Windows 2000 日本語版 Service Pack 3(SP3)の公開が近づいている。しかし筆者は不安を感じている。まず第1に,SP3の公開は予定(2002年夏)よりも遅れるのではないかということ。第2に,個別のセキュリティ・パッチを適用しているユーザー(管理者)は,SP3を適用する必要がないのではないかということ。そして第3が,SP3を適用することでマシンの安定稼働を損なうのではないかということである。筆者としては,SP3が公開されてもすぐには適用せず,しばらく様子を見ることをお勧めしたい。

筆者が抱える3つの懸念

 以前のコラムで紹介した通り,当初予定されていた「Security Rollup Package(SRP)」の次バージョン「SRP2」のリリースがキャンセルされた。SRPとは,Windows 2000用のセキュリティ関連パッチを集めた“集積”パッチであり, 第一弾のSRP1は2002年1月30日にリリースされている。

 キャンセルの理由は,SRP2の開発が遅れ,Windows 2000 SP3のリリース時期に近づいたためだ。Windows 2000 日本語版 SP1は2000年9月8日,SP2は2001年6月1日に公開されており,SP3は2002年夏までに公開される予定であることが明らかにされている(関連記事)。SRP2に含まれる予定だったセキュリティ関連パッチは,SP3に含めて提供することになった。

 もう暦は2002年7月の半ばである。Windows 2000 SP3の公開を待ちわびているシステム管理者は多いだろう。しかし筆者にはいくつか懸念材料がある。

  1. SP3の公開は予定よりも遅れるのではないだろうか?
  2. 個別に公開されているセキュリティ・パッチを適用していれば,SP3を適用する必要はないのではないだろうか?
  3. SP3を適用するとトラブルが発生するのではないだろうか?
 というのも,
  1. SP3に含まれるパッチがまだ決まっていない
  2. SP3にしか含まれない,未公開の日本語版用セキュリティ・パッチが存在しない
  3. パッチだけを集めた従来のSPとは異なり,新機能が追加される
――からである。Windows 2000用の過去のService Pack(SP)については,適用を積極的に勧めてきた筆者であるが,SP3に関しては少々異なる。特に(3)の理由から,SP3が公開されてもすぐには適用せず,しばらく様子を見ることをお勧めしたい。もちろん,Windows 2000 日本語版 SP2 と SRP1 および必要な個別パッチをきちんと適用していることが必要条件である。

いまだに決まらない,SP3に含まれるパッチ

 例外もあるが,ほとんどのセキュリティ・パッチのモジュール名(ファイル名)には,例えば「Qxxxxxx_W2k_SP3_x86_ja.exe」というように,そのパッチが含まれるSPを示す文字列が含まれている(この例では“SP3”)。しかし,この原則が現在大きく崩れている。

 例えば,5月23日に公開された

Windows Debugger の認証問題により,アクセス権が昇格する (Q320206) (MS02-024)

のモジュール名は「Q320206_W2K_SP4_X86_JA.exe」であり,Windows 2000 SP4 に含まれるべき名称となっている。しかし,マイクロソフトのレポートには「注意 : 本修正プログラムは,Windows 2000 Service Pack 4 に含まれる予定となっておりましたが,問題の重要性を考慮し Windows 2000 Service Pack 3 に含めることにいたしました。当初の予定のため,修正プログラム名は "SP4" を含んだ形で命名されていますが,先述のとおり Windows 2000 Service Pack 3 に含まれますので,ご注意ください」との注意書きが記載されている。

 さらに,6月13日に公開された

HTR のチャンクされたエンコードのヒープ オーバーランにより Web サーバーのセキュリティが侵害される (Q321599)(MS02-028)

も同様に,モジュール名「Q321599_W2K_SP4_X86_JA.exe」に“SP4”の文字が含まれているにもかかわらず,SP3に含まれると記述されている。ただし,「MS02-024」のレポートとは異なり,詳細な説明はない。

 ところが,同じく6月13日に公開された

リモート アクセス サービスの電話帳の未チェックのバッファによりコードが実行される (Q318138) (MS02-029)

