米Microsoftから米国時間8月1日,「Windows 2000 Service Pack 3(SP3)」がついにリリースされた。そこで今回のコラムでは,同社から同時に公開された各種ドキュメントをもとに,SP3を見ていきたい。同社のドキュメントによると,筆者の考えとは異なり,「Automatic Updates」や「SUS」を新機能とは考えていないようだ。また,筆者が調べた限りでは,SP3に含まれないセキュリティ・パッチが存在するようだ。

英語版SP3がついにリリース

 Windows 2000 SP3(以下,SP3)は,Windows 2000 Professional,Windows 2000 Server,Windows 2000 Advanced Serverを対象とした,最新のアップデート・モジュール・パッケージである。

 英語版のリリースに伴い,米Microsoftからは「Windows 2000 Service Pack 3」などの関連ドキュメントが公開されている。まずはそれらに基づいて,SP3の概要について見ていこう。

 英語版の入手方法は,(1)Webサイトからダウンロードする,あるいは(2)CD-ROMを郵送してもらう――のいずれかである。(1)については無償だが,(2)については,メディア代および郵送費をユーザーが負担する必要がある。日本語版についても同様になるだろう。なお,ダウンロードする場合のファイル容量は 139.96Mバイトである。

 SP3 には,これまでのアップデート・モジュールである「Windows 2000 Service Pack 1(SP1),「Windows 2000 Service Pack 2(SP2)」そして「Windows 2000 Security Rollup Package 1」のすべてが含まれている。

 さらにSP3は,特に「アプリケーションとの互換性」,「オペレーティング・システムへの信頼性」,「セキュリティ」,「セットアップ」の問題点を解消するパッケージであるという。

SP3には新機能が含まれない?

 関連ドキュメントには,いくつか興味深い記述があった。まず,「Windows 2000 Service Pack 3 FAQ」には,「Windows 2000 SP3 does not include new Windows 2000 features」という記述があった。SP3には新しい機能が含まれないというのだ。

 以前のコラムで紹介した通り,SP3 では,Windows XP と同様の自動更新機能「Automatic Updates for Windows 2000」が追加される(関連記事)。しかしこれは,新しい機能とは呼べない“レベル”の機能であるようだ。

 さらに,SP3には「Microsoft Software Update Services (SUS)」のクライアント・コンポーネント機能も含まれる。SUSとは,Windows 2000 ベースのサーバーおよび Windows 2000/XP Professional パソコンを対象とする「Windows Update サイト」を,システム管理者が独自に構築できるサービスのことだ。このクライアント・コンポーネント機能を組み込めば,社内に構築した独自のWindows Update サイトから,最新のパッチを自動でダウンロードできるようになる。ちなみに,Windows XPのクライアント・コンポーネントは,今後公開される Windows XP SP1 で提供される予定である。

 加えて,以前のIT Proの記事で話題になった,「Microsoft Installer(MSI)」も組み込まれる。こうして見ると,SP3では新機能が複数含まれるように思えるが,同社ではいずれも新機能とは考えていないようだ。なお MSI については,上記記事にあるように,一時は 最新版のバージョン 2.0の代わりに,古いバージョンのMSI 1.1 が組み込まれたようだが,最終的には 2.0が組み込まれている。

 また,他の興味深い記述として,「Windows 2000 SP3 is a recommended upgrade」というものがあった。同社では,SP3を推奨されたアップグレードとしているのだ。これに対して,セキュリティの観点からは適用が不可欠だった,前回のService PackであるSP2は,「Windows 2000 SP2 is not considered a required upgrade」と記述されていた。つまり,SP2は適用が不可欠なアップグレードとは見なされていなかったのだ。このことから,米Microsoftの,SP3への力の入れ具合がうかがえる。

SP3に含まれないセキュリティ・パッチは?

 セキュリティの観点からは,SP3に含まれないセキュリティ・パッチが存在するのか,存在するとすればどれなのかが気になるところである。これがあいまいだと,SP3への信頼性は揺らいでしまう。

 例えば,Windows 2000を再インストールした場合,SP3さえ適用すれば万全なのだろうか。それとも,個別のパッチを適用しなければいけないのだろうか。非常に重要なポイントである。早速,チェックしてみよう。

 まず注意しなくてはならないのは,OSに関係しないパッチは当然SP3に含まれないということ。OSと一体化しているInternet Explorer(IE)であっても,「Internet Explorer 5.5 and Internet Explorer 6 security patches are NOT included in Windows 2000 Service Pack 3」という注意書きがあり,IE 5.5/6 用のパッチは含まれないことが明記されている。

