このページは福井県立大学の田中求之が2006年1月まで運用していた Mac のサーバ運用に関する会議室 「Web Scripter's Meeting」の記録です。情報が古くなっている可能性がありますのでご注意ください。

Mac OSのセキュリティの脆弱性に関する質問

発言者:喜界島の村山 です。
( Date Friday, February 08, 2002 16:43:25 )


ご無沙汰しています、ROM状態ばかりですみません。
別なMLでリストの管理人から下記のような急ぎの質問が来ました
私も素人に毛が生えた程度ですので、こちらで教えて頂きたいのですが。

ここより転送--------------

・・・・・さんから、下記のようなメールが来ました。
私は、OldMacがあるだけで、現役として使っていないので、どういう影響があるのか全
くわかりません。

MLに警告を出した方がいいのでしょうか。

教えていただけると有り難いです。

よろしくお願いいたします。

セキュリティ情報--AppleMacintosh--

 AppleMacintoshにセキュリティに関して重大な問題が見つかりました。
InternetExplorer や iCabなど全ての Webブラウザを対象として、(Mozilla 
及び Netscape 6.x に於いてはダウンロード時にダイアログが表示される為、
キャンセルする事が可能です。)自動的に悪意のあるプログラムがダウンロー
ド・実行するというセキュリティの脆弱性に関するものです。

この脆弱性は以下の条件が満たされたときに実行されます。

・QuickTime設定の「CD-ROMを自動的に再生する」がオン
・StuffitExpanderの「ディスクイメージのマウント」がオン
・StuffitExpanderの「解凍を継続する」がオン
・ブラウザでダウンロードが始まったときに、Stuffit へファイルを渡す設定
になっている。
・OS 8.x〜-9.x、またはClassic環境が起動している(OS X環境でも動作する)

大抵のMacではこれらを満たしている状態に「なっている」と思われます。
この脆弱性の問題に対応するためには、Mac本体の設定を変更する以外ありま
せん。

このセキュリティホールは非常に危険です。
たとえば、悪意あるサイト制作者が「ハードディスクのフォーマット」という
攻撃(過程としては悪意のあるソフトのダウンロード>解凍>実行までノンス
トップ)を不特定多数のMacユーザーに行うことが可能になっています。

 インターネット上での「file:///(←スラッシュが三つ入ります)」という
リンクをクリックするとこのセキュリティホールが狙われる可能性が例として
あります。

詳しくは以下のURLにわかりやすく出ておりますので
すぐに設定を変更するようにしてください。

http://www.u-struct.com/diary/view.cgi?ID=s20020128002516
http://homepage.mac.com/vm_converter/200202_diary.html#20020128_Mac_IE_vuln

 Macはこれまでウイルスやインターネット上のトラブルに強いといわれてきま
したが、
このセキュリティホールでそれが覆りました。
怪しいリンクは絶対にクリックをしないようにするという、
インターネット上の自衛の基本を改めて再確認してください。
-------------------------------------------------------- to here  

ここまで転送分--------------

上記のURLをざっと調べてみまみました、内容はなるほどと思われるものですが
実際、どの程度の影響が Macの利用者にあるでしょうか?
また、以下の3つは必ずオフにする必要があるでしょうか?

・QuickTime設定の「CD-ROMを自動的に再生する」がオン
・StuffitExpanderの「ディスクイメージのマウント」がオン
・StuffitExpanderの「解凍を継続する」がオン

しあわせのツボ さんからのコメント
( Friday, February 08, 2002 17:56:11 )

確かに、食らった時の危険性は大でしょうし、
攻撃を受ける状態にあるMacが大部分でしょう。
この脆弱性について広く注意を喚起する必要があると思います。

ただ、実際に仕掛けようとすると、Macのプログラムを作れるか
既存のウィルスを探し出してくるか(こちらは一般的な
アンチウィルスソフトで対応できますね)しないといけないので、
敷居は若干高いかもしれません。
ついでに、これ単体では他のマシンに感染できませんね。
なので、実際に攻撃を受ける可能性は高くないと考えています。
# もちろん油断してはいけませんが。

私は、AutoStart9805が流行した時以来
・QuickTime設定の「CD-ROMを自動的に再生する」がオン
をオフにしています。
攻撃を防ぐだけなら、これだけで一応対処できますし、
利便性を考えるとStuffItの設定を変えるのも面倒なので、
しばらく様子を見ることにします。
OS XでMozilla使ってますし。

しかし…
ユーザが設定を変更する以外に何か手段はないのでしょうか。
要はQuickTimeが無条件でlaunchしてしまうことが
問題だと思うのですが。せめてダイアログが出ればいいのに。

森下 さんからのコメント
( Friday, February 08, 2002 21:18:59 )

この問題は、ウイルスの実行に二通りの手段があって、
QuickTimeの自動実行機能を使った場合は、ブラウザに関係なく
実行されます。ですから、自動再生はオフにする必要があります。

ただし、OFFにしていても、InternetExplorerに限っては、
IE自身がローカルのプログラムを実行する力を持っているので、
QuickTimeの自動実行がOFFであっても、StuffItが自動解凍後
ディスクイメージをマウントしちゃうとアウトです。
ですので、IEを使っている場合は、QuickTime以外の対策も必要ですね。

#なお、このIEのアプリ実行機能を使ってFinderになりすますと、
#「IEはMacOSの不可分の一部である。」状態を実現できます。(^^;;;

TOM neko さんからのコメント
( Saturday, February 09, 2002 15:38:38 )

はじめまして。

http://homepage.mac.com/vm_converter/200202_diary.html#20020128_AutoStart_vuln
の脆弱性の記述も大幅に書き直されて分かりやすくなってますが、
わたしは、下の【バグ2】の報告者で他人事でもないので、
今回の脆弱性の件をごく簡単にまとめさせていただきます。