のモジュール名は「Q318138_W2K_SP3_X86_JA.exe」となっており,レポートにはSP3に含まれる旨が明記されている。

 以上のモジュール名を見る限り,一度は「SP3に含めるパッチは『MS02-024』の前まで。『MS02-024』以降はSP4に含める」と決めたものの,その方針が変わったように推測できる。つまり,予定ではSP3公開が迫っているにも関わらず,SP3に含めるパッチが決まっていないのだ。

 SPには,過去のすべてのパッチが含まれていることが理想ではある。しかし,SPを作成している間に新しい個別パッチが公開される可能性は十分にある。実際,Windows 2000 日本語版 SP1が公開された時点で,SP1に含まれていない新規のパッチは15件存在した。SP2が公開された時点では9件存在した。SPを作成するには,ある時点で“締め”なくてはならない。締めた時点から,そのSPが公開されるまでにタイムラグが存在するのは仕方がない。締めた時点以降に公開されたパッチは,その次のSPに包含されてきた。

 ところが,SP4に含まれる予定のセキュリティ・パッチは,事実上まだ1件も存在しない。つまり,まだ締められていないのだ。こうした状況から,近々Windows 2000 日本語版 SP3が公開されるとは,筆者にはとても思えない。

SPにしか含まれないパッチは存在しない

 Windows 2000 SP3の適用を筆者が積極的にお勧めしない理由の一つは,その必要性がないと思うからだ。SP3にしか含まれない日本語版用セキュリティ・パッチは存在していない。

 現状のマイクロソフトの取り組みを見る限りでは信じられないかもしれないが,Windows 2000 日本語版 SP1には,個別には公開されていなかったパッチが3件も存在した。

 具体的には,

「区切り文字なしの .HTR リクエスト」 および 「.HTR 経由のファイル フラグメントの読み取り」のぜい弱性に対する対策 (MS00-031)
「Protected Store のキー暗号化」のぜい弱性に対する対策 (MS00-032)
「ローカル セキュリティ ポリシーの破壊」のぜい弱性を解決する修正プログラム (MS00-062)

 これらの日本語版用パッチは,SP1公開後に順次公開されたが,SP1公開時には存在しなかった。つまり,上記のセキュリティ・ホールにきちんと対応するためには,SP1の適用は不可欠だったのだ。

 しかし現時点では,日本語版用パッチが未公開のセキュリティ・ホールは存在しない。つまり,いままでのパッチをきちんと適用していれば,SP3をあわてて適用する必要はないのである。

 なお,Windows 2000 SP2 以降に公開されたパッチについては,「Windows 2000 SP 2 セキュリティ修正プログラム一覧」を参照してほしい。今回の原稿執筆にあたり,筆者自身が運営する「Winセキュリティ虎の穴」で管理している内容と比較したところ,きちんと情報が更新されていることが確認できた。

 過去のコラムでは,2002年4月21日時点で,Windows 2000 日本語版 SP2 と SRP1 の適用後に別途必要なセキュリティ・パッチは9件と紹介したが,現在では「MS02-024」「MS02-028」および「MS02-029」の3件が加わり,12件となっている。

SP3で追加される“新機能”に不安

 SP3の適用を筆者が積極的にお勧めしない最も大きな理由は,SP3では新機能が追加されるからだ。新機能により,システムの安定稼働が損なわれる恐れがないとはいえない。

 少なくともWindows 2000のSPに限っていえば,従来は,過去に公開されたパッチを検証した上で集めたパッケージであった。例えば,SP2は「アプリケーションとの互換性」「セキュリティ」「Windows 2000 セットアップ」「オペレーティング システムへの信頼性」の問題点を解決し,OSの品質向上を目指したものであり,新機能の追加は含まれていないとされていた。

 ところがSP3では,新機能が追加される。自動更新機能(関連記事)や設定項目の拡張(関連記事)などである。新しい機能が加わる以上,過去の経験から,思わぬトラブルが発生する可能性は十分にある。マイクロソフトの正式な発表ではないものの,新機能の不備を伝える「Windows 2000のSP3のリリース時期メド立たず」という記事も登場している。

 セキュリティを万全にする目的で適用したSPによって,システムの信頼性が損なわれたら,それこそ本末転倒である。システムの安定稼働のためには,“君子危うきに近寄らず”という姿勢を徹底し,しばらく様子を見たほうが懸命であろう。

