HOME情報セキュリティ情報セキュリティ対策脆弱性対策Microsoft SSL ライブラリの脆弱性について

本文を印刷する

情報セキュリティ

Microsoft SSL ライブラリの脆弱性について

最終更新日:2004年 6月28日

※追記すべき情報がある場合には、その都度このページを更新する予定です。

不正なJava Scriptコードに関する注意喚起

システム管理者へ

6月24日より、Webサーバーに細工を施したJavaScriptコードを仕込むことで、ユーザーが気づかないうちに不正なプログラムをダウンロードされる、というケースが報告されています。

影響を受けるコンピュータは、MS04-011の修正プログラムを適用していないIIS(Internet Information Server)が動作している Windows 2000です。該当するコンピュータのシステム管理者の方は、MS04-011の修正プログラムを適用して脆弱性を解消してください。

エンドユーザへ

一部の不正なプログラムが仕掛けられたWebサイトを閲覧すると、修正プログラムが存在しないInternet Explorerの脆弱性を悪用してユーザが意識せずに不正なプログラムをダウンロードさせられる可能性があることが報告されています。

Internet Explorer を利用しているユーザは Internet Explorer の設定を変更するなどの対策を実施してください。

対策

  • Internet Explorerで「ツール」→「インターネットオプション」で「セキュリティ」タブを選択、「インターネット」のアイコンを選んだ状態で「このゾーンのセキュリティレベル」を「高」に設定する。
  • Internet Explorerで「ツール」→「インターネットオプション」で「セキュリティ」タブを選択、「インターネット」のアイコンを選んだ状態で「レベルのカスタマイズ」をクリック。「Active Xコントロールとプラグインの実行」及び「アクティブ スクリプト」を無効にする。
  • マイクロソフト社からの情報

    Internet Explorer のマイ コンピュータ ゾーンのセキュリティ設定を強化する方法
    http://support.microsoft.com/default.aspx?scid=kb;ja;833633

    (注意)この方法はレジストリの修正を行いますので、 コンピュータに関する高度な知識が必要です。レジストリの修正は少しでも間違えると、コンピュータが正常に起動しなくなる場合もありますので注意が必要です。

また、

  • Windows Updateを実施し最新のセキュリティパッチをあてること
  • 最新のウイルス定義ファイルに更新したワクチンソフトを活用すること
  • 信頼できないWebサイトやメールに記載されているリンクをクリックしないこと

も併せて実行してください。

概要

2004年 4月14日にマイクロソフト社より公開された Windows の複数の脆弱性のうち、PCT(Private Communications Transport)の脆弱性を攻略するプログラムが出現していますので、至急、修正プログラムを適用して脆弱性を解消してください。

この脆弱性は、Microsoft SSL(Secure Sockets Layer)ライブラリの一部の PCT プロトコルに存在します。攻撃者によって、この脆弱性が攻略されると、影響を受けるコンピュータ上において任意のコードを実行される可能性があります。

IIS(Internet Information Server)がインストールされ SSL が有効に設定されている場合、攻撃対象とされる可能性がありますので、以下のサイトで IIS がインストールされているか、SSLが有効に設定されているかを確認し、IIS を削除するなどの対策を講じてください。

対象

  • Microsoft Windows NT 4.0
  • Microsoft Windows 2000
  • Microsoft Windows XP
  • Microsoft Windows Server 2003

対策

1. 脆弱性の解消 - 修正プログラムの適用 -

マイクロソフト社から提供されている修正プログラムを適用してください。

修正プログラムの適用方法には、Windows Update による方法と、個別の修正プログラムをダウンロードしてインストールする方法があります。

なお、各対象OS(プラットフォーム)の手順については、マイクロソフト社からの情報を参照してください。

  • Windows Update による方法

    Windows Update の機能を利用することにより、複数のセキュリティ修正プログラムを一括してインストールすることができます。

  • 個別の修正プログラムをダウンロードしてインストールする方法

    下記のマイクロソフト社のページより修正プログラム (KB835732) をダウンロードしてインストールします。
    http://www.microsoft.com/japan/technet/security/bulletin/ms04-011.asp

2. 回避策

回避策については、下記マイクロソフト社のサイトを参照してください。

参考情報

更新履歴

2004年 6月28日 「不正なJavaScriptコードに関する注意喚起」追記
2004年 4月26日 掲載