「マイクロソフトセキュリティ情報一覧」がリニューアル

情報が整理され，検索機能も向上

山下眞一郎

2001.04.18

　マイクロソフト製品のセキュリティ・ホール情報とその対応策やパッチの一覧を公開している「マイクロソフトセキュリティ情報一覧」がリニューアルされた。情報が分かりやすく整理され検索機能も充実し，情報参照時の利便性が向上した。こういった取り組みは大歓迎だ。ただし改善の余地はまだある。今後も同様の取り組みを続けてほしい。

情報が探しやすくなり，更新履歴も明確に

　「マイクロソフトセキュリティ情報一覧」のリニューアルで改良されたのは以下の3点である。

（1）一覧表示機能に表示オプションが追加され，セキュリティ・ホールの概要や修正パッチに関する情報も合わせて表示することが可能になった。

（2）検索機能が拡張され，キーワード，セキュリティ情報番号，サポート技術情報番号による情報の検索が可能になった。

（3）MS01-001 以降の各セキュリティ情報に更新履歴が付加され，新たにパッチが提供されたり，サポート技術情報が公開されたりした場合に一目でわかるようになった。

　以上のように，リニューアルにより必要な情報が非常に探しやすくなり，各セキュリティ情報の更新履歴が明確になった。

「ダウンロードモジュール一覧」も更新再開，ただし改善の余地大

　加えて，「ダウンロードモジュール一覧」の更新が再開された。この一覧は，現在までに発見されているセキュリティ・ホールをふさぐには，OSの各Service Packを適用した後にどの修正パッチを適用すればよいのかを整理したものである。更新が止まっていたことについては，「最終更新日が2000年3月23日であり，非常に古い情報のまま放置されているため，注意が必要だ」と，2001年1月24日掲載のコラムでも指摘していた。更新が再開され，喜ばしい限りだ。

　「ダウンロードモジュール一覧」のトップ・ページには，最終更新日が「2001年3月15日」と記載されているが，これよりも新しい情報がフォローされている。例えば，「Windows NT4.0 ServicePack6a用，対応モジュール一覧」ページの最終更新日は2001年4月11日であり，後述する「無効な PPTP パケットストリームがカーネルを枯渇させてしまう」の修正プログラムも早速紹介されている。

　ただし詳細にチェックすると，ページによっては情報が不十分である。「Windows 2000 ServicePack 1用，対応モジュール一覧」では必要な情報がほぼ網羅されているにも関わらず，「Windows NT4.0 ServicePack6a用，対応モジュール一覧」には必要最低限の情報すら記載されていない。

　例えば「PC/AT 互換機」用には現在パッチが30件弱存在するが，そのうち18件しか紹介されていない。さらにひどいことに，絶対に対応が必要な「『Web サーバーによるファイル要求の解析』のぜい弱性に対する対策」が紹介されていない。これはこのコラムで何度も紹介したように非常に深刻なセキュリティ・ホールだ。至急見直して改善してほしいものだ。

　また，「ダウンロードモジュール一覧」の構成も工夫してほしい。修正パッチだけを一覧で記述する方式では，パッチが出ていないセキュリティ・ホールがどれくらい存在するのかが明確でない。各Service Packを適用した段階で，「影響を受けるセキュリティ・ホールがどのくらいあるのか」，そして「その中で修正パッチが公開されているものはどれか」などが明確に分かるような情報提供を，ぜひお願いしたい。これらを改善すれば，「ダウンロードモジュール一覧」はもっと“使える”情報になるはずだ。

「セキュリティ情報」では新規の日本語版用パッチが1件公開

　上記以外のWindows関連セキュリティ・トピックス（2001年4月13日時点分）を整理する。新規のセキュリティ・ホール情報は存在しないが，「マイクロソフトセキュリティ情報」では既存のレポートがアップデートされ，日本語版用パッチが1件公開された。「無効な PPTP パケットストリームがカーネルを枯渇させてしまう」に関するWindows NT 4.0用日本語版パッチである。

　このセキュリティ・ホールについてはこのコラムで既に紹介済みだ。影響を受けるのはWindows NT 4.0 Workstation/Server/Server, Enterprise Edition/Server, Terminal Server Edition。NT 4.0のセキュリティで保護されたリモート・セッションを提供するPPTP サービスのセキュリティ・ホールを突かれて，攻撃者から DoS攻撃を受ける可能性がある。今回，Windows NT 4.0 Server, Terminal Server Edition用以外の日本語版パッチがすべて公開された。

　ただし，レポートにも記載されているとおり，PPTPサービスを動作しているマシンだけがこのセキュリティ・ホールの影響を受ける。PPTPサービスはデフォルトでは動作していないので，影響を受けるケースは少ないであろう。必要に応じてツールを適用しよう。なお，Windows 2000のPPTPサービスはこのセキュリティ・ホールの影響を受けない。

「ダウンロードセンター」ではIE 5.01 SP2が公開

　「Microsoft ダウンロードセンター」では，Internet Explorer の最新アップデートとセキュリティ・ホールの修正パッチが含まれる「Internet Explorer 5.01 Service Pack 2 (SP2) 」が公開されている。対象OSはWindows 95/98/NT 4.0/2000である。ただし，どのようなパッチが含まれているのかなど詳しい内容についてはまだ公開されていない。

　しかも「Internet Explorer Home Page」では紹介されておらず，かろうじて「Internet Explorer Product Downloads」のページからのリンクがあるだけで，とても一般ユーザーが気付くような状態ではない。

　マイクロソフトによると，このService Packには深刻なセキュリティ・ホールである「不適切な MIME ヘッダーが原因で Internet Explorer が電子メールの添付ファイルを実行する」のパッチが含まれているという。そのため，もっと積極的に告知してほしい。

「TechNet Online - Security」では暗号関係のドキュメントが1件

　「TechNet Online - Security」では，ドキュメントが1件公開された。「暗号と PKI の基本」という，暗号および PKI (公開カギ暗号基盤) の概要を紹介し，Windows 2000 Server でPKIを利用する際の基本的な情報を整理したものである。

　暗号化などの概要が非常に分かりやすく整理されているので，興味のある読者はチェックしておくとよいだろう。

マイクロソフトセキュリティ情報

　■(MS01-009)無効な PPTP パケットストリームがカーネルを枯渇させてしまう（2001年4月12日：Windows NT 4.0用の日本語版パッチ公開）

Microsoft ダウンロードセンター

　□Internet Explorer 5.01 Service Pack 2（2001年4月4日：Windows 95 & 98, NT 4.0 & 2000用の日本語版Service Pack公開）

TechNet Online　目的別インデックス（セキュリティ情報）

　■暗号と PKI の基本（2001年4月12日：日本語訳公開）

山下　眞一郎（Shinichiro Yamashita）
株式会社富士通南九州システムエンジニアリング
第二ソリューション事業部システムサービス部プロジェクト課長
yama@bears.ad.jp

　「今週のSecurity Check [Windows編]」は，IT Proセキュリティ・サイトが提供する週刊コラムです。Windows関連のセキュリティに精通し，「Winセキュリティ虎の穴」を運営する山下眞一郎氏に，Windowsセキュリティのニュースや動向を分かりやすく解説していただきます。（IT Pro編集部）