SQL Serverのセキュリティ・ホールが2件

 上記以外のWindows関連セキュリティ・トピックス(2002年7月13日時点分)を,各プロダクトごとに整理して解説する。

 各種サーバー・アプリケーション関連では,「マイクロソフト セキュリティ情報一覧」にて,新規日本語情報およびパッチが2件,追加情報が1件公開された。

(1)SQL Server のインストール プロセスで,パスワードがシステムに残る(Q263968) (MS02-035)

 影響を受けるのは,Microsoft Data Engine 1.0 (MSDE 1.0) を含む SQL Server 7.0 および SQL Server 2000。システムに対話的にログオンできるユーザーに,sa パスワードまたはドメイン・アカウント・パスワードを盗まれる恐れがある。対策は,インストール・ファイルの削除あるいは移動,もしくは「KillPwd ユーティリティ(KillPwd.exe)」の実行など。

 SQL Serverのインストールの完了後,サーバー上に「setup.iss」と呼ばれる,パスワード情報を含むセットアップ・ファイルが残ることが原因である。加えて,インストール・プロセスでは,インストールの結果を示すログ・ファイルが作成される。そのログ・ファイルにも,setup.iss ファイルに保存されるすべてのパスワードが含まれる可能性がある。

 そして,パスワードを含んだこれらのファイルは,対話的にログオンできるユーザーがアクセス可能なフォルダに保存されてしまうのである(ただし,SQL Server 2000 が作成する setup.iss ファイルを除く)。深刻なセキュリティ・ホールと認識し,早急に対策を施す必要がある。

 ただし,setup.iss ファイルおよびログ・ファイルを削除した場合や,管理者がインストール後にパスワードを変更した場合には影響を受けない。

 また,不要なパスワード情報を削除する KillPwd ユーティリティを使用することでも,影響を回避できる。同ユーティリティは同社サイトからダウンロードできる。SQL Server 7.0の場合は SP1/SP2/SP3/SP4を適用したシステムに,SQL Server 2000の場合にはSP1/SP2を適用したシステムにて実行可能である。

 なお,リモートから今回のセキュリティ・ホールを悪用することはできない。対話的にログオンできる場合に限られる。そのため,上記対策に併せて,対話的にログオンできるユーザーの制限と,適切なパスワードの管理を徹底しよう。

(2)SQL Server 用の累積的な修正プログラム (Q316333) (MS02-034)

 SQL Server 2000 および SQL Server Desktop Engine (MSDE) 2000が影響を受ける,3つの新しいセキュリティ・ホール情報が公開された。最も深刻なセキュリティ・ホールについては,攻撃者の選択したコードが実行される可能性がある。

 対策はパッチを適用すること。深刻なセキュリティ・ホールなので,速やかにパッチを適用しよう。なお,SQL Server 7.0は影響を受けない。

 今回の「MS02-034」は,

  1. 「パスワード暗号化プロシージャの未チェックのバッファ」
  2. 「一括挿入プロシージャの未チェックのバッファ」
  3. 「SQL Server サービス アカウント レジストリ キーの不適切なアクセス権限」
という,3つのセキュリティ・ホールが対象だ。それぞれの最大深刻度の評価はいずれも「中」である。

 a と b については,任意のクエリーの読み込み/実行を無効にしている場合や,クエリーの実行前にフィルタリングしている場合には,セキュリティ・ホールの影響を受けない。c に関しては,システム・アカウントを持たないユーザーが悪用することはできない。

 SQL Server 2000 用の修正パッチは,SQL Server 2000 SP2 を適用済みのシステムに適用可能である。なお,今回のパッチは累積的な修正パッチであり,SQL Server 2000 用に過去にリリースされたすべての修正パッチを含んでいる。

(3)HTR のチャンクされたエンコードのヒープ オーバーランにより Web サーバーのセキュリティが侵害される (Q321599)(MS02-028)

 以前のコラムでお知らせした通り,Internet Information Server/Services(IIS)4.0/5.0 が対象となるセキュリティ・ホールである。悪用されると,サービスを異常終了させられたり,任意のコードを実行されたりする恐れがある。

