日本語版「セキュリティロールアップパッケージ (SRP) 」がいよいよ登場

決定版! NT 4.0 SP6a 適用後に必要なセキュリティ・パッチ一覧（SRP編）

山下眞一郎

2001.08.08

　待望の日本語版「セキュリティロールアップパッケージ (SRP) 」が8月2日，やっと公開された。このSRPを適用すれば，Windows NT 4.0 Service Pack 6a（SP6a）以降に公開されたセキュリティ・ホールの多くをふさぐことができる。ただし，万全ではない。別途パッチを適用したり，設定を変更したりする必要もある。この点については前回のコラムでも触れているが，今回改めて「NT 4.0 SP6a適用後に必要なセキュリティ・パッチ一覧」としてまとめたので，ぜひ参考にしてほしい。

NT 4.0 SP6a の適用が必須

　前回紹介した英語版「NT4.0 Post-SP6a Security Rollup Package (SRP)」の日本語版がやっと公開された。7月31日に「Windows NT 4.0 Service Pack 6a 以降のセキュリティロールアップパッケージ (SRP) の提供を開始」というWebページが公開され，8月2日に SRP が公開された。ところが，実は7月31日の早朝，最終確認中の SRP が一時ダウンロード可能な状態となっていた。同社はすぐにダウンロードできない状態にしたが，その SRP をダウンロードしたユーザーもいるだろう。その場合にはいったんアンインストールし，再度最終確認済み（8月2日公開）のパッチを適用する必要がある。

　SRP は，SP6a 以降に公開されたセキュリティ関連パッチを集めたものだが，今までのパッチをきちんと適用してきたユーザーも，改めて SRP を適用する必要がある。SRP には，以下のセキュリティ・ホールに対する未公開のパッチが含まれているからだ。

◆(MS00-021)「改ざんされた TCP/IP 印刷リクエスト」の脆弱性に対する対策
◆(MS00-027)「極端に長い環境文字列を生成する引数が指定された場合」の脆弱性に対する対策
◆(MS00-036)「ブラウザからの過度なアナウンス」の脆弱性に対する対策

　SRP 適用の注意点として1点覚えておいてほしいのが，Windows NT 4.0 SP6a の適用が必須であるということだ。

　現在運用しているシステムならば，改めて注意する必要はないだろう。SP6a は適用されている“はず”だからだ。そのまま SRP を適用すればよい。

　問題は，SRP を適用した後にサービスを追加した場合だ。それも，オリジナルの Windows NT 4.0 メディア（CD-ROM）を要求するようなオプション・サービスを追加した場合である。この場合，メディアからサービスをインストールした後，再起動前にまず SP6a を適用しておく必要がある。そして改めて SRP を適用する。つまり，どのような場合でも SRP 適用前には，まず SP6a を適用しておかなければならないことに注意する。具体的な手順については，「JP299444 - Post Windows NT 4.0 SP6a セキュリティロールアップパッケージ (SRP) 」に記載されている。

SRP に含まれていないパッチが存在

　上記の「JP299444」ドキュメントを読み進めると，SRP を適用した後，「必要に応じてその他の post-SP6a 修正プログラムをインストールします」と記載されている。つまり，SRP だけでは万全ではないということだ。

　ここで問題となるのが，「他の post-SP6a 修正プログラム」とは何か---ということだ。それは，前回のコラムで説明した【SRPに含まれず，別途システム管理者の適用判断に任せられるセキュリティ・ホール】と，【SRPに含まれず，別途パッチ適用のほかに設定が必要なセキュリティ・ホール】の日本語パッチである。

　具体的には，以下が該当する。

【SRPに含まれず，別途システム管理者の適用判断に任せられるセキュリティ・ホール】
◆(MS01-022)WebDAV Service Provider によりスクリプトがユーザーとしてリクエストを行う

【SRPに含まれず，別途パッチ適用のほかに設定が必要なセキュリティ・ホール】
◆(MS99-013)File Viewers Vulnerability（英語情報）
　　『サンプルの ASP コードがサーバーファイルを表示するのに利用される』（日本語版パッチが記載されている）

　また，SRP 公開後に公開されたパッチも当然 SRP には含まれないので，別途適用する必要がある。前回のコラムでは【SRP以降に公開されたセキュリティ・ホール】として，「(MS01-041)不正な RPC リクエストがサービスを異常終了させる」を挙げた。しかし，この対応パッチは SRP に含まれていることが明らかとなった。そのため，執筆時点（8月6日）では，【SRP以降に公開されたセキュリティ・ホール】は存在しない。

