2001年2月に公開された,Windows 2000に関する日本語版パッチのアップデート版がマイクロソフトからリリースされた。しかし,日本語情報を読む限りでは,何を修正したものなのかさっぱり分からない。英語情報を調べた結果,以前のパッチは「preliminary version(準備版)」であり,Windows 2000 Service Pack 2(SP2)に含まれる他のパッチへ悪影響をおよぼす恐れがあることが分かった。こういった重要な情報については,日本語できちんと伝えてほしい。パッチを公開すればいいというものではない。

謎のパッチ再リリース

 マイクロソフトは11月26日,「マイクロソフト セキュリティ情報一覧」において,「Windows 2000 イベント ビューアが問題のあるバッファを含む(MS01-013)」に関する修正パッチのアップデートを公開した。

 このセキュリティ・ホールは今年の2月に公開され,このコラムでも既に解説済みではあるが,簡単に振り返っておこう。

 Windows 2000 Professional/Server/Advanced Server/Datacenter Server において,ある特定のデータを含むイベント・レコードを,イベント・ビューアで表示させようとすると異常終了し,さらに,バッファ・オーバーフローが発生することにより,攻撃者が選択した任意のコードを実行してしまう恐れがあるというものであった。

 これは,Windows 2000 のイベント・ビューア・スナップインの,イベント・レコードの詳細を表示するプログラムが,問題のあるバッファを含んでいることが原因である。そのため,ログ内のイベント一覧を見るだけでは,このセキュリティ・ホールの影響を受けない。ユーザーが,特定のデータを含むレコードを開き,さらに,イベントの詳細を表示する場合のみ影響を受ける。

 イベントの詳細を表示しない限り影響を受けないので,攻撃を受ける可能性は小さいように思えるが,任意のコードを実行してしまう恐れがあることには変わりはなく,危険度は高い。そのため,以前のコラムにおいて,パッチの適用を強く推奨した。

 セキュリティ・ホール情報を公開したおよそ1週間後に,日本語版パッチは公開されている。このコラムの読者ならば,既に適用していることだろう。そのパッチのアップデート版がリリースされたとの情報が,今回公開されたのだ。

 「以前のパッチに不具合があったのだろうか」---。当初公開したパッチに不具合があった場合には,当然アップデートされる。今までにも何回かそのようなことがあったので,今回もその類(たぐい)かと考えたが,日本語情報には明確に記載されていない。「サポート技術情報 Q299549(英語情報)で説明されているように,SP2 以降のパッケージに関する問題を解決するため」にリリースしたとしか書かれていない。しかも,“Q299549”にはリンクが張られていない。これを読んだだけではさっぱり分からない。

 「サイレント・アップデートの一種が,今回たまたまアナウンスされたのだろうか」---。あまり知られていないことだが,既に公開したパッチに軽微なバグがある場合には,ユーザーにあえてアナウンスせずにアップデートされることがある。これを「サイレント・アップデート」と呼ぶ。当初の「MS01-013」パッチで見つかったのも軽微なバグであったが,今回に限りなぜか“サイレント”ではなく,律儀にアナウンスした可能性もある。

 とにかく,日本語情報に頼るだけでは推測の域を出ないので,サポート技術ドキュメントの英語情報「Windows 2000 Hotfixes Have Been Repackaged to Verify the Inclusion of Previous Fixes (Q299549)」にあたってみた。すると,ようやく今回のアップデートの意味が分かった。アップデート版は「final version(最終版)」で,今まで公開していたパッチは「preliminary version」であるというのだ。

一部のパッチには「preliminary」と「final」が存在

 Windows 2000 SP2は, 英語版が2001年5月16日,そして日本語版は6月1日に正式にリリースされた。このSP2に含まれなかったパッチには「preliminary version」と「final version」が存在するというのだ。「preliminary version」のパッチが適用されている場合は,SP2に含まれるいくつかのパッチに損失(loss)を引き起こすとしている。なお,どの「preliminary version」が,どのパッチに影響を与えるのかについては,明言されていない。

