セキュリティ・ホールの概要と影響度

　前述したとおり、OWAはクライアントのWebブラウザ（Internet Explorer）を利用して、Exchangeサーバの情報にアクセス可能にする機能だ。電子メールだけでなく、予定表（スケジュール管理）や連絡先（アドレス帳）といったExchangeサーバの機能にクライアントからアクセスするには、クライアント・コンピュータにインストールしたOfficeアプリケーションのOutlookを使うのが一般的だが、OWAを使えば、クライアント側にOutlookがインストールされていなくても、ブラウザからExchangeサーバの各種機能にアクセスできるようになる。ユーザーが使用するクライアント・コンピュータを特定できない場合や（複数のパートタイム・ユーザーが何台かのコンピュータを共有するなど）、外出先の不特定のPC環境からExchangeサーバにアクセスする場合などに有用である。

　このOWA機能にクロスサイト・スクリプティングの脆弱性があり、攻撃用スクリプトを含むHTMLメールをユーザーが開き、メール内部に置かれた攻撃用リンクをクリックしてしまうと、攻撃者がExchangeサーバのデータにアクセスできる可能性がある。あるいはブラウザ・キャッシュやWebプロキシを操作することで、本来とは異なる偽装サイトをユーザーに使わせたりすることが可能となる。

　攻撃に悪用されるユーザーは、Exchangeサーバの正しいアカウントを所有していなければならない。従って匿名でのOWAアクセスを許可していないかぎり（通常は許可しない）、内部事情を知らない外部の攻撃者による攻撃を受ける危険は小さい。とはいえ、OWAによるアクセスを許可したExchange Server 5.5を管理しているなら、修正プログラムの適用を実施すべきだ。

　DA Labで検証したところ、MS04-026の修正プログラムを適用すると、自動的に各種サービスを停止し、IISやExchangeストア、Exchange System Attendant Servicesなどを再起動する。このためExchangeサーバのサービスは一時停止するので、Exchangeサーバへのアクセスがないことを確認してから修正プログラムの適用を行う必要がある。

対象プラットフォーム

　今回修正プログラムが提供される環境は以下のとおりである。修正プログラムの適用には、Exchange Server 5.5 SP4の事前適用が必要である。

影響を受けるソフトウェア	対象プラットフォーム
Exchange Server 5.5	Exchange Server 5.5 SP4
MS04-026の影響を受けるソフトウェアとプラットフォーム