マイクロソフト セキュリティ情報 MS03-047

技術的な説明 :

このセキュリティ情報が最初にリリースされた後、オリジナルの更新プログラム (2003 年 10 月 16 日リリース) で特定の言語が含まれていないことが確認されました。新たな更新プログラムに関する情報を提供するため、このセキュリティ情報を更新いたしました。新たな更新プログラムは、Outlook Web Access の言語パック から言語をインストールしたお客様を対象としています。

また、この更新プログラムが適切に機能するためには、その更新プログラムをインストールした Outlook Web Access (OWA) サーバーに Internet Explorer 5.01 またはそれ以降のバージョンがインストールされていることが必要となります。バージョン 5.01 以前の Internet Explorer がインストールされたコンピュータに、この更新プログラムをインストールした場合、予期しない現象が発生する可能性があります。このセキュリティ情報の「警告」の欄が更新され、この更新プログラムのバージョン要件が追加されました。また、このセキュリティ情報の作成時に、適用可能な関連コンポーネントに推奨されるバージョンの情報も追加されています。また、「適用に関する情報」の欄も更新され、この更新プログラムのダウンロードおよびインストールの方法に関する詳細が追加されました。

Microsoft Outlook Web Access (OWA) が、OWA が新しいメッセージの作成フォームで HTML エンコードを行う方法のために クロスサイト スクリプティング （英語情報） の脆弱性が起こります。

攻撃者がこの脆弱性を悪用し、攻撃者に代わり、ユーザーがスクリプトを実行してしまう恐れがあります。そのようなスクリプトはユーザーのセキュリティ コンテキストで実行される可能性があります。このようなスクリプトがユーザーのセキュリティ コンテキストで実行された場合、攻撃者のコードは OWA Web サイト （または OWA と同じサーバーにホストされた Web サイト） のセキュリティ設定を使用して実行される可能性があります。また、そのユーザーがアクセス権を持つサイトに属するすべてのデータが、攻撃者によってアクセスされる可能性もあります。

OWA を介してこの問題を悪用するには、攻撃者は特別な細工をしたリンクを含む電子メールメッセージをユーザーに送信し、ユーザーがそのようなリンクをクリックすることが攻撃者にとっての必要条件となります。攻撃者が不正なリンクを電子メールでユーザーに送信する方法以外でこの問題を悪用するには、攻撃者にユーザーの Exchange サーバーの名前が知られており、そのユーザーが OWA にログインしている際に何か別のソースから不正なリンクを開かせることが攻撃者にとっての必要条件となります。

注 : このページの「ファイルに関する情報」の欄に記載されている ASP ページをカスタマイズしているお客様は、この更新プログラムの適用の際に、それらのファイルが上書きされるため、この更新プログラムを適用する前に、それらのファイルのバックアップを取っておく必要があります。次に新たな ASP ページにカスタマイズを適用する必要があります。Outlook Web Access のカスタマイズのサポート ポリシーに関しては、以下のページをご覧ください。

http://support.microsoft.com/kb/327178

問題を緩和する要素 :

• 攻撃者がこの脆弱性を悪用するには、ユーザーが OWA にログオンし （OWA にログオンするようにユーザーを誘導し） または OWA と同じサーバー上の別の Web アプリケーションを使用していることが攻撃者にとっての必要条件となります。Exchange Server 5.5 Outlook Web Access を実行しているサーバーは、一般的には、パフォーマンス、拡張性、セキュリティ上の理由で、別の Web アプリケーションを実行していません。
• 攻撃者が OWA を介してこの問題を悪用するには、特別な細工をしたリンクを含む電子メール メッセージをユーザーに送信し、ユーザーがそのようなリンクをクリックすることが必要条件となります。
• Web ベースの攻撃の場合、攻撃者にユーザーの Exchange Server の名前が知られており、そのユーザーが OWA にログインしている間に何か別のソースから不正なリンクを開かせることが攻撃者にとっての必要条件となります。

