「Windows NT4.0 Service Pack 6a」公開以降に発見されたセキュリティ・ホールに関する日本語版パッチが,久々に連続公開された。しかし,まだまだNT 4.0には,日本語版パッチが公開されていないセキュリティ・ホールが多数存在し,Service Pack関連ドキュメントも古いままだ。Windows 2000用とは大違いである。パッチ一つひとつを待ってはいられないので,一刻も早く「Service Pack 7」日本語版を公開してほしい。しかしながら,よいニュースもある。「マイクロソフト セキュリティ情報」では,「FAQ(よく寄せられる質問)」が日本語化され,公開され始めた。セキュリティ情報への取り組みが,少しずつではあるが,向上しているといえよう。
望まれる「Windows NT 4.0 Service Pack 7」の公開
「Microsoft ダウンロード センター」では,「Windows NT 4.0 Service Pack 6a」以降の日本語版パッチが,相次いで公開された。(1)「『無効な URL』のぜい弱性に対する対策」,(2)「『NetBIOS Name Server Protocol Spoofing』のぜい弱性に対する対策」,(3)「『リモート レジストリ アクセス認証』のぜい弱性に対する対策」,(4)「『ごみ箱作成に伴う』ぜい弱性に対する対策」の4件だ。
しかしながら,いずれも遅すぎる日本語化である。一番新しいセキュリティ・ホールである「『無効な URL』のぜい弱性に対する対策」でさえも,英語版パッチは4カ月以上前の,2000年9月5日に公開されている。一番古い「『ごみ箱作成に伴う』ぜい弱性に対する対策」にいたっては,実に11カ月以上前の2000年2月1日に,英語版パッチは公開済みである。
Windows NT 4.0用パッチの日本語化は非常に遅れている。「Service Pack 6a」以降に発見された,Windows NT 4.0が対象のセキュリティ・ホールは,私が個人的にピックアップしたものでも45件存在する。今回,立て続けに4件のパッチが公開されたものの,45件中20件のパッチは日本語化されていない。
それに引き換え,Windows 2000用の日本語版パッチは,順調にリリースされている。Windows 2000 Service Pack 1以降の関連セキュリティ・ホール33件中,日本語版パッチが公開されていないのは,私が確認した限りでは3件だけである。残念ながらこうした状況は,リリースが表明されている「Windows NT 4.0 Service Pack 7」の日本語版が登場するまで,解消しないと思われる。一刻も早く公開してもらいたいものだ。
このような状況に加えて,一部のWindows NT Service Pack関連ドキュメントも古いままなので,注意が必要だ。「Microsoft Windows NT 4.0 Service Pack 6a のご案内」からリンクが張られている,「Windows NT4.0 Service Pack 6aをインストール済みのお客様はこちらをご利用ください」というページの情報は,更新されないまま放置されている。最終更新日が2000年3月23日と古く,例えば「PC/AT 互換機」用では,現在全部で25件あるパッチの中で,12件しか紹介されていない。絶対に対応が必要な「『Webサーバーによるファイル要求の解析』のぜい弱性に対する対策」すら紹介されていないのが現状だ。
たとえドキュメントで紹介していなくても,「TechNet Online - IIS 4.0 セキュリティ チェックリスト」で「すべての Microsoft Security Bulletins を確認して,Windows NT,IIS,Certificate Server,および SChannelなどのホットフィックスを調べてください。最新の Microsoft セキュリティ ニュースも確認してください」と書いているように,システム管理者であれば,自分自身の責任ですべて確認するべきと考えているのかもしれない。しかし,それではあまりにも酷である。
次に記述するように,セキュリティ情報への取組みは徐々に向上しており,評価できる側面も見せ始めている。ぜひ,日本語版を含む「Windows NT 4.0 Service Pack 7」のできるだけ早い提供と,Service Pack関連ドキュメントの最新化をお願いしたい。
FAQの日本語化がスタート
2001年1月19日時点では,「マイクロソフト セキュリティ情報」のレポートがアップデートされ,1件の日本語解説と2件の日本語版パッチが新規に公開された。特筆すべきは,今まではごく一部を除き,日本語化されることがなかったFAQ(Frequently Asked Question)が,「よく寄せられる質問 :マイクロソフトセキュリティ情報」として,レポートと併せて公開され始めていることだ。加えて,最近は「登録日」と「更新日」がきちんと分けて明記してあり,非常に分かりやすくなった。
