Windows XPが発売されて,はや2カ月。Windows 2000からXPへ移行したユーザーも増えているだろう。筆者自身も,Windows 2000 ProfessionalからWindows XP Professionalへアップグレードした。ところが,マイクロソフトが用意している,XPに必要なパッチの一覧がなかなか分かりづらい。そこで今回のコラムでは,筆者の経験を基に,必要なパッチを整理した。XP Professionalへの移行を考えているユーザーはもちろん,既に移行したユーザーもぜひ参考にしてほしい。
Windows Updateを使わず,マニュアルでパッチを適用
2001年末に騒ぎとなった「ユニバーサル プラグ アンド プレイ」(UPnP)の例を筆頭に,既にWindows XPにもセキュリティ・ホールが発見されている。そのため,「Windows XP Professional」の導入後,まず行うべきことは,必要なパッチを適用することである。
必要なパッチの選定や適用の手段としてまず考えつくのが,マイクロソフトが用意する「Microsoft Windows Update」サイトを活用することである。しかしながら,新規に公開されたパッチが同サイトに反映されるまでにはタイムラグがある。また,同サイトではすべてのパッチ情報が登録されるわけではなく,同社が重要だと思うものについてのみ登録される。その判断基準は明確ではなく,不明な点がある。そのため,筆者はWindows Updateを使用せず,同社が公開するドキュメントなどを参考に,マニュアルでパッチを適用することにした。
マニュアルで適用するためには,まず「コントロールパネル」中の「システム」項目において,「自動更新」タブを選択し,「通知設定」項目を変更する。具体的には,「通知設定」項目の「更新を自動的にダウンロードして,インストールの準備ができたら通知する」を「自動更新を使用せず,手動でコンピュータを更新する」に変更する。
「早分かりガイド」などは分かりやすいが情報不足
次に,マイクロソフトの情報を参考に,パッチを適用する。一般ユーザーは,(1)マイクロソフト製品をより安心してご利用いただくための「ホームユーザー向け セキュリティ対策 早わかりガイド」と,(2)「TechNet Online」を参考にすることになろう。
(1)において,Windows XP Professionalの「ステップ2: 修正プログラムのインストール」を確認すると,「Q315000_WXP_SP1_x86_JPN.exe」というパッチだけがピックアップされている。「問題の詳細」を見ると,「ユニバーサル プラグ アンド プレイ (UPnP) に含まれる未チェックのバッファによりシステムが侵害される (MS01-059)」と「無効なユニバーサル プラグ アンド プレイのリクエストがシステムのオペレーションを妨害する (MS01-054)」のパッチであることが分かる。また,2001年12月20日以降の 「Microsoft Windows Update」 に含まれていることも明記されている。
確かに,前回のコラムで紹介した通り,「MS01-059」のセキュリティ・ホールは非常に深刻であるため,パッチの適用は不可欠である。
(2)の「TechNet Online」の「Windows XP Professionalセキュリティ修正プログラム一覧」においても,同じく「Q315000_WXP_SP1_x86_JPN.exe」だけがピックアップされている。
本当に「Q315000_WXP_SP1_x86_JPN.exe」のパッチを適用するだけで十分なのであろうか。そんなことは全くない。例えば,Internet Explorer(IE)用パッチである「2001 年 12 月 13 日 Internet Explorer 用の累積的な修正プログラム (MS01-058)」は,「Windows XP Professional」インストール後に必ず適用しなければならないパッチの一つである。
「これはIEのパッチであり,Windows XP Professionalのパッチではない」と言ってしまえばそれまでかもしれないが,ユーザーにとっては不親切過ぎるだろう。ユーザーが実際に必要とするのは,「Windows XP Professionalに直接関係するパッチ」ではなく,「Windows XP Professional環境をセキュアにするためのパッチ」である。(1)と(2)の情報だけは不十分なのだ。