深刻度 :

上記の評価はこの脆弱性の影響を受けるシステムの種類、システムの典型的な展開形式およびこの脆弱性がシステムに及ぼす影響に基づいています。

脆弱性識別番号 :
CAN-2003-0712

マイクロソフトは次の回避策のテストを行ないました。これらの回避策は根本的な脆弱性を修正しませんが、既知の攻撃の方法を阻止する手助けとなります。回避策は機能の低下の原因となる場合もあります。その場合、下記に記します。

• それぞれの Exchange サイトで Outlook Web Access を無効に設定

  Outlook Web Access は以下の手順で無効に設定することができます。これらのステップは、各 Exchange サイトごとに実行する必要があります。

  1. Exchange 管理ツールを起動します。
  2. サイトの設定コンテナを展開します。
  3. そのサイトのプロトコル コンテナを選択します。
  4. HTTP (Web) サイト設定オブジェクトのプロパティを開きます。
  5. [プロトコルを有効にする] チェックボックスをオフにします。
  6. 変更の複製を待ち、この変更がサイトのそれぞれのサーバーに複製されたことを確認します。この確認は、サイトの各サーバーに Exchange 管理ツールで接続し、設定を表示します。

  回避策の影響 : ユーザーは Outlook Web Access を介し、メールボックスにアクセスすることができません。

• Outlook Web Access のアンインストール

  Outlook Web Access をアンインストールします。この方法は、以下のサイトをご覧ください。

  http://support.microsoft.com/kb/290287

  回避策の影響 : ユーザーは Outlook Web Access を介し、メールボックスにアクセスすることができません。

  Exchange の環境をよりセキュアにする方法の詳細は、以下の Web サイトをご覧ください。

  Exchange 5.5 のセキュリティ リソース (英語情報)

  Exchange 2000 のセキュリティ リソース(英語情報)

マイクロソフトが Outlook Web Access の追加の言語向けに新たな更新プログラムを作成したのはなぜですか?

このセキュリティ情報が最初にリリースされた後、オリジナルの更新プログラム (2003 年 10 月 16 日リリース) に特定の言語が含まれていないことが確認されました。新たな更新プログラムに関する情報を提供するため、このセキュリティ情報を更新いたしました。新たな更新プログラムは、Outlook Web Access の言語パック から言語をインストールしたお客様を対象としています。

オリジナルのバージョンの更新プログラムをインストールしました。新しいバージョンの更新プログラムをインストールする必要がありますか？

ご使用の Outlook Web Access のページがドイツ語、英語、フランス語、日本語で表示される場合、オリジナルのバージョンの更新プログラムは、このセキュリティ上の脆弱性を排除するにあたり、依然として効果があります。

新しいバージョンの更新プログラムにより、Outlook Web Access 言語パックから追加される言語のサポートが追加され、上記の言語を使用するコンピュータにインストールされたオリジナルの更新プログラムは変更されません。Outlook Web Access の言語パック から言語を追加した場合、この更新プログラムを適用する必要があります。

どのようなことが起こる可能性がありますか?

これは、クロスサイト スクリプティング (英語情報) の脆弱性です。この脆弱性により、ユーザーの Web セッション中に、攻撃者の任意のコードが実行される可能性があります。コードが実行されると、Web サイトで許可されているすべての操作がユーザーのコンピュータ上で実行される可能性があります。たとえば、Web セッションの監視、第三者への情報の転送、別のコードをユーザーのコンピュータ上で実行、Cookie の読み取りや書き込みなどの操作が行われる可能性があります。コードは、永続的なものとして作成することもできるため、その場合、ユーザーが Web サイトに戻るたびにコードが実行される可能性があります。

Web セッション自体は悪用されることはありません。脆弱性が悪用される可能性があるのは、攻撃者が作成したハイパーリンクをユーザーがクリックしたときだけです。

電子メールで特別な細工をしたリンクを送信する方法以外にこの脆弱性が悪用されるのは、攻撃者にユーザーの Exchange サーバーの名前が知られており、そのユーザーが OWA にログインしている際に何か別のソースから不正なリンクを開かせることが攻撃者にとっての必要条件となります。

Outlook Web Access とは何ですか?