 IE 5.5/6 用パッチについては,「IE 5.5関連情報」「IE 6関連情報」などを参考にして,個別に適用する必要がある。

 ただし,Windows 2000 にデフォルトで含まれている IE 5.01 については例外である。IE 5.01 SP2 のセキュリティ・ホールを解消するパッチ「MS01-055」「MS01-058」「MS02-005」は,SP3 に含まれることが明記されている。

 さて,SP3 に含まれないセキュリティ・パッチとしては,(1)SP3 の内容がフィックスした後に公開されたパッチ,(2)OSに関係するものの,SP3 が対象としないパッチ――の2種類が考えられる。

 まず(1)については,原稿を執筆している8月3日時点では存在しない。現在リリースされている,Windows 2000用の最新パッチ「MS02-029」もSP3に含まれている。同パッチは,6月12日に一度公開されたものの,7月2日に更新版パッチが公開されるというあわただしい状況ではあったが,更新版パッチがきちんとSP3に含まれた。

 また,過去のコラムでも紹介した,パッチのファイル名に“SP4”の文字列を含む「MS02-024」と「MS02-028」も,マイクロソフトのセキュリティ情報に記載されていた通り,“SP3”に含まれた。

 それでは,(2)に該当するパッチは存在するだろうか。これが存在しなければ,現時点ではSP3さえ適用すれば,セキュリティ上は十分だと考えられる(ただし,IEなどのパッチは別途適用する必要がある)。

 まずは,「Hotfix and Security Bulletin Search」でチェックしてみた。これは,米Microsoftが提供する,プロダクトごとに必要なパッチを検索できるサービスだ。ただし,筆者はこのサービスの精度に関して,最近疑問を持っている。

 SP3英語版の公開により,同サービスには「Windows 2000 Service Pack 3」という検索条件が加わっていた。そこでこの条件で検索したところ,「There are no security bulletins for that product and service pack combination」と表示された。つまり,含まれないパッチは,現時点では存在しないという。

SP3に含まれないと思われるパッチは2種類

 しかし,筆者の意見は異なる。米Microsoftから現在までに公開されているドキュメントには明記されていないものの,SP3には含まれないパッチが存在すると考えている。

 同社から公開されている「Windows 2000 SP3 now available」でリストアップされている,SP3が含むとされる26件のセキュリティ・パッチと,「Click to view a list of the Windows 2000 security fixes in Windows 2000 SP3」にリストアップされたセキュリティ・パッチ情報,および過去に公開された個別のパッチ情報を,筆者が手作業で突き合せた結果,以下のパッチがSP3には含まれないと思われるのだ。

WebDAV Service Provider によりスクリプトがユーザーとしてリクエストを行う(MS01-022)

XMLHTTP コントロールにより,ローカル ファイルにアクセスすることができる(MS02-008)

 それぞれの注意点を簡単に述べる。まず「MS01-022」は,適用しても,Windows OSの「アプリケーションの追加と削除」には登録されない。そのため,このパッチを適用しているかどうかをチェックするには,「msdaipp.dll」のバージョン番号を確認する必要がある。詳細は,「マイクロソフト セキュリティ情報 (MS01-022) : よく寄せられる質問」の 「修正プログラムが必要であるかはどのように分かるのですか?」の項目を参照してほしい。

 「MS02-008」は,すべてのWindows 2000が影響を受けるわけではない。「MS02-008」が対象としている Microsoft XML Core Services (MSXML) は,Windows 2000にはデフォルトでは含まれない。しかし,サード・パーティおよびマイクロソフトのソフトウエアに含まれている可能性があるので,それらをインストールしている場合には,Windows 2000も影響を受ける。そのため,マイクロソフトの情報をもとに,影響を受けるかどうか確認し,影響を受ける場合にだけ,パッチを適用すればよい。

 以上をまとめると,Windows 2000をインストールした際には,SP3 を適用した上で,必要に応じて「MS01-022」および「MS02-008」を適用しなければならないと,筆者は判断している。

 もちろん,以上は筆者が独自に調査した結果なので,誤りである可能性も十分にある。今後,SP3に関する情報は米Microsoftから次々と公開されるだろう。日本語の各種ドキュメントも,SP3 日本語版のリリースにタイミングを合わせて公開されることが予想される。筆者の調査結果が正しいかどうかは,それらが公開された後,改めてチェックする必要があるだろう。

 最後に,SP3 日本語版のリリース時期に言及して,今回のコラムの“前半”を締めくくろう。

 SP3の日本語版リリース時期については,今まで「英語版の公開から,1週間~10日程度で日本語化が完了する」と言われてきた。その通りに進めば,8月10日前後には公開されると考えられる。実際,「日本語版Windows 2000 SP3の公開は8月9日」といった記事が存在する。