　結局，SRP と上記の「MS01-022」，「MS99-013」を適用すれば，現時点での SP6a に含まれない日本語版パッチをすべて適用したことになる。では，このことをマイクロソフトは明確に述べているのだろうか。同社のWebページに，SRP の公開はどのように反映されているのだろうか。

意図が理解できない，マイクロソフトのパッチ一覧情報

　マイクロソフトは，「マイクロソフトセキュリティ情報一覧」というWebページに，「ダウンロードモジュール一覧」というコーナーを用意している。その中には，「Windows NT4.0 ServicePack6a をインストール済みのお客様はこちらをご利用ください」として，SP6a後に適用する必要があるパッチの一覧を掲載している。SRP の公開を受けて，この一覧はどのように修正されたであろうか。

　SRP 公開前には，「セキュリティ対応モジュール」として，PC/AT 互換機用だけでも32個の日本語版パッチがリストアップされていた。SRP の登場により，これが3個（すなわち，SRPと「MS01-022」，「MS99-013」）になっているものと考えていた。ところが，改めてこのページを訪れて驚いた。なんと，33個目の日本語版パッチとして，SRP が掲載されていたのである。SP6a 以降のセキュリティ関連パッチを集めた，いわば「セキュリティ版Service Pack 7」ともいうべき SRP が，個別のパッチと同じように掲載されているのである。

　確かに，今まできちんとパッチを適用してきたシステムに対しては，パッチ未公開だった「MS00-021」，「MS00-027」，「MS00-036」をふさぐための33番目のパッチとなろう。しかしながら，オプション・サービスの追加などで，SP6a を再適用した後，SRP を含む33個のパッチをすべて適用しろとでもいうのだろうか。確かに，それでも間違いとは言い切れない。セキュリティ・ホールはふさがることには違いない。しかし，SRP である意味はまったくない。何のための“パッケージ”なのだろうか。30数個も改めてパッチを適用しなくても済むように，リリースしたのではないのか。このような掲載方法では，マイクロソフト自身が，「SP6a 以降の修正プログラムをコンパクトにまとめ，セキュリティの修正を簡単に適用できるメカニズムを備えている」と説明する SRP の役割が台無しである。

　そこで，私が IIS 4.0も対象として SRP の役割を活かすべく作成したのが，以下のリストである。“リスト”と呼ぶほど長くはなく，また，上述の内容と重複する点についてはご容赦願いたい。

■Windows NT 4.0 Service Pack 6a 適用後に必要なセキュリティ・パッチ一覧(SRP編)　
（powered by 「今週のSecurity Check」）

　2001年8月3日時点で，SP6a 適用後，SRP 以外に必要なセキュリティ・パッチ一覧は以下の通りである。なお，Windows NT 4.0の場合，複数の対応パッチを適用する場合には，リリース日の古いものから順番に適用する必要があるため，古い順に並べてある。

◆(MS99-013)File Viewers Vulnerability（英語情報）
　『サンプルの ASP コードがサーバーファイルを表示するのに利用される』（日本語版パッチが記載されている）

◆(MS01-022)WebDAV Service Provider によりスクリプトがユーザーとしてリクエストを行う

　（注1）VM関連である「(MS00-081)『VM のファイルの読み取り』の脆弱性に対する対策」は含めていない。
　（注2）IISのRDS機能関連は，危険度が高いため，対応済みであることを別途確認のこと。

　以上である。このリストの短さからも，SRP がいかに有用かが分かるだろう。30数個のパッチを適用する代わりに，これだけでよいのである。

パッチが相変わらず未公開のセキュリティ・ホールにも注意

　日本語版パッチが未公開で，なおかつ SRP にもパッチが含まれていないセキュリティ・ホールを，以下にリストアップした。設定などで回避できるものは，できるだけ対応しておこう。なお，「(MS01-035)FrontPage Server Extension のサブコンポーネントが未チェックのバッファを含む」は，別途日本語パッチが公開される可能性が高いのでチェックしておこう。

◆(MS98-001)Disabling Creation of Local Groups on a Domain by Non-Administrative Users（英語情報）

◆(MS98-004)Unauthorized ODBC Data Access with RDS and IIS（英語情報）
　『[IIS]RDS，IIS，ODBC のセキュリティ』（回避方法記載）

◆(MS99-025)Unauthorized Access to IIS Servers through ODBC Data Access with RDS（英語情報）
　 [IIS]Microsoft Security Bulletin MS99-025 の日本語FAQ（回避方法記載）

