用していて、かつ、ダウンロードに
InternetExplorerを使うという前提が成立するならば、ActiceXコントロール
による配布より安全性は高まったといえる。ただし、その前提が成り立たない
場合には、ダブルクリックしたときに図1の警告が出ないので、ダウンロード
した .exe ファイルのデジタル署名をユーザが確認しないで起動してしまう可
能性が高く、改竄攻撃に対してという意味では、むしろActiceXコントロール
の方が安全だといえる。
■ どんなにセキュリティ機能を追加してもそれを設定で殺させる虫が湧いてくる
スパイウェアがActiveXコントロールの形で配布されるという現実に対して、
Microsoftがその危険性を認め、改善として打ち出した回答が、Windows XP
SP2からセキュリティ設定に追加された「ActiveXコントロールに対して自動的
にダイアログを表示」という設定項目だ。
この項目はデフォルトで「無効にする」に設定されており、「無効にする」の
ときに安全機能が働く。「無効にする」にすると機能が働くという、ひねくれ
た命名になっているので、ここで混乱してはいけない。
この項目が「無効にする」になっていれば、署名済みActiveXコントロールを
インストールさせる画面にアクセスしたとき、図2のように、画面上部の黄色
い部分(「情報バー」と呼ばれる)が現れるようになっている。
ここには次のなどように書かれている。
以前のサイトには、
次の ActiveX コントロールが必要な可能性があります:
'Microsoft Corporation' からの 'Office Update'。インストールするには、
ここをクリックしてください...
ここで言われたとおりにクリックすると、図3のメニューが現れる。
ここで、「ActiveXコントロールのインストール」を選ぶと、図4の確認画面が
現れる。
この図4の「セキュリティの警告」のダイアログウィンドウは、Windows XP
SP2 で初めて目にするデザインのものになっているが、役割や機能は、
Windows 98のころからWindows XP SP1 までに存在していて見慣れてきた図5の
ものに相当する。セキュリティ設定で「署名済みActiveXコントロールのダウ
ンロード」を「ダイアログを表示」とするときの、「ダイアログ」とはこれら
のことだ。
SP2では、図3のステップと図4のステップがあるため、インストールしたい場
面では、2つの﹁インストール﹂というボタンをそれぞれ押さないといけなく
なった。これを﹁単なる二度手間じゃないか﹂と考えるのは早計である。
図4︵や図5︶のウィンドウはダイアログウィンドウであるため、いずれかのボ
タンを押すまで、他の作業が続行できなくなる。つまり、Webページの閲覧を
続けるとか、戻るボタンを押すだとか、別のページへ移動するということがで
きない。それに対し、図2の﹁情報バー﹂では、表示されていてもそのまま作
業を続行できる。危ないサイトだと感じたら、そのまま別のページへ移動して
立ち去ることができる。
悪意あるActiveXコントロールを用いたスパイウェア等の攻撃では、図5のダイ
アログウィンドウを繰り返し表示させるというものがあった。つまり、﹁いい
え﹂ボタンを押しても、また同じダイアログが現れ、﹁いいえ﹂を押しても押
しても止まらないという攻撃だった。ひとたび悪意あるWebページを表示して
しまうと、その罠から容易には抜けられず、手が滑って﹁はい﹂を押してしま
いかねないというものだった。
それが、SP2で導入された﹁情報バー﹂によって、そうした攻撃は回避される
ようになった。なぜなら、罠ページにアクセスしただけでは攻撃は発動せず、
閲覧者が自分の意思でメニューを表示させて﹁ActiveXコントロールのインス
トール﹂を選ばない限り、その攻撃は開始されない。
このように、この﹁情報バー﹂は、有効なセキュリティ向上効果をもたらして
いる。ようするに、ようやくMicrosoftが、ActiveXコントロールインストール
機能のユーザインターフェイスをまともなものに改善することができたものだ。
ところがである。早くもこの機能を殺す設定をユーザに指示する輩が登場して
きているのである。﹁ActiveXコントロールに対して自動的にダイアログを表
示﹂を﹁有効にする﹂に設定変更するということは、﹁自動的にダイアログを
表示﹂することになる、つまり、Windows XP SP1以前と同じ動作に逆戻りになっ
てしまう。
●徳島県 電子申請システム, Windows XP Service Pack 2をご利用の場合
お使いのパソコンのOSがWindows XP SP2︵Service Pack 2︶の場合、以下の設定を行ってください。
(5)(4)の操作後、画面をスクロールさせ「アクティブXコント
ロールに対して自動的にダイアログを表示」項目の「有効にする」にチェック
をいれます。
なぜそんな設定が必要なのか?
