マイクロソフトは、Internet Explorer（IE）におけるADODB.Streamオブジェクトの脆弱性を回避するための修正プログラムの提供を開始した。この脆弱性は、トロイの木馬型ウイルス「Download.Ject（JS_JECT.A）」などで悪用されたものだ。

・マイクロソフト（Download.Jectに関する情報）：
http://www.microsoft.com/japan/security/incident/download_ject.mspx

　修正プログラムは、レジストリの内容を変更してIEによるADODB.Streamオブジェクトの呼び出しを無効化する。これにより、Download.Jectなどによって脆弱性が悪用されるのを防ぐことができる。ただし脆弱性を完全に解消するものではない点に注意が必要だ。またこの修正プログラムを適用すると、ADODB.Streamオブジェクトが利用できなくなるため、Webアプリケーション（特にIEからローカル・ファイルにアクセスするようなWebアプリケーション）に不具合が生じる可能性もある。

　ADODB.Streamオブジェクトの脆弱性を悪用した攻撃手法は広く公開されているため、業務アプリケーションなどに支障が生じないようならば、この修正プログラムを適用し、ADODB.Streamオブジェクトを無効化しておいた方がよいだろう。なお、この脆弱性はほとんどのウイルス対策ソフトウェアによって回避可能だ。IEにより自動的にファイルのダウンロードが実行された場合、ウイルス対策ソフトウェアが検知して、警告を発する。

・マイクロソフト（Internet ExplorerでADODB.Streamオブジェクトを無効にする方法）：
http://www.microsoft.com/japan/security/incident/adostream.mspx

・サポート技術情報 870669（How to disable the ADODB.Stream object from Internet Explorer）：
http://support.microsoft.com/default.aspx?scid=kb;ja;870669

・ダウンロード・センター（Critical Update for Microsoft Data Access Components - Disable ADODB.Stream object from Internet Explorer）：［Windows NT 4.0］［Windows 2000］［Windows XP］［Windows Server 2003］
http://www.microsoft.com/downloads/details.aspx?displaylang=ja&FamilyID=4d056748-c538-46f6-b7c8-2fbfd0d237e3

・ダウンロード・センター（Critical Update for Microsoft Data Access Components - Disable ADODB.Stream object from Internet Explorer - Win9x）：［Windows 98／98SE］［Windows Me］
http://www.microsoft.com/downloads/details.aspx?FamilyID=fe2a5b1c-ff30-40a0-8e70-c9f1f4dcd8c2&DisplayLang=ja

詳細：
　ADODB.Streamオブジェクトは、ActiveXコントロールの1つで、ファイルのダウンロード／アップロードなどに利用するコンポーネントである。イントラネットのWebアプリケーションで、クライアントとのファイルのやり取りに利用されることが多い。

　この修正プログラムでは、以下のレジストリ値を設定することで、ADODB.Streamオブジェクトの呼び出しを無効化する。つまり、ADODB.StreamオブジェクトをIEで利用できなくする。Windows NT 4.0 SP6a未満、Windows 2000 SP未適用／SP1、IE 5.5など、この修正プログラムが対応していない環境の場合、レジストリ・エディタでこのレジストリを追加すればよい。

　イントラネットなどでADODB.streamオブジェクトを利用したWebアプリケーションを使用している場合は、この修正プログラムの適用によって障害が発生する。そのような場合は、レジストリ・エディタを用いて、ADODB.streamオブジェクトが有効化すればよい。具体的には、上記のレジストリ・キー（Compatibility Flags）の値を「0」に変更する。ただし当然ながら、ADODB.streamオブジェクトを有効化すると、脆弱性の影響を受けることになる。

　なおWindows UpdateとSUSでは、「ADODB.stream用重要な更新プログラム (KB870669)」で登録されている。

　セキュリティ対策ベンダのSecuniaは、Internet Explorer（IE）においてIEのフレーム内に異なるサイトのページが表示可能となる脆弱性があることを報告した。Secuniaによれば、IE以外にも、MozillaやNetscape 6.x／7.x、Opera 5.x／6.x／7.xにも同じ脆弱性が存在するとしている。この脆弱性の有無は、Secuniaの「Multiple Browsers Frame Injection Vulnerability Test」のWebページの指示に従って、2つのURLリンクをクリックすることで確認可能だ。MSDNライブラリのフレームの中にSecuniaのページが表示された場合、脆弱性が存在することになる。