 では,「preliminary version」と「final version」はどのようにして区別すればよいのだろうか。それについては「Q299549」で明確にされている。SP2のリリース(2001年5月16日)前に作成され,SP2に含まれていないパッチが「preliminary version」である。2月末に作成され,SP2に含まれていない「MS01-013」用のパッチは,まさしくこれに該当する。今回のアップデート版は,これに対する「final version」なのだ。

ツールが出力する「Patch NOT Found」の謎も氷解

 今回のアップデート版リリースの“真相”が明らかになったとともに,パッチの適用状況をチェックするツール「HFNetChk(Microsoft Network Security Hotfix Checker)」での“謎”も氷解した。

 以前,このコラムでも紹介した「HFNetChk」日本語版を筆者が使用した際,「MS01-013」のパッチを適用しているにもかかわらず,「Patch NOT Found(未適用)」と警告が表示された。これは以前のパッチが「preliminary version」であったためだ。今回の「final version」のパッチを適用すれば,この警告は出なくなる。

 マイクロソフトでは,「preliminary version」でも「MS01-013」のセキュリティ・ホールをふさぐことはできるとしている。しかし,HFNetChkでの警告を出なくさせるため,そして,SP2に含まれる他のパッチに影響を与えないために,「final version」パッチを適用したほうがよいだろう。

 今回のような重要情報については,単に日本語版パッチを公開するだけではなく,日本語情報もぜひ提供してもらいたい。「時間の問題で,すぐに提供することは難しい」というのであれば,最低限英語情報へのリンクを用意してもらいたいところだ。

 ところで,気になるのは「MS01-013」以外の「preliminary version」パッチである。「preliminary version」パッチは他にも存在する。これらについては,今回のように「マイクロソフト セキュリティ情報一覧」でアナウンスされた場合に対応していくことはもちろん,「HFNetChk」でも確認したい。

 HFNetChkはパッチのインストール状況をチェックするために,マイクロソフトから提供される「日本語版XMLデータベース」ファイルを使用する。このファイルはパッチの公開状況に合わせてアップデートされている。マイクロソフトからはアナウンスされていないが,ダウンロード可能な「日本語版XML データベース」の“LastDataUpdate”が,当初の10月24日から11月14日にアップデートされている。既にパッチを適用済みで,なおかつ今まで警告が出ていないのに出るようになったら,「final version」パッチが公開された証拠である。「マイクロソフト セキュリティ情報一覧」などで確認して,「final version」パッチをインストールしたい。

 また,各「final version」パッチは,11月上旬にベータ・テストが開始された「Windows 2000 Service Pack 3(SP3)」に吸収される予定である([関連記事])。

各種クライアント・アプリは日本語版パッチが2件公開

 上記以外のWindows関連のセキュリティ・トピックス(2001年12月3日時点)を,各プロダクトごとに整理して解説する。

 各種クライアント・アプリについては,「マイクロソフト セキュリティ情報一覧」にて,追加情報と新規パッチがそれぞれ1件ずつ公開された。

(1)2001 年 11 月 13 日 Internet Explorer 用の累積的な修正プログラム

 セキュリティ・ホールパッチの内容については,過去のコラムで紹介済みなので割愛する。

 今回,Cookie 処理に関連するぜい弱性によって,個人情報が漏えいする可能性があることが明示されるとともに,深刻度が「中」から「高」に再び変更された。前回のコラムでも指摘したように,「中」に変更されたのは“改悪”であり,再び「高」に戻したことは適切な処置と言える。

(2)Windows Media Player の .ASF ファイル処理に,未チェックのバッファが含まれる

  Windows Media Player がサポートしているストリーミング・メディア・フォーマットの1つに「Advanced Streaming Format(ASF)」がある。Windows Media Player 6.4には,この ASF ファイルを処理するコードに未チェックのバッファが含まれているため,攻撃者は不正な ASF ファイルを作成して,それをユーザーに再生させることにより,バッファ・オーバーラン(バッファ・オーバーフロー)を発生させることが可能となる([関連記事])。