Microsoft Outlook Web Access (OWA) は Exchange Server のサービスの 1 つです。OWA を使用することにより、ユーザーは Web ブラウザから各自の Exchange メールボックスにアクセスできます。また、OWA を使用することにより、Exchange Server を実行しているサーバーが Web サイトとして機能することが可能となり、認証されたユーザーは、メールの読み取り、送信、予定表の管理、およびその他のメール機能を、インターネットを経由して利用することができます。

クロスサイトスクリプティングとは何ですか?

クロスサイト スクリプティング (XSS) とはセキュリティ上の脆弱性で、これにより悪意のあるユーザーはそのほかのユーザーの Web サイトとのセッションにコードを「挿入」する可能性があります。ほとんどのセキュリティ上の脆弱性とは異なり、XSS は単一のベンダーの製品に当てはまるものではありません。これは Web サーバーで実行されるすべてのソフトウェアに影響を及ぼしますが、防御のためのプログラミング対策の結果からは生じません。

XSS とはどのような仕組みなのですか?

Web ページには、テキストおよび HTML マークアップが含まれ、それらはサーバーで生成され、クライアントによって解釈されます。静的なページを生成するサーバーは、送信するページをクライアントが解釈する方法を完全に制御します。しかし、動的ページを生成するサーバーでは、クライアントの解釈方法を完全に制御できません。動的なページに信頼できないコンテンツが挿入されても、サーバーおよびクライアントは、そのことを認識できる十分な情報を得ることができず、防御策を講じることもできません。

クロスサイト スクリプティングの仕組み、およびこの攻撃に対する防護策の詳細については、「クロスサイト スクリプティングのセキュリティ上の脆弱性に関する情報」を参照してください。

何が原因で起こりますか?

Exchange Server 5.5 Outlook Web Access が、新しいメッセージの作成時に使用する Active Server Page (ASP) が、要求された URL を不適切なエンコードで HTML に変換するため、この脆弱性が発生します。

OWA の何が問題になっていますか?

ユーザーが新しい電子メール メッセージを作成する際、OWA は、表示する URL を正しいエンコードで HTML に変換しません。このため、攻撃者は、別の Web サイト上のスクリプトへのリンクを埋め込み、OWA Web サイトからのリンクであると Web ブラウザが誤認するような方法で、そのリンクを Web ブラウザに戻す可能性があります。

この脆弱性により、攻撃者は何ができますか?

攻撃者は悪質な Web サイトをホストし、特別に細工したリンクをユーザーがクリックするように誘導し、ユーザーの OWA Web サイトに対してクロスサイト スクリプティング攻撃を仕掛ける可能性があります。これにより攻撃者は、OWA Web サイトあるいは OWA Web サイトと同じコンピュータにホストされている Web サイトのセキュリティ設定で、スクリプトをユーザーのブラウザ上で実行し、Cookie およびそのサイトに属するデータにアクセスする可能性があります。

攻撃者はどのようにしてこの脆弱性を悪用する可能性がありますか?

攻撃者は、悪質な Web サイトをホストし、スクリプトまたはリンクを埋め込んで特別に細工した電子メール メッセージをユーザーに送る可能性があります。ユーザーがこのスクリプトやリンクにアクセスすると、引数の一部としてスクリプトが埋め込まれたクエリが Web サーバーに送信されます。攻撃者がこの脆弱性を悪用するには、ユーザーが OWA の電子メール メッセージ上のリンクや、外部の Web サイト上のリンクをクリックすることが必要条件となります。

OWA のすべてのバージョンに脆弱性が存在するのですか?