 しかし,SP2 のときには2週間以上経過した後にリリースされた。英語版は2001年5月16日にリリースされたものの,日本語版のリリースは6月1日だった。

 ユーザーとしては,できるだけ早くリリースしてもらいたいが,遅れる可能性も否定できない。いずれにしても,日本語版が公開され次第,このコラムで取り上げたいと考えている。

SQL Server にセキュリティ・ホール

 それでは次に,Windows 2000 SP3 以外の,Windows関連セキュリティ・トピックス(2002年8月3日時点分)を,各プロダクトごとに整理して解説する。

 各種サーバー・アプリケーション関連では,「マイクロソフト セキュリティ情報一覧」にて,新規日本語情報およびパッチが1件公開された。

MDAC 機能の未チェックのバッファにより,SQL Server が侵害される (Q326573) (MS02-040)

 Microsoft Data Access Components(MDAC)機能には,未チェックのバッファが含まれる。そのため,SQL Server 7.0 または 2000を使用している場合には,攻撃者から不正なパラメータを含むデータベース・クエリーを送信されると,バッファのオーバーランを発生させられる恐れがある。その結果,DoS(サービス妨害)攻撃を受ける,もしくは任意のコードを実行される可能性がある(関連記事)。

 対策はパッチの適用。ただし,MDAC は Windows のすべてのバージョンに同梱されているものの,今回のセキュリティ・ホールは SQL Server をインストールしているシステムのみが対象となる。そのため,SQL Server を使用していない場合には,パッチを適用する必要はない。

 MDAC のバージョンにより,適用すべきパッチが異なるので注意が必要である。バージョンの調べ方は,マイクロソフトの「サポート技術情報」に詳しい。

 なお,MDAC 2.5 用の修正パッチは MDAC 2.5 Service Pack 2 を適用しているシステムに,MDAC 2.6 用パッチは MDAC 2.6 Service Pack 2 を適用しているシステムに適用可能である。MDAC 2.7 用パッチには適用条件はない。ただし,MDAC 2.7 用パッチの適用後に,「MDAC 2.7 RTM Refresh (2.70.9001.0)」を適用した場合は,再度パッチを適用する必要がある。

 今回のセキュリティ・ホールは,SQL Serverにおいて,ユーザーが任意のクエリーの読み込みや実行をできないようにしておけば回避できる。このコラムで何度も紹介しているように,任意のクエリーの読み込みや実行を禁止することは,入力クエリーを実行前にフィルタリングすることと併せて,基本的なセキュリティ対策の一つである。

2種類のワームを警告

 「TechNet Online セキュリティ」では,ワームに関するレポートが2件公開された。「Chir に関する情報」「Manymize に関する情報」である。Chirはメールとファイル共有で,Manymizeはメールで感染を広げる。

 いずれのワームも,「不適切な MIME ヘッダーが原因で Internet Explorer が電子メールの添付ファイルを実行する (MS01-020)」のセキュリティ・ホールを悪用する。そのため,Outlook や Outlook Express でメール本文をプレビューしただけで,添付されたワーム・ファイルが自動的に実行されてしまう。

 さらに Manymize ワームにおいては,メールに添付された,ワーム本体のファイル(mi2.exe)とは異なるファイル「mi2.wmv」を実行した場合も,「Windows Media Player の .ASF ファイル処理に,未チェックのバッファが含まれる (MS01-056)」を悪用して,ワームが実行される。

 いずれのワームに対しても,ウィルス対策ソフトのパターンファイルを絶えず最新のものにして,必要なセキュリティ・パッチを適用していれば問題はない。



Windows 2000 Service Pack 3関連

Windows 2000 Service Pack 3
Windows 2000 Service Pack 3 FAQ
Q320853 List of Bugs Fixed in Windows 2000 Service Pack 3
Windows 2000 SP3 now available

マイクロソフト セキュリティ情報一覧

『SQL Server 7.0 / 2000』
MDAC 機能の未チェックのバッファにより,SQL Server が侵害される (Q326573) (MS02-040)
 (2002年 8月 1日:日本語情報および日本語版パッチ公開,最大深刻度 : 中)

TechNet Online セキュリティ

Chir に関する情報 (2002年 7月31日)

Manymize に関する情報 (2002年 7月31日)


山下 眞一郎(Shinichiro Yamashita)
株式会社 富士通南九州システムエンジニアリング
第一ソリューション事業部ネットソリューション部 プロジェクト課長
yama@bears.ad.jp


 「今週のSecurity Check [Windows編]」は,IT Proセキュリティ・サイトが提供する週刊コラムです。Windows関連のセキュリティに精通し,「Winセキュリティ虎の穴」を運営する山下眞一郎氏に,Windowsセキュリティのニュースや動向を分かりやすく解説していただきます。(IT Pro編集部)