マイクロソフトが提供しているインスタント・メッセージング・ソフトウェア「MSN Messenger」のファイル・リクエスト処理に脆弱性が存在します。この脆弱性により、MSN Messengerが特別に細工したリクエストを受信すると、ユーザーが気付かないうちに、攻撃者によってハードディスク上のファイルが盗み見られる危険性があります。例えば、ファイルに保存されたユーザー名やパスワード、Cookieの情報などが盗まれることが考えられます。

　MSN Messengerを利用している場合は、MSN Messenger 6.1（バージョン：6.1.0211）以降にアップデートしてください。ただし、インスタント・メッセージング・ソフトウェアとしてWindows XPに標準添付される「Windows Messenger」には今回の脆弱性は存在しません。

　MSN Messengerは、インターネットやイントラネットを介して、複数の人とのチャット（文字ベースの会話）やビデオ・チャット（テレビ電話）、ファイル交換などを実現するコミュニケーション・ソフトウェアです。MSN Messengerの情報ページから無償でダウンロード可能です。

・マイクロソフト MSN Messengerの情報ページ：
http://messenger.msn.co.jp/Default.aspx

　MSN Messengerがファイル・リクエストを処理する方法に脆弱性があるため、攻撃者によって細工されたリクエストを受信すると、ユーザーのコンピュータのハードディスクにあるファイルが攻撃者のコンピュータ上に表示される危険性があります。この際、ユーザーは、攻撃者によってファイルが読み出されていることは分かりません。読み出されるファイルは、ハードディスク中の場所を攻撃者が知っているものに限定されますが、Internet ExplorerのCookie情報など、場所が推測可能なものが読み出される可能性があります。

　今回の脆弱性に対する攻撃を受けるのは、MSN Messengerの［許可するメンバ］に攻撃者が登録されている場合に限られます。通常、［許可するメンバ］には、ユーザーが明示的に相手を追加する必要があります。現在のメンバの状態は、［ツール］−［オプション］メニューから表示されるダイアログの［プライバシー］タブで確認できます。

　従って、通常は知人のみがアクセスを許可されており、その中に攻撃者が含まれないかぎり攻撃は受けません。しかしMSN Messengerは、デフォルトで匿名ユーザーからの接続要求を許容する設定になっています。そして接続要求を受けると、確認用ダイアログが表示されます。このとき、うっかり接続を許可してしまうと、そのユーザーが［許可するメンバ］に登録されてしまい、攻撃の可能性を与えてしまうので注意が必要です。このような事故を防ぐには、［禁止するメンバ］に［ほかのユーザー］を追加します。

　なお前述したとおり、Windows XPに同梱されている同様の機能を持つインスタント・メッセージング・プログラム「Windows Messenger」では、ファイル・リクエストの検証方法が異なるため、今回の脆弱性は存在しません。

　以下の方法でMSN Messengerのファイル・バージョンを確認します。

1. MSN Messengerで、［ヘルプ］−［MSN Messenger のバージョン情報］メニューを選択します。
2. ［MSN Messengerのバージョン情報］ダイアログでバージョン番号を確認します。
3. バージョン番号が「6.1 (6.1.0211)」以上であることを確認します。

　手動で修正プログラムをインストールする場合は、以下のURLでダウロードを実行してください。

http://www.microsoft.com/downloads/details.aspx?FamilyID=d83d02b2-c82c-4ba1-aec2-584aabb057eb&DisplayLang=ja