セキュリティ > セキュリティ情報検索

圧縮フォルダのパスワードが復元されてしまう (MS01-019)

公開日: 2001年3月29日 | 最終更新日: 2001年6月1日

概要 :

このセキュリティ情報の対象となるユーザー :
Microsoft® Plus! 98 および Windows® Me の圧縮フォルダ機能を使用しているお客様

脆弱性の影響 :
データ圧縮パスワードが復元される可能性があります。

推奨する対応策 :
圧縮フォルダをパスワードで保護しているユーザーは更新プログラムを適用し、c:\windows\dynazip.log を削除してください。

影響を受けるソフトウェア :

Microsoft Plus! 98

Microsoft Windows Me

Top of sectionTop of section

詳細

問題

技術的な説明 :
Plus! 98 はWindows 98 と Windows 98 Second Edition の機能を拡張するオプション パッケージで、Windows Me にも搭載されている圧縮フォルダというデータ圧縮機能が導入されています。その機能は主なサード パーティ圧縮ツールとの相互運用性を図るために導入され、その機能を使うと、圧縮されたフォルダのパスワード保護オプションが使用できるようになります。しかしパッケージの実装上の問題により、フォルダを保護するためのパスワードは、ユーザーのシステム上にあるファイルに記録されてしまいます。攻撃者がパスワードで保護されたフォルダが格納されている該当のマシンにアクセスできる場合、そのパスワードを解読し、ファイルにアクセスできる可能性があります。

この問題によりセキュリティ上の脆弱性が発生しますが、パスワード保護機能はセキュリティを強化するために設計されたものではないことを理解しておくことが重要です。パスワード保護機能は、他のサード パーティのデータ圧縮製品のパスワード保護機能との相互運用性のために追加されたもので、用意周到でない検査に対して保護するに過ぎません。ファイルを強力に保護する必要があるお客様は Windows 2000 を使用する必要があります。

この更新プログラムは、今後パスワードがユーザーのシステムに書き込まれるのを防ぎます。しかし、よく寄せられる質問でも説明しているように、この更新プログラムの適用後、c:\windows\dynalog.zip を削除して、それまでに記録されたパスワードが全て削除されているか確認することが重要です。

問題を緩和する要素 :

ここで問題になっているパスワード メカニズムは、ユーザーのネットワーク認証メカニズムには全く関係なく、パスワード保護の圧縮フォルダのみに使用されるものです。

攻撃者が、パスワードを復元するためには、該当のシステムに物理的にアクセスするか、マシンの所有者が c:\windows フォルダを故意に共有している必要があります。

脆弱性識別番号 :
CAN-2001-0152

テストしたバージョン :
マイクロソフトは Windows Me および Plus! 98 のテストを行い、これらの脆弱性による影響を評価しました。データ圧縮機能は、それより前のバージョンには存在していません。

Top of sectionTop of section

よく寄せられる質問

どのようなことが起こる可能性がありますか?

Windows Me および Plus! 98 (Windows 98 と Windows 98 Second Edition のアドオン パッケージ) ではフォルダが圧縮された後、そのフォルダをパスワードで保護するためのオプション機能を提供します。この脆弱性はこれらのフォルダを保護するために使用されたパスワードを漏えいします。攻撃者が該当するマシンにあるパスワードで保護されたフォルダにアクセスした場合、この脆弱性を利用してそのフォルダの読み取りや変更ができます。

明らかに、パスワードはシステムで利用可能であってはいけません。しかし、この問題を正しく理解することが重要です。ここで問題となっているパスワードはパスワードで保護された圧縮ファイルだけに関わります。ユーザーのログオン時のパスワードとは関係ありません。また、パスワード保護機能はアクセス制御の仕組みとして動作するようには設計されていません。これは単にサード パーティによる製品のパスワード メカニズムとの互換性のために提供されています。この更新プログラムを適用した後でも、このパスワード保護機能は単に何気ないのぞき見に対する保護を提供します。強力なアクセス制御など、強固なセキュリティを必要とするお客様は Windows 2000 を使用して下さい。

何が原因で起こりますか?

Windows Me および Plus! 98 はデータ圧縮機能を提供しており、これにより圧縮フォルダをパスワードで保護することができます。しかし、特定の状況において、パスワードはユーザーのシステムのファイルに記録されます。

Plus! 98 とは何ですか?

Plus! 98 は Windows 98 および Windows 98 Second Edition に追加機能を提供するオプション パッケージです。ここで問題となっているデータ圧縮機能に加え、ウィルス検索、ディスク クリーニング機能、ゲームなど、その他の機能を提供します。

データ圧縮機能とは何ですか? またパスワード保護がどのように関わっているのですか?

Plus! 98 と Windows Millenium は圧縮フォルダと呼ばれる機能を持ち、ディスク容量を節約する方法としてフォルダやファイルを圧縮します。圧縮フォルダ機能はいくつかのサード パーティのユーティリティと同じアルゴリズムを使用します。しかし、サード パーティのツールよりもさらに便利です。ユーザーはプロパティ ページでフォルダを圧縮するかどうかを選択することができます。

この機能により、圧縮フォルダをパスワードで保護することができますが、ここに脆弱性が存在しています。仕様上、パスワードは記録されるべきものではありません。しかし、現実には、パスワードはユーザーのシステム上のファイルに記録されます。

攻撃者はどのようにこの脆弱性を利用しますか?

攻撃者がマシンに物理的なアクセスを持つ場合、パスワードを読み取り、そのシステム上にあるパスワードで保護された圧縮フォルダにアクセスすることができます。

このパスワードにより、攻撃者はネットワークにログオンできますか?