そこで,一般ユーザーはあまりチェックしないと思われる,(3)「Microsoft ダウンロード センター」の日本語版コーナーで調べることにする。「ダウンロードの検索」でカテゴリを選択し,「オペレーティングシステム&サーバー」で「Windows XP」を設定し検索すると,パッチ関係では7件が表示された(2002年1月18日現在)。
それらは,筆者が「マイクロソフト セキュリティ情報一覧」や「HotFix & Bulletin Search」で検索した結果,および,その他の関連ドキュメントから調査した結果ともほぼ一致し,妥当であると判断できるので,以下に「必要なパッチ一覧」として紹介する。
「『Windows XP Professional』に必要なパッチ一覧」
powered by 「今週のSecurity Check」
(a)Windows XP Security Patch: Unchecked Buffer in UPnP can lead to system compromise
[「ユニバーサル プラグ アンド プレイ (UPnP) に含まれる未チェックのバッファによりシステムが侵害される (MS01-059)」を修正するパッチ,最大危険度 : 高]
(b)Internet Explorer Security Update: December 2001
[「2001 年 12 月 13 日 Internet Explorer 用の累積的な修正プログラム (MS01-058)」を修正するパッチ,最大危険度 : 高]
(c) Windows Media Player 6.4 セキュリティ パッチ: Windows Media Player の .ASF ファイル処理に,未チェックのバッファが含まれる
[「Windows Media Player の .ASF ファイル処理に,未チェックのバッファが含まれる (MS01-056)」を修正するパッチ,最大危険度 : 高]
(d)Windows XP Security Patch: Visual Studio 6.0 C Runtime Denial of Service Fix
[「SQL Server テキスト フォーマット機能が未チェックのバッファを含む (MS01-060)」を修正するパッチ,最大危険度 : 中]
(e)Windows XP Patch: Remote Assistance
[「JP311889 - リモート アシスタンス接続を確立できない」を修正するパッチ]
(f)Windows XP Security Patch: Visual Studio 6.0 C Runtime Denial of Service Fix (64 Bit)
[「SQL Server テキスト フォーマット機能が未チェックのバッファを含む (MS01-060)」を修正するWindows XP 64-Bit Edition 用パッチ,最大危険度 : 中]
(g)Windows XP Patch: AMD Power Now availability in XP
[AMDのCPU性能をきめ細かく管理できる「PowerNow!」機能を,Windows XPが利用できるようにするパッチ]
ただし,(f)と(g)はプラットフォームに依存する,少々特殊なケースである。そのため,一般的なユーザーにとって必要なパッチは,(a)から(e)までの5点である。
十分使える「Windows Update」,XPユーザーは「自動更新機能」の利用を
最後に,「Microsoft Windows Update」サイトではどこまでカバーされているのかチェックしてみた。ただし,同サイトにアクセスするには,IEをインターネット上で使用する必要があるので,「2001 年 12 月 13 日 Internet Explorer 用の累積的な修正プログラム (MS01-058)」を適用した後にアクセスした。そのため,必要なパッチとして「MS01-058」が表示されることはない。アクセスした結果を以下に示す(2002年1月18日現在)。
「インストールする更新の選択」の「重要な更新」には,以下の3点がピックアップされていた。
(1)セキュリティ問題の修正プログラム - 2001 年 12 月 17 日
[「ユニバーサル プラグ アンド プレイ (UPnP) に含まれる未チェックのバッファによりシステムが侵害される (MS01-059)」を修正するパッチ,最大危険度 : 高]
(2)リモート アシスタンスの接続
[「JP311889 - リモート アシスタンス接続を確立できない」を修正するパッチ]
(3)Windows XP アップデート パッケージ - 2001 年 10 月 25 日
[「JP309521 - Windows XP アップデート パッケージ - 2001 年 10 月 25 日」]