今回の問題は、2種類のバグから起こり、2つの異なる脆弱性が存在しています。

【バグ1】IE5とiCabで、meta要素でのパス指定でローカルのアプリケーション
の実行ができてしまう。(危険なバグ)

【バグ2】 IE, iCab, NN4等でmetaやiframeやframeやリンクのクリックでも、
ブラウザで表示されないアプリケーションファイルはダウンロードされ、
しかもダウンロード時に確認ダイアログが出ず、
無条件でダウンロードされてしまう。(仕様だとしたら危なすぎ)

【脆弱性1】バグ1とバグ2のために、ページを見ただけで、
悪意ある実行ファイルがダウンロードされファイルの自動実行が起こる。
《対処1》デフォルトのHDD名を変えてパスを秘密にする必要あり。
《対処2》さらにStuffItの自動マウントによりパスが自明になるので、
自動マウントオフが必要。

【脆弱性2】バグ2のために、ページを見ただけで、クライアントでダウンロード→
StuffItで自動マウント→QuickTimeで自動実行が発生。
ダウンロード以外はバグではありませんが、危なっかしい仕様ですね。
《対処3》自動マウントオフか、自動実行オフが必要。

以上です。対処1〜3すべて必要です。

危険な記述のページに巡り会う可能性は低いでしょうが、
きわめて危険度が高いバグなので、ぜひ対処しましょう。
不便なのは対応パッチが出るまで我慢。(出なかったりして)
任意のファイルのダウンロードと実行が可能なのですから、自分だけでなく、
他人に迷惑をかけてしまう可能性も大いにありますしね。

Junnama さんからのコメント
( Saturday, February 09, 2002 17:13:37 )

確かに、危ない点はありますけど、
> Mac OSのセキュリティ
では無くて、InternetExplorer等のWWWブラウザと StuffitExpander と
QuickTimeのセキュリティの脆弱性ですよね。
少なくともOSレベルの話では無いと思いますよ。
まぁ QuickTimeはOSの一部でしょうが。

>  QuickTime設定の「CD-ROMを自動的に再生する」がオン
> をオフにしています。

これは基本的にそうすべきでしょうし、StuffitExpanderの設定も変える
べきでしょう。

少なくとも、起動ディスクの特定のファイルをゴミ箱に捨ててゴミ箱を空に
するとか、ファイルをのきなみ削除していくとかいうプログラムを書くのは
そんなに難しいことではないでしょうから、この脆弱性云々がいわれる前か
ら自衛の必要性は感じていました。

それにしても、IEが特定のパスのアプリケーションをそのまま実行するって
いうのはいかにもMicrosoftっぽいっていう気がします。

今井真人 さんからのコメント
( Saturday, February 09, 2002 17:27:14 )

>  QuickTime設定の「CD-ROMを自動的に再生する」がオン
> をオフにしています。

マックがいっぱいあると管理が大変なので、AppleScriptで自動的に
オフにするようなスクリプトは書けないでしょうか?

TOM neko さんからのコメント
( Saturday, February 09, 2002 19:12:52 )

> AppleScriptで自動的に
> オフにするようなスクリプトは書けないでしょうか?

自動的にオフにできるなら、自動的にオンにすることもできそうですが。

喜界島の村山 さんからのコメント
( Sunday, February 10, 2002 06:36:19 )

昨日は向かいの島に出張で遅くなりました。
しあわせのツボさん、他の皆さん、コメント有難う御座います。
私は最初にこの問題を尋ねられた時に

> Mac OSのセキュリティ
> では無くて、InternetExplorer等のWWWブラウザと StuffitExpander と
> QuickTimeのセキュリティの脆弱性ですよね。

と思ったのですが、貰ったメールに
「AppleMacintoshにセキュリティに関して重大な問題が見つかりました。」
との記載でしたのでお尋ねしさせて頂きました。

ところで、この問題は重要度ということで5段階に分けると(5を一番高いランク)、
どの程度のランクになるのでしょうか?

森下 さんからのコメント
( Sunday, February 10, 2002 08:57:26 )

私なら5としますね。つまり、対策必須。

この仕組みを利用して実行させられる悪意あるプログラム自体、
最初っからMacについてくるあるプログラミングツールを使えば、
たとえば必要な機能拡張をゴミ箱に放り込む程度なら、
クリック数回で完成してしまいます。

他のプラットフォームの様々なウイルスの場合、
それなりの知識がないとプログラミング自体ができないでしょうけど、
こんだけ簡単だと、ちょっと悪戯心でしかけるやつもないとは言えないでしょう。

喜界島の村山 さんからのコメント
( Tuesday, February 12, 2002 05:48:24 )

森下さん、皆さん、有難う御座いました。

以下の3点をオフににしてもらうことにしました。
1.QuickTime設定の「CD-ROMを自動的に再生する」をオフにする
2.StuffitExpanderの「ディスクイメージのマウント」をオフにする
3.StuffitExpanderの「解凍を継続するをオフにする

これ以外は各自に気を付けてもらうことにします。

たまちゃん さんからのコメント
( Friday, February 22, 2002 08:42:31 )

Macsec で知りましたが,

http://www.macnn.com/news.php?id=12637

のような脆弱性があるとのことです。実際に試してみると
記事のようになりました。

たまちゃん さんからのコメント
( Friday, March 01, 2002 12:27:53 )

>http://homepage.mac.com/vm_converter/diary.html#20020128_AutoStart_vuln

の件,ようやく Bugtraq に載りました。と思ったら MacInTouch
でも取り上げられていました。

動きがあるといいですね。