 セキュリティ情報やパッチは既に公開されているが,米国時間2002年7月1日,この問題に対する深刻度が「中」から「高」に高められ,関連する情報が追加された。

 深刻度が高められた理由として,「チャンクされたエンコードのぜい弱性の一般からの注目度が上がり,その他のプラットフォーム上で,同様のぜい弱性を悪用するコードの存在が確認されたため,脅威となる環境が大幅に変化したことに対応するため」と記載されている。具体的には,Apacheで発覚した「チャンク形式エンコーディング」機能のセキュリティ・ホールに関連した対処だと考えられる(関連記事)。

 ただし,チャンク形式エンコーディング機能に関するセキュリティ・ホールは,今回の「MS02-028」が初めてではない。以前のコラムでも指摘した通り,「MS02-018」のセキュリティ・ホールも,チャンク形式エンコーディング機能に関するものだ。両者の違いは,「MS02-028」はHTR を実装する ISAPI エクステンションが原因であるのに対し,「MS02-018」の場合は,ASP を実装する ISAPI エクステンションが原因である。

 IIS の累積的な修正パッチである「MS02-018」は,IISを運用する上で適用が不可欠である。もし,「MS02-018」のパッチを適用していないのであれば,「MS02-028」のパッチと併せて,適用を徹底しよう。

VPN接続の不具合を修正する,NT/2000/XPの更新パッチが公開

 各種OS関連では,「マイクロソフト セキュリティ情報一覧」にて,更新パッチが1件公開された。

リモート アクセス サービスの電話帳の未チェックのバッファによりコードが実行される (Q318138) (MS02-029)

 セキュリティ・ホールの内容は,以前のコラムでお知らせした通り。情報の公開とともにパッチが公開されたものの,前回のコラムで紹介したように,パッチを適用すると管理者以外のユーザーによるVPN 接続が確立できなくなる問題があった。その問題を解消する更新版パッチが,ようやく今回公開された。

セキュリティ情報の月刊サマリーが公開

 「TechNet Online セキュリティ」では,「2002 年 6 月 セキュリティ 警告サービス 月刊サマリー」という月例のドキュメントが公開された。6月中にマイクロソフトが公開したセキュリティ情報が,新着情報と更新情報ごとにそれぞれまとめられている。時間があるときにでも,確認のために目を通しておこう。



マイクロソフト セキュリティ情報一覧

『MSDE 1.0を含む SQL Server 7.0/SQL Server 2000』
SQL Server のインストール プロセスで,パスワードがシステムに残る (Q263968) (MS02-035)
 (2002年 7月12日:「この修正を含む予定のサービス パック」 の欄の情報が更新,最大深刻度 : 中)
 (2002年 7月11日:日本語情報および日本語版パッチ公開,最大深刻度 : 中)

『SQL Server 2000/SQL Server Desktop Engine (MSDE) 2000』
SQL Server 用の累積的な修正プログラム (Q316333) (MS02-034)
 (2002年 7月11日:日本語情報および日本語版パッチ公開,最大深刻度 : 中)

『IIS 4.0/5.0』
HTR のチャンクされたエンコードのヒープ オーバーランにより Web サーバーのセキュリティが侵害される(Q321599) (MS02-028)
 (2002年 7月 2日:この問題が悪用される恐れのある環境の変化を反映し,深刻度が更新,最大深刻度 : 大)

『Windows NT 4.0/NT 4.0 Terminal Server Edition/2000/XP』
リモート アクセス サービスの電話帳の未チェックのバッファによりコードが実行される (Q318138) (MS02-029)
 (2002年 7月 4日:セキュリティ情報が更新され,VPN 接続を適切に処理する修正パッチがリリース,最大深刻度 : 高)

TechNet Online セキュリティ

2002 年 6 月 セキュリティ 警告サービス 月刊サマリー


山下 眞一郎(Shinichiro Yamashita)
株式会社 富士通南九州システムエンジニアリング
第一ソリューション事業部ネットソリューション部 プロジェクト課長
yama@bears.ad.jp


 「今週のSecurity Check [Windows編]」は,IT Proセキュリティ・サイトが提供する週刊コラムです。Windows関連のセキュリティに精通し,「Winセキュリティ虎の穴」を運営する山下眞一郎氏に,Windowsセキュリティのニュースや動向を分かりやすく解説していただきます。(IT Pro編集部)