筆者がリストアップした一覧と,Windows Updateの結果を比較した。結論から言うと,Windows Updateの結果は,筆者によるリストとほぼ一致しており,Windows Updateでも十分であることが明らかとなった。
まず,(1)と(a),および(2)と(e)は同一である。(b)については,前述のように適用してからWindows Updateを利用したので,当然表示されない。(3)は,そのドキュメントである「JP309521」には記載されていないものの,「MS01-059」に記載されているように,(c)を含んでいる。
(d)については,(1)から(3)に含まれていない。しかし,前回のコラムで紹介した通り,パッチの対象であるC ランタイムはOSで重要な役割を果たす上に,セキュリティ・ホールの影響度はやや低い。そのため,マイクロソフトでは,ユーザー自身が適用の必要性を慎重に検討するよう推奨していた。そのため,(1)から(3)の「重要な更新」にあえて含めなかったものと考えられる。
つまり,「Windows Updateでは不十分」と考えて,ドキュメント中心で必要なパッチをリストアップしたが,Windows Updateの「重要な更新」に従えば,十分カバーできることが明らかとなった。そして,Windows XP には,Windows Update Web サイトの「重要な更新」をチェックする「自動更新機能」が存在する(自動更新機能については,「JP294871 - Windows XP の自動更新機能について」を参照)。この機能が十分有効であることが,今回の検証作業で明らかとなった。
一般ユーザーが,「Microsoft ダウンロード センター」などを逐一チェックして,必要なパッチを選択することは少々困難であろう。上記のように,Windows XPの自動更新機能は有効なので,積極的に活用すべきだ。もちろん,過信は禁物である。本コラムの冒頭で述べたように,新規パッチが登録されるまでにはタイムラグが存在するし,すべてのパッチが登録されるわけでない。自動更新機能を活用するにしても,必要最低限のセキュリティ情報は,常に自分自身でウォッチしなくてはならない。
また,気になるのは Windows Updateサイトの安定性である。同サイトが適切に稼働していないと,自動更新機能も役に立たない。「Microsoft Windows ファミリー Home Page」等に“ひっそりと”記載してある通り,2002年1月10日深夜に,Windows Updateが適切に動作しない現象が確認され,2002年1月15日に復旧するというトラブルが報告されている。「Microsoft Windows Update」は,Windows環境のセキュリティ維持に関して,重要な役割を担うことが期待される。安定稼働のための,なお一層の努力をお願いしたい。
各種サーバー・アプリでは日本語版パッチ公開が2件
各種サーバー・アプリ関連では,「マイクロソフト セキュリティ情報一覧」にて,日本語版パッチが2件公開された。
(1)Network DDE Agent の要求が,システム コンテキストでコードを実行してしまう (MS01-007)
過去のコラムで紹介した通り,Windows 2000 Professional/Server/Advanced Server/Datacenter Server において,攻撃者から Network DDE Agent 経由で,ローカル システム コンテキスト上で任意のコードを実行される恐れがある(詳細については,過去のコラムを参照のこと)。
既にパッチが公開されているが,今回,「SP 2 以降のパッケージに関する問題を解決するため」と称して,新たなパッチが公開された。過去のコラム,および「MS1-007」のページからリンクが張られている技術情報「Windows 2000 Hotfixes Have Been Repackaged to Verify the Inclusion of Previous Fixes (Q299549)」で解説しているように,過去のパッチは「preliminary(準備) version」で,今回公開されたパッチは「final version」に対応する。緊急性を要するものではないが,タイミングをみて新しいパッチを適用しよう。なお,今回のパッチ更新に伴い,「MS01-007」のページの「修正プログラムのインストール確認方法」欄で紹介されている,レジストリ・キーのデータも更新されているので注意したい。
(2)SQL Server テキスト フォーマット機能が未チェックのバッファを含む (MS01-060)
