日本ではお盆休みの時期に大流行した「Blaster(MSBLAST,Lovsan)」ワームと,Blasterに続いて広まった「Welchi(Welchia,Nachi)」ワーム,そしてこれらの被害が収まったころに電子メールを通じて大流行した「Sobig.F」ウイルス――。多くのユーザーにとって8月は,Windowsを狙ったワームやウイルスに悩まされ続けた月だっただろう。

 特にBlasterとWelchiの出現は強烈だった。これらのワームによって,今なお「買ってきたパソコンをネットにつないだだけで感染してしまう」という危険きわまりない状況が続いているのは,大いに不安を感じさせる。筆者はお盆休みの時期に友人から「パソコンを新調したいが,何かおすすめのモデルはないか?」とメールで質問されたが,「この時期に買うのはおすすめできない」と返信せざるをえなかった。

 確かにWindows XPパソコンであれば,購入直後にOS標準のパーソナル・ファイアウオール機能を有効にすることで,BlasterやWelchiの侵入を防ぐことができる。防御法にはほかにも,「DCOMを無効にする」「ルーターやファイアウオールの設定でポート135を閉じる」――など様々な手段がある。

 しかし初心者を含めた全ユーザーが,これらの防御策を適切に講じられるだろうか。筆者は,Blasterが狙う「MS03-026」のセキュリティ・ホールがあらかじめ修正されたWindows XPが出荷されなければ,全ユーザーが安心してパソコンを買える日が戻らないと考えている。マイクロソフト日本法人は,Blaster対策CD-ROMを20万枚配布するといった対策を発表しているが,年間1000万台パソコンが出荷される日本においては,焼け石に水である(関連記事)。

修正は来年の夏までお預け!?

 残念なことに,ユーザーの願いと逆行する動きを米Microsoftは見せている。Microsoftは8月に,Windows XP Service Pack(SP) 2の公開予定時期を,従来の2003年内から2004年中盤(mid-2004)へと変更したのだ(注1)。

注1:筆者が8月18日に気づいたときには,SP2の提供時期は「2004年第3四半期」になっていた。しかし後日,“若干”早い2004年中盤に変更された(関連記事)。また米国での報道によれば,提供時期は2004年前半にまで繰り上がる可能性もあるという。

 なぜSP2の提供時期が重要かというと,出荷されるバージョンのWindowsに修正が加えられるのは,通常は新しいSPが出た時点であるからだ。つまり,SP2が2004年中盤まで公開されないということは,MS03-026のセキュリティ・ホールが修正されたWindows XPもそれまで出荷されないということにほかならない。

 問題はこれだけではない。Microsoftは最近になって「Windows XPのパーソナル・ファイアウオールの設定をデフォルトでONにする」ことを明らかにしている(関連記事)が,これもSP2での変更が有力である。また,多くのユーザーや情報システム管理者は,今回のワーム騒動の教訓として「Windows Updateの自動更新機能はデフォルトで有効にしてほしい」と願っていることだろう。しかし,そのような設定が加えられるタイミングも,SP2(またはそれ以降のSP)以外に考えられない(注2)。

注2:このような設定変更は新しい問題も発生させるため,実際に変更が必要かどうかは今後も検討が必要だろう。パーソナル・ファイアウオール機能を有効にすると,Windowsネットワークに問題が生じる恐れがあるほか,Windows Updateの自動更新機能は,ダイヤルアップ・ユーザーにとっては荷が重いと考えられるからだ。

 そもそも,前のSPであるWindows XP SP1の公開から,もう1年が経とうとしている。MicrosoftはMS03-026のセキュリティ・ホールの有無にかかわらず,Windows XP SP2の公開を極力急ぐべきだったのだ。もしSP2が遅れるというのであれば,なるべく早い時期に「MS03-026対応済みのWindows XP」を出荷すべきであろう。そうでなければ怠慢である。

重いPCベンダーの「責任」

 Microsoftだけでなく,「Windowsプレインストール・パソコン」という最終製品を販売しているPCベンダーにも努力が求められる。PCベンダーは,Microsoftから“調達”したWindows XPに自社でソフトウエアを追加して販売している。それと同じように,MS03-26の修正モジュールもあらかじめ製品にインストールすればよいのだ。

 実は,PCベンダーにはそのような修正を加える権利がMicrosoftから与えられている。実際にNECや富士通,ソニーといった大手ベンダーは,9月~10月に発売する予定の秋冬モデルの新製品から,MS03-26の修正モジュールをあらかじめ追加して製品を販売する予定である(関連記事)。

 Windowsパソコンという最終製品を販売しているのは,MicrosoftではなくPCベンダーである。消費者に対する責任を果たすために,一刻も早くセキュリティ修正を施したパソコンを出荷するべきである。

注3:この記事では,「初心者が購入することは少ないだろう」という判断から,Windows 2000やWindows NT 4.0については触れなかった。もちろん,Windows NT/2000も危険性は全く同じである。それどころかWindows 2000の場合,最新のSPであるSP4が出た直後にMS03-026のセキュリティ・ホールが見つかったため,SPでのセキュリティ修正は2005年に登場予定(!)のSP5まで待たなくてはならないので,問題はより深刻である。

(中田 敦=日経Windowsプロ)