・福島県 市町村共同電子申請システム, Windows XP SP2をお使いの方へ
︵略︶そのためシステムをご利用いただくためには、
●ポップアップブロックを無効にする
●﹁ファイルのダウンロード時に自動的にダイアログを表示﹂を有効にする
●﹁ActiveXコントロールに対して自動的にダイアログを表示﹂を有効にする
必要があります。下記の手順にしたがって、利用されるパソコンの
設定を行ってください。
︵略︶
「ActiveXコントロールとプラグイン」の設定に
・「ActiveXコントロールに対して自動的にダイアログを表示」
があります。
・「有効にする」
にチェックをします。
おまえは本当にその設定が必要なものだと確認したのか? と。
・
富山県電子入札システム, FAQ︵よくある質問︶
A5 使用するパソコンのOSがwindowsXPの場合、設定変更が必要だと聞きま
したが、どうすればよいのですか?
WindowsXP SP2(ServicePack2)でインターネットエクスプローラを利用してい
らっしゃる場合は、電子申請、電子入札に際しては、以下の設定をお願いしま
す。
︵2︶セキュリティ設定
(エ)[ActiveXコントロールに対して自動的にダイアログを表示]を「有効
にする」に設定します。
そんな質問が本当に「よくある質問」なのか?
横浜市 電子申請サービス, WindowsXP Service Pack2の設定
「ActiveXコントロールに対して自動的にダイアログを表示」を
「有効にする」にチェックをします。
どこからそのフレーズをコピーしてきたんだ?
・Yahoo!
JAPAN Chat, ﹁Java﹂﹁JavaScript﹂﹁ActiveX﹂を有効にするには︵Java版
・DHTML版の場合︶
(2) [ActiveXコントロールとプラグイン]項目の[ActiveXコントロールとプラ
グインの実行]、[ActiveXコントロールに対して自動的にダイアログ
を表示]、[スクリプトを実行しても安全だとマークされている
ActiveXコントロールの初期化とスクリプトの実行]で、それぞれ[有効にする]
にチェックを入れます。
なんでもかんでもぜーんぶとりあえず﹁有効にする﹂にしとけばいいと?
・UFJ銀行, Windows XP Service Pack2をインストールされたお客さまへ
2004年9月2日Microsoft社より提供開始された﹁Windows XP Service Pack2﹂
のセキュリティ強化機能の中にActiveX コントロール ︵*︶のインストールの
抑制やポップアップのブロック、自動ダウンロードを一時的に停止させるといっ
た機能が追加されています。
﹁Windows XP Service Pack2﹂が適用されたパソコンでMicrosoft Internet
Explorerのセキュリティの設定やポップアップフィルタレベルの設定内容によっ
ては、U-LINE Web の一部機能が動作しない事象が発生しますので
下記内容をご確認のうえ、ご利用いただきますようお願いいたします。
(略)
﹁セキュリティの設定﹂ウィンドウの﹁設定(S)﹂の中から﹁ActiveX コント
ロールに対して自動的にダイアログを表示﹂を﹁有効にする﹂に設定します。
ここに挙がった人たちは先進的な人たちだ。まだこれを書いているところは少
ないようだ。
UFJ銀行が言うには、この設定をしないと﹁一部機能が動作しない事象が発生
します﹂というのだが、それは事実無根だろう。なぜなら、図2のところで、
情報バーをクリックしてメニューを出し、﹁ActiveXコントロールのインストー
ル﹂を選べば、ちゃんとインストールできるのだから。
これを書いた人たちは、黄色い情報バーに書かれている﹁インストー
ルするには、ここをクリックしてください﹂という文章が目に入ら
ないのか? 最初の1行を読んだところでもう脳が固まってしまったのというか?
こういう人たちが居なくならない限り、どうやっても安全にはならない。
はっきり言う。あなた方はもうこの仕事をしないでくれないか。何も書くな。
まだ﹁先進的﹂でない他の人たちにも言う。こういうのを真似しようとするな。
﹁サイトを立ち上げたらとりあえず、必要な設定方法を書かないとね﹂などと
いった愚かな習慣を忘れろ。セキュリティの設定について何も書くな。何も書
く必要がない。それが正解だ。書く必要があるような状況の方が誤っているの
だ。書けば害になるだけだ。既に書いたものがあるなら全部消してくれ。﹁間
違ってました﹂と書かなくてもいいから、とにかく消せ。