 このセキュリティ・ホールを解消する修正パッチが公開された。今回のパッチは,上記以外のセキュリティ・ホールも解消する。具体的には,マイクロソフト セキュリティ情報「MS00-090」「MS01-029」「MS01-042」で報告されている,Windows Media Player 6.4 関連のセキュリティ・ホールに加え,マイクロソフト自身が発見した,これらのセキュリティ・ホールの変種のいくつかにも対応する。

 セキュリティ・ホールは Windows Media Player 6.4 の複数のコンポーネントに存在する。しかし,これらのコンポーネントのいくつかは,過去バージョンとの互換性のために,Windows Media Player 7 および 7.1 に同こんされている。そのため,Windows Media Player 7 および 7.1も影響を受ける。加えて,Windows Media Player for Windows XP も同様の影響を受ける。

 Windows Media Player 6.4/7/7.1用の日本語版修正パッチは,12月3日に公開された。Windows Media Player for Windows XPについては,「Windows Update」から「Windows XP アップデート パッケージ - 2001 年 10 月 25 日」を適用することによって対応可能である。

 今回のパッチを適用すれば,7.1 以外のバージョンでも,セキュリティ・ホールをふさぐことができる。とはいえ,過去に何度か述べているように,Windows Media Player 7.1では,最新のコーデックである Windows Media Audio 8とWindows Media Video 8 を最大限に活用することが可能になる。古いバージョンを使用している場合には,7.1にバージョンアップした後,今回のパッチを適用することをお勧めする。

「セキュリティツールキット」CD の申し込みが可能に

 マイクロソフトの「セキュリティ サイト」では,Windows製品のセキュリティを高めるツール「Hfnetchk」,「IIS Lockdown Wizard ツール」,「URL Scan」の日本語版やドキュメント等を収録した「マイクロソフト セキュリティ ツール キット CD」の配布申し込み受け付けが開始された。申し込みから 1~3 週間後に(ただし,12月中旬以降)無償で出荷される。ただし,Windows 95/98/98 Second Edition(SE)/Me および NEC PC-9800 シリーズには対応していないので,注意が必要だ。

 CD に収録されるツールのうち,「IIS Lockdown Wizard ツール」は11月20日付けで公開されたものだ。「IIS Lockdown Wizard ツール」とは,IIS 4.0/5.0 をセキュアな設定に変更するためのツールである([関連記事])。

 ツールには,変更内容をツールに任せる「エクスプレス モード」と,管理者が選択できる「アドバンスト モード」がある。また,設定を変更直前の状態に戻せるアンドゥ機能もある。

 しかしながら,IISの設定を大幅に変更する“危険な”ツールであるにもかかわらず,Webでの説明はあまりに乏しいので,まだ勧められない。例えば,内容がよく理解できないからといって,ツールお任せの「エクスプレス モード」で設定変更すると,「.asp」に対する関連付けも削除されてしまい,多くのサイトで使用されているActive Server Pages(ASP)機能が使えなくなってしまう。同ツールの使用に関する,詳細なドキュメントが登場するのを待ったほうがよさそうだ。「マイクロソフト セキュリティ ツール キット CD」には,詳細ドキュメントが含まれることを期待している。

3種類のワームに関するドキュメントが公開

 「TechNet セキュリティ センター」では,ドキュメントが3件公開された。「Microsoft SQL Server を狙ったワームに関する情報」と,現在急激に広がっている「ALIZ ワームに関する情報」「BadTrans.B ワームに関する情報」である。

  SQL Server を狙う「CBLAD」ワームは,「SQL Server の管理者『sa』の初期パスワードが設定されない場合がある」という弱点を突く([関連記事])。具体的には,ポート1433経由で,ユーザー名「sa」,パスワード無し(ブランク)でのログインを試み,もし侵入できると,特定のIRCサーバに接続して感染を通知し,加えてFTPサーバに接続してトロイの木馬をダウンロードする。SQL Server の sa のパスワードを設定することで簡単に対応できるので,必要な場合はすぐに実施しよう。

 一方,「ALIZ」ワームや「BadTrans.B」ワームは,Internet Explorer(IE)の既知のセキュリティ・ホールを悪用し,電子メールによって感染を拡大している。セキュリティ・ホールを突くことで,「Nimda」同様,メール本文を開いたり,プレビューしたりするだけで感染してしまう。

