【無料ツールで作るセキュアな環境（32）】〜SSLアプリケーションの実装ミス〜（執筆：office）

　先週から最適なSSLソリューションを探すことをテーマにSSL関連の技術についてとりあげていて、今号ではその続きを解説するつもりであったが、予定を変更してちょっとしたトピックスをお伝えしたい。

特集特集

2001.9.13 Thu 12:00

　先週から最適なSSLソリューションを探すことをテーマにSSL関連の技術についてとりあげていて、今号ではその続きを解説するつもりであったが、予定を変更してちょっとしたトピックスをお伝えしたい。

　つい先日の8月30日、Win32.Invalid.A@mmと名づけられた新たなウイルスの発見についてCentral Command Inc.が報告した[1][2]。このウイルスはメールによって送られてくるが、そのメールの送り主とタイトルは：

　From: "Microsoft Support" support@microsoft.com
　Subject: Invalid SSL Certificate

となっていて、マイクロソフトのサポートからSSLの認証の問題について連絡されているかのような体裁となっている。そして、本文には

Hello,
Microsoft Corporation announced that an invalid SSL certificate that web sites use is required to be installed on the user computer to use the https protocol.During the installation, the certificate causes a buffer overrun in Microsoft Internet Explorer and by that allows attackers to get access to your computer.

という英文で始まるセキュリティに関する警告文が書かれている。その警告文の概要は、Internet Explorerを用いて悪意あるサイトとSSLによる通信をしようとすると、バッファーオーバーランによって不正アクセスされることがあるという内容であり、いかにももっともらしく感じるかも知れないが全く虚偽である。そしてその問題を防ぐ修正ソフト（パッチ）としてsslpatch.exeというファイル名の添付ファイルがつけられている。

　実際にはこのファイルはウイルスであり、Windows98マシンでこのsslpatch.exeを実行するとウイルスに感染、発病するとのことである。その結果ウイルスは自身のファイルのあるディレクトリとその親ディレクトリに *.ht* という形式のファイルを探し、その内容の「mailto:」というキーワードの後ろに書かれているメールアドレスにウイルス自身を全く同じメールとして送りつける。また同時に同じ場所に*.exeファイルを探し、そのファイル内にコードを埋め込み、結果としてそのファイルを破壊して実行ファイルとして使えなくする。

　従ってこのようなメールを受け取ってもその内容を信じてはいけないし、また添付された実行ファイルを絶対に起動させてはいけない。

　さて、本稿はウイルス自体を紹介するのが主たる目的ではなく、本意はこのトピックスで示されているような「SSLに関するセキュリティホールが、実際に存在しうる」ということを読者に再確認していただきたいということだ。

office
office@ukky.net
http://www.office.ac/

[1] http://www.centralcommand.com/aug30.html
[2] http://support.centralcommand.com/cgi-bin/command.cfg/php/enduser/std_adp.php?p_refno=010830-000008