いいえ。脆弱性が存在するのは Exchange Server 5.5 Outlook Web Access のみです。

どの Exchange サーバーに更新プログラムをインストールすればよいのですか?

この更新プログラムは Exchange Server 5.5 Outlook Web Access を実行しているサーバー専用の更新プログラムです。Exchange Server 5.5 Outlook Web Access を実行していない Exchange サーバーに、この更新プログラムをインストールする必要はありません。

OWA サイトのカスタマイズを行っています。どのようにすればよいですか?

このページの「ファイルに関する情報」の欄に記載されている ASP ページをカスタマイズしているお客様は、この更新プログラムの適用の際に、それらのファイルが上書きされるため、この更新プログラムを適用する前に、それらのファイルのバックアップを取っておき、その後新たな ASP ページにカスタマイズを適用する必要があります。Outlook Web Access のカスタマイズのサポート ポリシーに関しては、以下のページをご覧ください。
http://support.microsoft.com/kb/327178

更新プログラムは何を修正しますか?

この更新プログラムは OWA スクリプトの引数が意図せず実行されることがないように、エンコード方法を修正することでこの脆弱性を排除します。

更新プログラム適用後に OWA が正常に表示されない場合の対処方法はありますか?

この更新プログラムが適切に機能するためには、その更新プログラムをインストールした Outlook Web Access (OWA) サーバーに Internet Explorer 5.01 またはそれ以降のバージョンがインストールされている必要があります。バージョン 5.01 以前の Internet Explorer がインストールされたコンピュータに、この更新プログラムをインストールした場合に、OWA の表示が正常に行われないことがあります。詳細については、サポート技術情報 314532 をご覧ください。

Exchange Server 5.5 SP4 :

必要条件 :
このセキュリティ更新プログラムをインストールするには、Exchange 5.5 Service Pack 4 で、Outlook Web Access を実行していることを必要とします。

インストール情報 :

このアップデートを適用するために使用することができるコマンド オプションに関する詳細は、以下のマイクロソフト サポート技術情報をご覧ください。

257946 XGEN: GUI Hotfix Utility Switches /x /m /s /z

適用に関する情報 :

それぞれのサーバー言語の 2 つのパッケージは、以下の名前の 1 つの自己解凍キャビネットに統合されました。

• Exchange5.5-KB828489-v2-x86-<serverlang>.EXE

<serverlang> の部分は、お客様がインストールした Exchange サーバーの言語となります。

• JPN = 日本語
• DEU = ドイツ語
• ENU = 英語
• FRA = フランス語

そのパッケージを実行する際、以下の名前が付いた、選択したフォルダに 2 つのパッケージが解凍されます。

• Exchange5.5-KB828489-v2a-x86-<serverlang>.EXE
• Exchange5.5-KB828489-v2b-x86-INTL.EXE

インストールの方法 :

MS03-047 のオリジナルのセキュリティ更新プログラム (Exchange5.5-KB828489-x86-<serverlang>) をインストールした場合、更新されたセキュリティ更新プログラムのインストールの前に、オリジナルのバージョンをアンインストールする必要があります。この方法に関しては、以下の「削除に関する情報」の欄をご覧ください。

1. このセキュリティ更新プログラムを適用するすべてのサーバーに "v2a" の更新プログラム (Exchange5.5-KB828489-v2a-x86-.EXE) をインストールする必要があります。このパッケージにより、以下の 3 点が更新されます。
   • Exchange サーバーの CDO.DLL を更新
   • インストールされた Exchange サーバーの言語に一致する OWA の言語を更新
   • 以下の OWA の言語のいずれかがインストールされている場合、それを更新
     • 日本語
     • 中国語 (簡体字)
     • 中国語 （繁体字）
     • 英語
     • フランス語
     • ドイツ語
     • イタリア語
     • 韓国語
     • ポーランド語
     • ロシア語
     • スペイン語
2. サーバーに、以下の OWA 言語のうち、1 つまたは 2 つの言語がインストールされ、"v2a" の更新プログラムのインストールが完了している場合、"v2b" の更新プログラム (Exchange5.5-KB828489-v2b-x86-INTL.EXE) のみをインストールする必要があります。
   • ブラジル語
   • チェコ語
   • デンマーク語
   • オランダ語
   • フィンランド語
   • ギリシャ語
   • ハンガリー語
   • ノルウェー語
   • ポルトガル語
   • スウェーデン語
   • トルコ語