ここで問題となっているパスワードは圧縮フォルダ機能だけに使用されます。このパスワードはネットワーク ログオン パスワード等の他のパスワードとは全く別のものです。ユーザーはこのパスワード用に任意の値を選択することができます。しかし、複数の箇所で同一のパスワードを使用することはセキュリティ上避けるべきです。

この脆弱性の深刻性はどの程度ですか?

システム上にパスワードが保存されることは明らかにセキュリティ上の脆弱性ですが、パスワード保護機能は本来強固なセキュリティを提供するものではありません。これは単に何気ないのぞき見に対し、ファイルのコンテンツを保護するものです。仕様上、Windows 98 と Me はアクセス制御の仕組みを提供しません。そしてこの機能はアクセス制御の仕組みとして機能することを意図されていません。強固なアクセス制御を必要としているお客様は Windows NT® または Windows 2000 をご使用ください。

このオプションが強固なセキュリティの提供を意図していないのであれば、なぜ提供されているのですか?

圧縮フォルダ機能の主な仕様上の目的は、主なサード パーティ製圧縮ツールとの相互運用性でした。この目的を達成するために、互換性のある圧縮とパスワードのアルゴリズムを使用して、サード パーティ製圧縮ツールと同じ機能を実装することにしました。

Plus! 98 をインストールしていませんが、Windows 98 を使用しています。この脆弱性の影響を受けますか?

いいえ、受けません。データ圧縮機能は Windows 98 と Windows 98 Second Edition には含まれていません。これらの製品を使用しているお客様はシステムに Plus! 98 パッケージをインストールしている場合だけ、この影響を受けます。

Windows 95 を使用していますが、この脆弱性の影響を受けますか?

いいえ、受けません。圧縮フォルダ機能は Windows 95 には含まれていません。

Plus! 95 はこの脆弱性の影響を受けますか?

いいえ、受けません。データ圧縮機能は Windows 95 と Plus! 95 には同梱されていません。

Windows 95 ユーザーは Plus! 98 をインストールすることができますか?

いいえ、できません。Plus! 98 は Windows 98 または Windows 98SE を動作しているシステムにのみインストールできます。

だれが更新プログラムを適用する必要がありますか?

マイクロソフトは Windows Me または Plus! 98 を使用し、かつ圧縮フォルダにパスワード保護機能を使用しているお客様に、この更新プログラムを適用することを推奨します。

更新プログラムは何を修正しますか?

この更新プログラムはパスワードがディスクに書き込まれないようにして、この脆弱性を排除します。

この更新プログラムを適用した後、何か必要なことはありますか?

はい、あります。更新プログラムを適用すれば今後、パスワードがシステムに保存されることはありませんが、過去に保存されたパスワードを削除する必要があります。削除する方法は Windows エクスプローラを使用して c:\windows\dynazip.log ファイルを削除して下さい。

Top of sectionTop of section

更新プログラム

この問題に対する日本語版更新プログラムは、以下のリンクからダウンロードできます。

Microsoft Windows Me
http://download.microsoft.com/download/winme/Update/14715/WinMe/JA/252694JPNM.EXE

Microsoft Plus! 98

PC/AT 互換機用
http://download.microsoft.com/download/win98/Update/14715/W98/JA/252694JPN8.EXE

NEC PC-9800 シリーズ用
http://download.microsoft.com/download/win98/Update/14715NEC/W98/JA/252694NEC8.EXE

更新プログラムに関する追加情報

対象プラットフォーム :
この更新プログラムは Plus! 98 をインストールした Windows 98 および Windows 98SE システムにインストールすることができます。また Windows Me にもインストールすることができます。

今後リリースされるサービス パックに含まれる更新プログラム :
Windows Me のためのサービス パックのリリースの予定はまだ決定しておりません。しかし、Windows Me のためのサービス パックが作成される際には、この問題に対する修正は含まれる予定です。

更新プログラムのインストール確認方法 :

Plus! 98:
zipfldr.dll のバージョン情報が 日本語版 NEC システムでは 5.0.526.20、他の言語のバージョンでは 5.0.518.20 であることを確認してください。

Windows Me:
zipfldr.dll のバージョン情報が 5.50.4213.1600 であることを確認してください。

警告 :
なし

他のセキュリティ更新プログラムの入手先 :
他のセキュリティ問題を解決する更新プログラムは以下のサイトから入手できます。

セキュリティ更新プログラムはマイクロソフト ダウンロード センターからダウンロードすることができます。「security_patch」のキーワード検索によって容易に見つけることができます。

コンシューマ プラットフォーム用の更新プログラムは、Microsoft Update Web サイトからダウンロードできます。

更新プログラムについてのご質問は、マイクロソフト プロダクト サポート までご連絡ください。マイクロソフトでは、ご質問の内容が弊社製品の不具合が原因の場合、サポート料金はいただきません。それ以外の場合には、サポート料金を請求させていただきますのでご注意ください。
マイクロソフト プロダクト サポートへの連絡方法はこちらをご覧ください。

Top of sectionTop of section
Top of sectionTop of section

詳細情報 :

US マイクロソフトセキュリティ情報(MS01-019)
http://www.microsoft.com/technet/security/bulletin/ms01-019.mspx

サポート技術情報 (KB) 文書番号 : 252694
圧縮ファイルのパスワードが保存される問題の更新プログラム 

更新履歴 :

2001/03/29: このセキュリティ情報ページを公開しました。

2001/4/12: この問題に対する日本語版 KB JP252694 を公開しました。

2001/5/23: パスワード メカニズムは認証メカニズムとは異なるメカニズムであることを明確にするため、「問題を緩和する要素」 の欄を更新しました。

2001/6/1: この問題に対する日本語版更新プログラムを公開しました。

本セキュリティ情報に含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation 及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation 及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。


ページのトップへページのトップへ