今日も最高気温33.2℃と残暑たけなわ。最高気温はともかく、朝9時に30℃ってのは勘弁して欲しいぞ。何気に![[External]](/~yano/parts/extlink.png)
コアラADSLを見たらADSL 24Mの受付が始まってたので早速申し込んじゃった。(^^)
さてMS03-032はお馴染みInternet Explorerの脆弱性。クロスドメインセキュリティモデルの方は情報漏洩の危険性なので大騒ぎするほどでもないのだが、オブジェクトタグの方は任意のプログラムが実行される危険性なので、Webブラウズで致命的なダメージを受ける可能性がある緊急な問題である。
続いてMS03-033はMicrosoft Data Access Components(MDAC)の脆弱性。これも任意のプログラムが実行される危険性だが、SQL Serverからの応答処理の問題という事で一般ユーザーに対する危険性は低いと思われるのでせいぜい危険止り。但しこれまでSQL Serverの問題とされていたMS02-040が実はMDACの問題で多くのWindowsに関係するという事で、MS03-033で修正されている。こっちは同じ任意のプログラムが実行される危険性でも、HTMLがトリガーとなる事からWebブラウズやHTMLメールで攻撃を喰らう可能性があり、緊急を要する問題だ。
そ〜ゆ〜わけで、どちらも大至急修正プログラムを適用しよう。
【参照】
●マイクロソフトTechNetセキュリティセンター
-「MS03-032: Internet Explorer 用の累積的な修正プログラム (822925) 」に関する要約情報 【緊急】
-「MS03-033: Microsoft Data Access Components のセキュリティ アップデート (823718)」に関する要約情報 【緊急】
Mainichi INTERACTIVE によると今回のBlaster騒動では
ブラスター感染の内訳は、都道府県で12(計547台)、市区町村レベルで58(計810台)。感染端末総数は1357台に上っている。うち、都道府県で5、市区町村で16の自治体では、庁内LANに接続した端末で感染が確認された。「ウェルチア」には、都道府県で2、端末計146台、市区町村で2、計93台が感染。すべて庁内LANで発生している。という状況だそうな。ちなみに大阪府では
〜〜〜 中略 〜〜〜
電子政府や電子自治体の推進が叫ばれているが、地方自治体では一般的に財政難でセキュリティー対策に予算がつきにくく、人員も増員されないなどの厳しい状況。感染自治体の比率が、市区町村より都道府県で高いことについては「都道府県レベルでは管理するネットワークも複雑で端末数も多く、一概に比較はできない」としている。
府行政改革室IT推進課ネットワーク推進グループによると、「ファイアーウォールをくぐって、外部からのウイルス侵入は不可能だ。LANに接続する端末は大阪府庁が調達したものに限られており、対策ソフトの情報更新とウイルスチェックはほぼ毎日実施している。CDやフロッピーなど何らかのメディアによって持ち込まれ、対策ソフトの情報更新も間に合わなかったと考えられる」としている。と言っており、IT推進課をして「BlasterがCDやフロッピーなどで持ち込まれる類のワームでは無い」という事すら理解されていないのが悲しい現実だ。
総務省市町村課は「基本的にはファイアーウォールがあるので、住基ネットを経由して他の自治体にウイルス感染する可能性はない」としているそうだが、ファイアーウォールと言えども万全では無いのは大阪府の状況を見れば明らか。そもそもファイアーウォール自体も設定を一つ間違えば全く無意味だし、管理がずさんだとセキュリティーホールやハッキングによるリスクが存在しうる。神話は御伽話であって決して真実では無いのだ。
一方で住基ネットを管理・運営する「地方自治情報センター」は修正ソフトのリリースから1カ月以上たった現在も修正ソフトの検証中らしい。さすがは天下り役人、呑気ですなぁ。
【参照】
●Mainichi INTERACTIVE
■ブラスターと後続ウイルスの教訓 電子政府・電子自治体は大丈夫? 2003年8月20日
■自治体のウイルス感染いぜん拡大 2003年8月20日
■住基ネットのウイルス対策「放置」 修正ソフト検証中 2003年8月19日
●セキュリティホール memo メーリングリスト
-[memo:6309] 内閣官房情報セキュリティ対策推進室がDoS攻撃、と言いたい