注意 :

• "v2b" の中の言語のみを使用する場合でも、"v2a" の更新プログラムをアンインストールしないでください。その理由は、それによりいくつかの機能に支障をきたす可能性があるためです。
• インストールされた言語パックのみが更新されます。このパッケージにより、インストールされていなかった言語情報がインストールされることはありません。
• オリジナルのバージョンのセキュリティ更新プログラムをインストールした場合、"v2a" の更新プログラムのインストールでは、まずオリジナルの更新プログラムをアンインストールことが必要となります。これは、後に "v2a" の更新プログラムをアンインストールする必要がある場合に、サーバーを既知のサポートされる状態に戻すことができるようにするために行われるプロセスです。"v2a" および "v2b" の両方の更新プログラムをアンインストールする必要がある場合、インストールした順序の逆の順序でそれらを削除してください。
• "v2b" の更新プログラムにより、"v2a" がインストールされているかがチェックされます。"v2a" がインストールされていない場合、"v2b" のインストールが阻止され、"v2a" の更新プログラムを最初にインストールする必要があることを示すメッセージが表示されます。
• この更新プログラムのインストール後、読み取りのみのアクセス権を設定した OWA サーバー上で Windows ディレクトリを使用する場合、OWA でメッセージを開く際に、空欄のメッセージが表示される場合があります。この問題を解決するためには、以下のサポート技術情報をご覧ください。http://support.microsoft.com/kb/314532

再起動の必要性 :
なし。しかし、このセキュリティ更新プログラムにより、Microsoft Internet Information Services (IIS)、Exchange ストア、Exchange System Attendant Services が再起動します。このため、OWA を介してログオンしているユーザーがいない時に、更新プログラムをインストールしてください。

削除に関する情報 :

この更新を削除するためには、[コントロール パネル] の [プログラムの追加と削除] を使用するか、またはコンソール ウインドウで、以下のコマンドを発行してください。

%EXCHSRVR%\828489\UNINSTALL\UNINST.EXE

[アプリケーションの追加と削除] では、オリジナルのパッケージは、Microsoft Update 828489 for Exchange 5.5 と記載されています。アップデート版のパッケージは、それぞれ Hotfix for Exchange 5.5 v2a (KB828489a) および Hotfix for Exchange 5.5 v2b (KB828489b) と記載されます。

ファイルに関する情報 :
この更新プログラムの日本語版は次の表に挙げられているファイル属性 (またはそれ以降) を持ちます。

更新プログラムが正しくインストールされたかどうか確認する方法 :

セキュリティ更新プログラムがコンピュータにインストールされていることを確認するためには、Microsoft Baseline Security Analyzer (MBSA) ツールを使用して下さい。MBSA に関する追加情報は次のマイクロソフト サポート技術情報をご覧下さい。

320454 Microsoft Baseline Security Analyzer (MBSA) 1.2 のリリース

また、次のレジストリ キーを調べることにより、このセキュリティ更新プログラムがインストールしたファイルを確認することもできます。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Exchange Server 5.5\SP5\828489

注 : 管理者または OEM メーカーが 828489 のセキュリティ更新プログラムを Windows インストール ソース ファイルに統合またはスリップストリームした場合、このレジストリ キーが適切に作成されないことがあります。