Microsoftは2003年11月からセキュリティ情報公開プロセスを変更すると発表しました。詳細はこちらを参照していただくとして,この記事では,この変更とWindows一般ユーザーへの影響を考えてみることにします。

 まず自然な疑問として,「なぜ公開プロセスが変更されたのか?」を考えておく必要があります。Microsoftは「お客様からの要望」があったからと説明しています。基本的には,修正パッチの公開頻度が高く,すべてのWindowsユーザーの負担が増してしまった,と考えてよいでしょう。同社のより正確な説明に興味のある方は,こちらをご覧下さい。

 次に抱く疑問は,「セキュリティ情報の公開変更が新たな問題や混乱を発生させることにはならないか」ということです。ご承知のように,インターネットからの攻撃タイミングは予測できません。つまり,攻撃タイミングをスケジューリングすることは不可能です。この点については,Microsoftは,次のように述べています。

「マイクロソフトは,お客様がウイルス,ワーム,攻撃またはそのほかの悪質な活動により,即時の危険を被ると判断した場合は,上記のリリース スケジュールに従わず例外措置をとります。この場合,マイクロソフトはセキュリティ修正プログラムを可能な限り迅速にリリースし,お客様を保護する手助けをします。」

 この説明を読むと,Microsoftは,緊急性の高いもの(リリース・スケジュール不可能な修正パッチコード)とそれほど高くないもの(リリース・スケジュール可能な修正パッチコード)という区別をしている(あるいは,しようとしている)ことが分かります。ほとんどのWindowsユーザーはこの区別の意味(境界線引きの基準)を具体的に理解できないと思います。

 そこで今回は,10月15日に公開された5種類の修正パッチ情報を分析して,リリース・スケジュール可能な修正コードとリリース・スケジュール不可能な修正コードの境界線引きについて,サンプル・プログラム実行し,具体的に考えてみることにします。

今回のサンプル・プログラム

図1●インストールされた修正パッチ情報
図2●サンプル・プログラムの実行結果
 まずは,今回のサンプル・プログラムをこちらからダウンロードし,実行してみましょう。このサンプル・プログラムは,デフォルトでは,「KB828035」と「KB825119」という2種類の管理IDを持つ修正パッチ情報を収集し,表示してきます。ちなみに10月15日には,図1[拡大表示]のような修正パッチが公開されていました。

 ご覧のように,Windows XP SP1環境では,5種類の修正パッチのうちの,4種類が適用されます。他のサポート情報の収集・表示方法は後ほど説明します。私の環境では図2[拡大表示]のような結果が返されました。この表示情報を注意深く見ると,次のような相違があることが分かります。

KB825119表示情報
InstalledDate: 10/15/2003
BuildDate: Thu Aug 28 09:53:14 2003

KB828035表示情報
InstalledDate: 10/15/2003
BuildDate: Sat Oct 04 08:28:08 2003

 この2つはビルド日付とインストール日付(正式には米国時間の公開日付)の時間的なずれが異なります。KB825119の方は,1カ月以上の間隔がありますが,KB828035ではビルドしてから10日程度の短い間隔で公開されています。このデータを単純に解釈すれば,KB825119は1カ月間隔でリリースできることになり,KB828035はリリース・スケジュール不可能なコードということになります。

 これら2つの修正パッチの意味は,表示画面下の「Click」欄をクリックすれば効率的に確認できます。クリックしてみると,いずれも「バッファーオーバーラン」を悪用されるものです。つまり,メモリーとCPUが外部から乗っ取られるものです。したがって,リリース・スケジュールを待たずに迅速にリリースすべきパッチだと考えられます。このように考えてくると,境界線引きは難しい,と現時点では結論付ける以外にありません。今後の推移をさらに見守りたいと思います。

 また,クリック後に表示されるページを見ると,公開情報のフォーマットがすでに変更されていることが分かります。Microsoftは,このフォーマット変更を次のように説明しています。

「各修正プログラムについて,サポート技術情報を作成し,同じ情報を重複せずに,対応するセキュリティ情報へのリンクを提供します。」

 この説明内の「サポート技術情報」は,KB825119などのようなKB(Knowledge Base)情報であり,「セキュリティ情報」は, 「MS03-044」などのMSセキュリティ管理情報です。2つの情報は区別されますから,ここできちんと覚えておきましょう。実際にクリックしてみると分かりますが,サポート技術情報ページは,セキュリティ情報ページへのリンクを提供するだけになり,詳細な技術情報は「セキュリティ情報」に移動・統合されています。

サンプル・プログラムの機能と拡張上のヒント

 今回のサンプル・プログラムはリスト1のようになっています。ソースコード構成は基本的にこれまでのものと変わりませんから,お時間のあるときに読んでみてください。ソースコードを読んでいくと,次のようなコードがあります。

strTargetKB1 = "KB828035"
strTargetKB2 = "KB825119"
'strTargetKB2 = "KB823182"
'strTargetKB2 = "KB824141"

 これらのコードのコメントを有効/無効にすることにより,2種類の任意の修正パッチ情報を収集できます。お時間のあるときにぜひ試してください。

 サンプル・プログラムの結果から分かるように,リリース・スケジュール可能な修正パッチコードと不可能な修正パッチコードの境界はあいまいのままです。一般のWindowsユーザーは,そのような境界を理解することはできません。一般のWindowsユーザーから見た場合,今回の変更は大変分かりにくい,といえると思います。少なくとも,修正パッチの公開頻度変更とセキュリティ向上の間の明確な関係が見えてきません。このような不安を持つのは私だけでしょうか?

 今回は以上で終了です。次回またお会いいたしましょう。ごきげんよう!