◆(MS99-036)「Windows NT 4.0 が無人インストールファイルを削除しない」ことによる脆弱性に対する対策
　＊インストールの処理過程でコピーされる「%windir%\system32」内のパラメータファイル（通常の無人インストールの場合は「$winnt$.inf」，Sysprep が使用された場合は「$nt4pre$.inf」）をインストール完了後に手動で削除すれば，回避可能

◆(MS99-041)「RASMAN セキュリティ記述子」の脆弱性に対する対策（日本語版パッチ未公開）

◆(MS00-025)「Link View サーバー側コンポーネント」の脆弱性に対する対策（日本語版パッチ未公開，回避方法記載）

◆(MS00-028) 「サーバー側イメージマップコンポーネント」の脆弱性に対する対策（日本語版パッチ未公開，回避方法記載）

◆(MS00-098)「インデックスサービスファイル列挙」の脆弱性に対する対策（全ての言語版のパッチ未公開）

◆(MS01-035)FrontPage Server Extension のサブコンポーネントが未チェックのバッファを含む（日本語版パッチ未公開）

『Windows NT 4.0』は日本語版パッチが新規に1件

　Windows関連のセキュリティ・トピックス（2001年8月3日時点分）を，各プロダクトごとに整理して解説する。『Windows NT 4.0』関連では，「マイクロソフトセキュリティ情報一覧」にて，日本語版パッチが1件公開された。

（1）(MS01-041)不正な RPC リクエストがサービスを異常終了させる

　セキュリティ・ホールについては，既に紹介済み。RPC（リモート・プロシージャ・コール）サーバーの中に，リクエストの確認を適切に行わないセキュリティ・ホールが存在するため，不正なリクエストを送信されると，DoS 状態に陥る恐れがある。

　以前から公開されていたWindows 2000用，Exchange Server 5.5/2000用に加え，今回SQL Server 7.0/2000用，Windows NT 4.0 Workstation/Server/Server, Enterprise Edition用の日本語版パッチが公開された。

　ちなみに，Windows NT 4.0 Workstation/Server/Server, Enterprise Edition用の日本語版パッチは，個別に公開されているわけではなく，セキュリティロールアップパッケージ (SRP) に含まれている。

　なお，ファイアウオールなどで，影響を受けるRPCサーバーが使用するポート番号が遮断されている場合，外部の攻撃者はこのセキュリティ・ホールを悪用できない。レポートでは，該当するポート番号を明示していないが，ファイアウオールでは最低限必要なポートのみ開くのがセオリーのため，危険度は低いだろう。必要に応じてパッチを適用しよう。

トレンドマイクロのゲートウエイ型ウイルス対策ソフトにサービスパック

　トレンドマイクロから，ゲートウエイ型ウイルス対策ソフトである「InterScan VirusWall for Windows NT ver. 3.51J」のサービスパック1が公開された。ユーザーすべてに適用を推奨するという，非常に重要度が高いものだ。

　このサービスパックの適用により，以前このコラムでも解説したセキュリティ・ホールや，「TROJ_SIRCAM.A」が検知できない問題などを修正できる。そのため，対象ユーザーは速やかに適用する必要がある。

◆Windows NT 4.0 Service Pack 6a 以降のセキュリティロールアップパッケージ (SRP) の提供を開始

◆JP299444 - Post Windows NT 4.0 SP6a セキュリティロールアップパッケージ (SRP)

◆J049764 [NT] サービスパックを再適用する必要のあるケース

◆Windows NT4.0 ServicePack6a をインストール済みのお客様はこちらをご利用ください。

マイクロソフトセキュリティ情報一覧

『Windows NT 4.0』

◆(MS01-041)不正な RPC リクエストがサービスを異常終了させる
　（2001年 8月 3日：Windows NT4.0 の日本語版修正パッチを公開）

トレンドマイクロ

◆InterScan VirusWall for Windows NT Ver.3.51J用サービスパック1公開のお知らせ（2001年 7月30日）

◆InterScan VirusWall for Windows NT Ver.3.51J Service Pack 1

山下　眞一郎（Shinichiro Yamashita）
株式会社富士通南九州システムエンジニアリング
第二ソリューション事業部システムサービス部プロジェクト課長
yama@bears.ad.jp

　「今週のSecurity Check [Windows編]」は，IT Proセキュリティ・サイトが提供する週刊コラムです。Windows関連のセキュリティに精通し，「Winセキュリティ虎の穴」を運営する山下眞一郎氏に，Windowsセキュリティのニュースや動向を分かりやすく解説していただきます。（IT Pro編集部）