前回のコラムで紹介した通り,SQL Server 7.0/2000 において「テキスト フォーマット機能」を使用している場合,攻撃者から任意のコードが実行されたり,DoS攻撃を受けたりする恐れがある(詳細については,前回のコラムを参照のこと)。
Windows NT 4.0/2000/XP のパッチは既に公開されているが,Windows XP 64-Bit Edition 用のパッチが今回公開された。ただし,パッチの適用には,ユーザー自身がその必要性を十分検討することを勧めている。
「TechNet Online セキュリティ」ではドキュメントが4件
TechNet Online セキュリティでは,ドキュメントが4件公開された。(1)「“.NET ウイルス” に関する情報」,(2)「Gigger に関する情報」,(3)「デマウィルスに気をつけましょう」,そして(4)「『Passportのセキュリティに関する緊急情報』メールに関する最新情報」である。
(1)は,.NET Framework で動作するソフトウエアに感染する「W32.Donut」ウイルスに関する情報である。このウイルスは「.NET ウイルス」と呼ばれているものの,感染手法に関しては,.NET のテクノロジを使うわけではなく,Win32 ベースのソフトウエアに感染する,既知のウイルスに見られるテクニックを利用しているに過ぎない。
(2)は,Outlook Expressのパッチを装う「Gigger」ワーム(ウイルス)に関する情報である。題名が「Outlook Express Update」で,本文に「MSNSofware Co.」と記載されたメールで感染を拡大する。
ワームを実行してしまうと,ワームは Outlook アドレス帳に登録されているすべてのメール・アドレスに対して,自分自身のコピーを送信する。併せて,チャット・ソフト「mIRC」経由でも,感染を拡大しようとする。さらに,C ドライブをフォーマットしようとする,危険度が高いワームである。マイクロソフトが,電子メールでパッチを送付することは絶対にない。だまされないように注意しよう。
(3)は,ウイルス等のデマ・メールに関する情報である。前回紹介した,「sulfnbk.exe」の削除を促すメールもその一種である。「マイクロソフト情報公開ポリシー」では,各報道機関などにより告知されたデマ・ウイルスに対し,マイクロソフト製品にかかわる問題と判断した場合には,情報公開を行うと明言している。
(4)は,前回紹介した,意図が不明な「Passportのセキュリティに関する緊急情報」のメールに関する追加情報である。メールを受信していないユーザーへの情報発信も兼ねている。
メールには記載されていなかった,セキュリティ・ホールの対象と最新の修正パッチについて,および最新パッチの適用方法が記載されている。セキュリティ・ホールについての説明は十分ではないが,最低限の情報を追加公開したことは評価できる。
マイクロソフト セキュリティ情報一覧
『Windows 2000』
◆Network DDE Agent の要求が,システム コンテキストでコードを実行してしまう (MS01-007)
(2002年1月15日:SP 2 以降のパッケージに関する問題を解決するために修正パッチの新しいバージョンがリリース)
『SQL Server』
◆SQL Server テキスト フォーマット機能が未チェックのバッファを含む (MS01-060)
(2002年1月15日:この問題に対する Windows XP 64-Bit Edition 用の C ランタイムの日本語版修正パッチを追加公開,最大危険度 : 中)
TechNet Online セキュリティ
◆“.NET ウイルス” に関する情報 (マイクロソフト:2002年 1月16日)
◆Gigger に関する情報 (マイクロソフト:2002年 1月16日)
◆デマウィルスに気をつけましょう (マイクロソフト:2002年 1月15日)
◆「Passportのセキュリティに関する緊急情報」メールに関する最新情報 (マイクロソフト:2002年 1月15日)
山下 眞一郎(Shinichiro Yamashita)
株式会社 富士通南九州システムエンジニアリング
第二ソリューション事業部システムサービス部 プロジェクト課長
yama@bears.ad.jp
「今週のSecurity Check [Windows編]」は,IT Proセキュリティ・サイトが提供する週刊コラムです。Windows関連のセキュリティに精通し,「Winセキュリティ虎の穴」を運営する山下眞一郎氏に,Windowsセキュリティのニュースや動向を分かりやすく解説していただきます。(IT Pro編集部)