マイクロソフトのIT技術者向けの情報提供サイトである「Microsoft TechNet(テックネット) Online」は,2000年11月の正式リニューアル以来,使い勝手の向上と掲載技術情報の充実が急速に進んでいる。こうした動きは大歓迎したい。
新規情報は次の3件。まず,2001年初のセキュリティ速報が,(1)「『WebクライアントのNTLM 認証』のぜい弱性に対する対策」として日本語化されて公開された。加えて,(2)「『インデックス サービスのクロスサイト スクリプティング』のぜい弱性に対する対策」と(3)「『NetMeeting リモート デスクトップ共有』のぜい弱性に対する対策」に関する,Windows 2000用の日本語版パッチが公開された。なお,(3)については,Windows 2000とWindows NT 4.0が対象であるものの,やはりWindows NT 4.0用日本語版パッチは公開されていない。引き続き注意が必要だ。
「Microsoft ダウンロード センター」では日本語版パッチ1件
「Microsoft ダウンロード センター」では,冒頭で紹介したWindows NT 4.0用パッチ以外に,「マイクロソフト セキュリティ情報」ではアナウンスされていないパッチ情報が1件公開されている。Windows 2000用の日本語版パッチで,「『SNMP パラメータ』のぜい弱性を解決するツール」だ。
このパッチの公開により,Windows 2000のService Pack 1以降のセキュリティ・ホール33件中,日本語版パッチが公開されていないのは,私が確認している範囲では,「『ディレクトリ サービス復元モードのパスワード』 のぜい弱性に対する対策」と「『ハイパーターミナルのバッファ オーバーフロー』のぜい弱性に対する対策」,そして公開されたばかりの「『WebクライアントのNTLM 認証』のぜい弱性に対する対策」の3件のみとなった。
■(MS00-063) 「無効な URL」のぜい弱性に対する対策
□Windows NT 4.0用の日本語版パッチ(2001年1月17日)
■(MS00-047) 「NetBIOS Name Server Protocol Spoofing」のぜい弱性に対する対策
□Windows NT 4.0用の日本語版パッチ(2001年1月15日)
■(MS00-040) 「リモート レジストリ アクセス認証」のぜい弱性に対する対策
□Windows NT 4.0用の日本語版パッチ(2001年1月15日)
■(MS00-007)「ごみ箱作成に伴う」ぜい弱性に対する対策
□Windows NT 4.0用の日本語版パッチ(2001年1月12日)
■Microsoft Windows NT 4.0 Service Pack 6a のご案内
■アップデートサービス「Windows NT4.0 ServicePack6aをインストール済みのお客様はこちらをご利用ください。」
■Microsoft Internet Information Server 4.0 セキュリティ チェックリスト
マイクロソフト セキュリティ情報
■(MS01-001) 「Web クライアントのNTLM 認証」のぜい弱性に対する対策(日本語解説公開:2001年1月12日)
□よく寄せられる質問 :マイクロソフトセキュリティ情報(MS01-001)
■(MS00-084) 「インデックス サービスのクロスサイト スクリプティング」のぜい弱性に対する対策(日本語版パッチ公開:2001年1月18日)
□よく寄せられる質問 :マイクロソフトセキュリティ情報(MS00-084)
■(MS00-077) 「NetMeeting リモート デスクトップ共有」のぜい弱性に対する対策(日本語版パッチ公開:2001年1月19日)
□よく寄せられる質問 :マイクロソフトセキュリティ情報(MS00-077)
Microsoft ダウンロード センター
■(MS00-096)「SNMP パラメータ」のぜい弱性を解決するツール
□Windows 2000用の日本語版パッチ(2000年12月22日)
山下 眞一郎(Shinichiro Yamashita)
株式会社 富士通南九州システムエンジニアリング
第二ソリューション事業部システムサービス部 プロジェクト課長
yama@bears.ad.jp
「今週のSecurity Check [Windows編]」は,IT Proセキュリティ・サイトが提供する週刊コラムです。Windows関連のセキュリティに精通し,「Winセキュリティ虎の穴」を運営する山下眞一郎氏に,Windowsセキュリティのニュースや動向を分かりやすく解説していただきます。(IT Pro編集部)