・Secunia（Internet Explorer Frame Injection Vulnerability）：
http://secunia.com/advisories/11966/

・Secunia（Multiple Browsers Frame Injection Vulnerability）：
http://secunia.com/advisories/11978/

・Secunia（Multiple Browsers Frame Injection Vulnerability Test）：
http://secunia.com/multiple_browsers_frame_injection_vulnerability_test/

　フレームを使ったWebページの中に、任意のWebサイトのページが表示可能となるため、個人情報やクレジット番号などを不正に取得するフィッシングに悪用される危険性が高い。また攻撃者が、マイクロソフトのWindows Updateページのフレーム内に、Windows Updateページに偽装した攻撃用ページが表示されるように仕掛けることで、ウイルスなどをダウンロードさせるように仕向けることが可能になる。

・セキュリティ用語 フィッシング（phishing）：
http://www.hotfix.jp/archives/word/2004/word04-08.html

　DA Labの調査によれば、フレームを持つページに続けて、別のページをフレーム内（fraRightFrame）に表示させるような簡単なJavaScriptでも、場合によっては脆弱性の影響を受けた。JavaScriptを工夫することで、フレームを利用しているWebサイトならば、簡単に攻撃用ページを表示させることが可能だ。有名なショッピング・モールなどでも、フレームが利用されている場合は、フレーム内に表示されている各ページのプロパティをチェックした上で、個人情報の入力を行った方がよい（当該フレーム上でマウスを右クリックし、表示されるメニューの［プロパティ］を実行して、表示元のURLを確認する）。

　なおこの脆弱性は、IE 3.x／4.xにおいて「TechNetセキュリティ：MS98-020（Patch Available for 'Frame Spoof' Vulnerability）」で解消済みのものである。バージョン・アップにともない、脆弱性が復活してしまったようだ。

・TechNetセキュリティ MS98-020（Patch Available for 'Frame Spoof' Vulnerability）：
http://www.microsoft.com/technet/security/bulletin/ms98-020.mspx

詳細：
　この脆弱性を悪用した主な攻撃シナリオは以下のようになる。

1. 攻撃者は、フレームを利用した銀行やマイクロソフトなどのWebページを模した攻撃用ページを作成し、インターネット上に置く。ここでは例として、マイクロソフトのMSDNライブラリ・ページ（http://www.microsoft.com/japan/msdn/library/）に仕掛けることにする。
2. 本物のMSDNライブラリ・ページと、そのフレーム内に表示する攻撃用ページを表示する攻撃用スクリプトを用意する。
3. 攻撃用スクリプトをWebページに仕掛けるか、HTMLメールとして配布する。
4. ユーザーが攻撃用のリンクをクリックするなどして、攻撃用スクリプトを実行する。
5. MSDNライブラリ・ページ（フレーム内は攻撃用ページ）が表示される。
6. 攻撃用ページの指示に従って、ユーザーが（偽装された）修正プログラムをダウンロードして実行する。もしくは、このWebページ上で個人情報を入力する。

　もし、銀行やクレジット・カード会社などを利用した攻撃を行った場合、個人情報などが窃取されることになる。

　DA Labでは、主なブラウザ（いずれも日本語版）で脆弱性の有無を確認してみた（セキュリティ設定が初期状態の場合）。その結果は、表のとおりである。

　Windows Server 2003の場合、デフォルト設定では「信頼済みサイト」への登録を確認するダイアログが表示されるため脆弱性の影響は受けないが、セキュリティ設定を「中」に変更すると脆弱性の影響を受ける。またPDAのLinux Zaurusに搭載されているNetFront 3.0にも同じ脆弱性が存在することが確認できた。NetFrontは、家電製品などにも多く採用されているブラウザである。パソコン以外でも、フィッシングの被害に遭う危険性があることに注意したい。

■回避策
　IEでこの脆弱性を回避するには、［ツール］−［インターネット オプション］−［セキュリティ］タブ−［インターネット］で、「レベルのカスタマイズ」ボタンをクリックし、「その他」の「異なるドメイン間のサブフレームの移動」を「無効にする」に変更する（初期設定は「有効にする」）。この設定変更によって、フレーム内に異なるドメインに属するページが表示されなくなる。