山下 眞一郎/富士通九州システムズ 基盤ソリューション本部
ネットソリューション部 担当部長

 ある企業のシステム管理者から『去年に引き続き夏季休暇は分散取得しているが,それでも8月13日から取得する社員が一番多い。システム管理者として長期休暇の前後に徹底すべき事項があれば,アドバイスしてほしい』と相談を受けました。

 去年のコラムで述べたように年末年始,ゴールデンウィーク,夏季休暇など長期休暇の前には,様々なセキュリティに関連する団体や企業からセキュリティ対策の注意喚起が行われます。

 例えばマイクロソフトは,「長期休暇の前に セキュリティ対策のお願い」という2003年12月10日にリリースしたレポートを,2009年4月30日に最終更新して公開しています。

写真1●マイクロソフトの長期休暇前の注意喚起のページ
[画像のクリックで拡大表示]

 こうした長期休暇に伴う注意喚起のレポートは,それぞれの長期休暇によって内容に変更がある訳ではなく,基本的には同様の内容で公開されます。

 しかし,日本の場合はどれもが同じような対策で良いという訳ではなく,特に「夏季休暇」に注意すべきです。というのも,マイクロソフトのセキュリティ情報(パッチ)の定期リリースのスケジュールは「第2火曜日の翌日」であり,日本の「夏季休暇」と重なるもしくは近いケースが多いからです。

 筆者は以前から,マイクロソフトのセキュリティ・パッチの場合,「公開されてから24時間以内に評価を完了し,48時間以内に適用を完了する」ことを勧めています。これは,セキュリティ・パッチそのものをリバース・エンジニアリング技術で分析することにより,数時間で攻撃コードの作成が可能になるケースがあるからです。

[関連記事]
「パッチから攻撃プログラムを自動生成」,米研究者が実験に成功(2008/04/21)

 今年8月の定期リリース日は,長期休暇の開始日が多いと想定される8月13日の1日前の8月12日(水)であり,緊急5件,重要4件です。

 概要は「マイクロソフト セキュリティ情報の事前通知 - 2009 年8月」(8月12日に「8月のセキュリティ情報」に置き換わる予定)に記載されています。特に緊急の5件は,全てリモートから不正なコードを実行させられる可能性があるセキュリティ・ホールですので,該当する場合は早急な対応が必要です。

 また,7月13日に情報が公開されて以降,対応パッチが未だ公開されておらず,加えて実際の被害報告もあるゼロ・デイのセキュリティ・ホールの「マイクロソフト セキュリティ アドバイザリ(973472) Microsoft Office Web コンポーネントの脆弱性により,リモートでコードが実行される」の対応も含まれているのではないかと考えています。

■更新履歴
8月7日に「マイクロソフト セキュリティ情報の事前通知 - 2009 年8月」のページが更新されたため,記事中の情報も更新しました。本文は更新済みです。[2009/08/07 13:30]

 今回冒頭の相談を受けたケースのように,パッチ公開日の翌日(8月13日)から長期休暇に入りパッチ適用が完了していない場合,例えば休暇明けが翌月曜日(8月17日)だとすれば,パッチの公開日から実に5日間も“未対応の空白期間”が生じることになります。このため,休暇前にマイクロソフトの定期リリース・パッチ適用を完了する必要があります。

 さらに,Flash PlayerやAdobe Reader,Acrobat 9の最新版でも影響を受けるというゼロ・ディのセキュリティ・ホールに対応したアップデートも,7月31日にようやく公開されました。こちらも非常に危険ですので,休暇前にアップデートを完了する必要があります。

 詳細は,「Security updates available for Adobe Flash Player, Adobe Reader and Acrobat」に公開されています(本コラムは,Windows版のFlash PlayerとAdobe ReaderおよびAcrobat 9に関して記述していますので,他の製品に関してはアドビのレポートをご参照下さい)。

[関連記事]
Flash PlayerとAdobe Readerの最新版が公開,危険な脆弱性を複数解消(2009/07/31)
Flash Playerに危険な脆弱性,悪用する「PDFウイルス」が出現(2009/07/23)

Flash Playerはいったん削除してから

 まず,Adobe Flash Playerに関してチェックしましょう。

 Adobe Flash Player 10系は“10.0.32.18”,Adobe Flash Player 9系は“9.0.246.0”が最新版となります。

 Adobe Flash Player 10系の最新版“10.0.32.18”は,「Player Download Center」から,Adobe Flash Player 9系の最新版”9.0.246.0”は,「Flash Player 9 for Unsupported Operating Systems」から,ダウンロード可能です。

 なお,今回はAdobe Flash Player 9系も最新化されましたが,以前のコラム「Flash,Adobe Readerの推奨はあくまでも最新バージョン」で述べたように,基本的にはAdobe Flash Player 10系に早急にバージョンアップすべきだと考えます。

 「アドビ製品 テクニカルサポート対象バージョン」のサポート対象もAdobe Flash Player 10系だけとなっており,アドビ自身も「アドビは,サポートされたシステムのすべてのFlash Playerユーザーが,Flash Player Download Centerを通してPlayerの最新版に更新するよう勧めます」とコメントしています。

 そしてAdobe Flash Playerは,以前のコラム「Webブラウザを使い続けるための“お勧め”設定【プラグイン編】」で述べたように,IEが使用する『ActiveXコントロール版』と,FirefoxやOperaその他のブラウザが使用する『Netscape Plugin API(NPAPI)版』の2種類が存在します。

 更新漏れが発生しないように,必ず「Flash PlayerプラグインおよびActiveX コントロールをアンインストールする方法」に掲載されている2種類のAdobe Flash Playerを同時に削除するツールである“Flash Player アンインストーラ”を必ず実行して,2種類のAdobe Flash Playerを確実にいったん削除することからスタートしましょう。

 また更新後は,「Adobe Flash Player のバージョンテスト」のWebページにアクセスして,実際に最新版になっているかを確認しましょう。ただし,このWebページの最終更新日は2009年2月24日の状態で,「現在の Flash Player バージョン」として古いバージョン“10.0.22.87”が掲載されたままなので注意しましょう。