 IE 5.01 SP2/5.5 SP2 を適用するか,IE 6(Outlook Express を含む標準構成以上)をインストールすれば,セキュリティ・ホールを突かれることはなくなる。ただし,IE 5.01 のメンテナンスは事実上停止されているので,5.5もしくは6へアップグレードする必要がある。

 IE 5.01 から 5.5 へアップグレードする場合には,十分注意が必要だ。過去のコラムでも指摘したように,Windows 2000 環境下において,IE 5.01 SP2 がインストールされているシステムを IE 5.5 にアップデートした場合,IE の [ヘルプ] - [バージョン情報] から確認できる [更新バージョン] に SP2 と表示されるが,実際にはSP2無しの“素”のIE 5.5の状態であるからだ。

 マイクロソフトのドキュメント「Nimda ワームに対する防御策の説明」に記載されているように,「更新バージョン」ではなく,IE の [ヘルプ] - [バージョン情報] をクリックして表示されるタイトルの下の「バージョン:」の横に表示される数字(例:5.50. 4807.2300 )で確認する必要がある。同じセキュリティ・ホールを突くワームは今後も出回るはずである。もう一度チェックしておこう。

告知されていないセキュリティ・ホールも続々

 最後に,マイクロソフトからはもとより,米Microsoftからも告知されていない,Outlook Express に関するセキュリティ・ホールについてお知らせしておこう。

 まず,セキュリティ情報を公開するWebサイト「penetration technique research site」において,テキスト・メール(「Content-Type: text/plain」であるメール)に書かれているスクリプトを実行してしまうというセキュリティ・ホールがOutlook Express 5.5 に見つかった。詳細については,「今週のSecurity Check[一般編]」を参照してほしい。

 また,国内のメーリング・リストである「セキュリティホール memo ML」では,Outlook Express 5.x/6 のセキュリティ・ホールが指摘されている。メール本文にある特定の文字列が記述されていると,これを表示あるいはプレビューしようとしただけで,Outlook Express がハングアップしてしまう。

 これら2件については,パッチは存在しない。前者については,スクリプトを実行しないように設定変更することが対策となるが,後者については有効な対策は存在しない。Outlook Expressの使用を中止することしか,現状では回避策が存在しない。



マイクロソフト セキュリティ情報一覧

『Windows 2000』
◆(MS01-013)Windows 2000 イベント ビューアが問題のあるバッファを含む
 (2001年11月26日:SP 2 以降のパッケージに関する問題を解決するための修正パッチの新しいバージョンがリリースとの情報を公開)

『Internet Explorer』
◆(MS01-055)2001 年 11 月 13 日 Internet Explorer 用の累積的な修正プログラム
 (2001年11月28日:深刻度を「中」から再び「高」に変更し,Cookie 処理に関連する脆弱性によって個人情報が漏えいする可能性があることが明示された,最大危険度 : 高)

『Media Player』
◆(MS01-056)Windows Media Player の .ASF ファイル処理に,未チェックのバッファが含まれる
 (2001年11月20日:日本語情報を公開,XP版のみ「Windows Update」にて修正可能,2001年12月3日:Windows Media Player 6.4/7/7.1 の日本語版修正プログラムを公開,最大危険度 : 高)

Microsoftセキュリティ サイト

IIS Lockdown Wizard ツール (2001年11月20日公開)

TechNet セキュリティ センター

Microsoft SQL Server を狙ったワームに関する情報 (2001年11月28日公開)

ALIZ ワームに関する情報 (2001年11月22日公開)

BadTrans.B ワームに関する情報 (2001年11月27日公開)

山下 眞一郎(Shinichiro Yamashita)
株式会社 富士通南九州システムエンジニアリング
第二ソリューション事業部システムサービス部 プロジェクト課長
yama@bears.ad.jp

 「今週のSecurity Check [Windows編]」は,IT Proセキュリティ・サイトが提供する週刊コラムです。Windows関連のセキュリティに精通し,「Winセキュリティ虎の穴」を運営する山下眞一郎氏に,Windowsセキュリティのニュースや動向を分かりやすく解説していただきます。(IT Pro編集部)