マイクロソフトからWindows XP Service Pack 1(SP1)と同時にリリースされた日本語情報には,英語のオリジナル情報にはない独自の情報が複数盛り込まれている。具体的には,SP1には含まれていないセキュリティ・パッチ情報などについてである。今回のコラムでは,マイクロソフトが独自に追加した情報を中心に,XP SP1を適用する際のポイントについて解説したい。
独自情報を盛り込むマイクロソフト
マイクロソフトから9月19日,Windows XP SP1 日本語版が公開された。英語版のSP1から遅れること10日である。同時に,「Internet Explorer 6 Service Pack 1 (SP1) 日本語版」も同日公開された。XP SP1の概要については,前回のコラムでお知らせした通りである。
前回のコラムでは,XP SP1英語版と同時に公開された英文ドキュメントを基に概要を解説した。ところが,XP SP1日本語版と同時に公開された日本語ドキュメントには,オリジナルの英文ドキュメントにはない独自の情報が複数盛り込まれている。
XP SP1に含まれないセキュリティ・パッチが存在
マイクロソフトから公開された日本語ドキュメントは,XP SP1の“トップ・ページ”といえる「Windows XP Service Pack 1」,XP SP1適用後に発生する問題の最新情報が記述されている「Windows XP Service Pack 1 の リリース ノート」,XP SP1により修正されるバグの情報をまとめた「Windows XP Service Pack 1 (SP1) 修正一覧」,XP SP1に含まれるセキュリティ・パッチを解説する「Windows XP Service Pack 1 日本語版」――などである。
いずれも既に公開されている英文ドキュメントを基にしているが,単なる翻訳ではない。それが顕著に表れているのが「Windows XP Service Pack 1 日本語版」である。
このドキュメントのオリジナルは,「Windows XP Service Pack 1 (SP1)」である。「Windows XP Service Pack 1 日本語版」ではページを再構成して見やすくした上で,「別途適用が必要な修正プログラム」という項目が追加されている。具体的には,「XMLHTTP コントロールにより,ローカル ファイルにアクセスすることができる(MS02-008)」がピックアップされている。つまり,「MS02-008」のパッチ(の一部)は,XP SP1には含まれていないのである。この情報は英文ドキュメントには含まれていなかった。
英文ドキュメントを基にした前回のコラムで紹介したように,SP1英語版が公開された時点では,「Windows XP Service Pack 1 (SP1)」や米Microsoftの検索サービス「Hotfix and Security Bulletin Search」を見る限りでは,2002年8月末までに公開されたセキュリティ・パッチはすべてXP SP1に含まれているとされていた。
ところが「MS02-008」については,その一部に漏れがあり,ユーザーによってはMS02-008のパッチを改めて適用する必要があることが明らかとなった。オリジナル・ドキュメントには明記されていなかったその情報が,日本語ドキュメントには独自に追加されたのである。
具体的には,「Windows XP SP1 に含まれるのは, MSXML 2.6 および MSXML 3.0 用の修正プログラムです。 MSXML 4.0 をご利用のお客様は別途 MS02-008 の適用をお願いします」と書かれている。どうやら,Windows XP SP1は「MS02-008」を含んでいるものの,MSXML 4.0用のパッチだけを同こんしていないという“中途半端”な状態なのだ。
ちなみに,MSXML 4.0がシステムに存在するかどうかは,「よく寄せられる質問 : マイクロソフトセキュリティ情報(MS02-008)」の「修正プログラムの適用が必要であるかどうかはどのように分かるのですか?」の項に詳しいので参考にしてほしい。
念のために,オリジナルの英文ドキュメントをもう一度チェックしてみた。しかし,この原稿を執筆している9月22日時点でも,情報は追加されていない。やはりマイクロソフトの“日本語ページ作成チーム”は,オリジナル情報になくても,ユーザーに必要と思われる情報については独自に追加しているようだ。
これは,過去のコラムでも指摘した動きであり,「Windows 2000 Service Pack 3 日本語版」のドキュメントにも見られた(関連記事)。Windowsユーザーの一人として,今後もこのような取り組みが続けられることを期待したい。
SP1適用後に必要な個別パッチは現在3つ
Windows XP SP1の適用後に,適用する必要があるパッチは現在3種類である(PC/AT 互換機の場合)。前記の「MS02-008」に加えて,XP SP1の内容を確定した後に公開された「MS02-050」およびコラムの後半で紹介する「Microsoft VM JDBC クラスの問題により,コードが実行される (Q329077) (MS02-052)」の計3件である。
Windows XP SP1を適用後に必要な個別パッチ情報をまとめたドキュメント「Windows XP Professional SP1セキュリティ修正プログラム一覧」には,これらがきちんとリストアップされている。
2002年9月以降に公開されたパッチはXP SP1に含まれないのが原則である。ところが,同じくコラムの後半で紹介する「RDP プロトコルの暗号の問題により,情報が漏えいされる (Q324380)(MS02-051)」は例外的に含まれている。そのため,別途適用する必要はない。この情報についても,日本語ドキュメント「Windows XP Service Pack 1 日本語版」には,マイクロソフト独自の情報として記載されている。
それでは,米Microsoftでは以上の情報がきちん公開されているだろうか。同社の検索サービス「Hotfix and Security Bulletin Search」でチェックしてみた。XP SP1英語版公開当初は「MS02-050 (Q328145)」だけが表示された。ところがXP SP1 日本語版の公開時には,「MS02-050」に加えて「MS02-008」も表示された。どうやら修正が施されたようである。
しかし,日本語情報ほどは早く修正されないようだ。「MS02-050」,「MS02-008」に加えて,本来表示されるべき「MS02-052」は,コラム執筆時の9月22日現在でも表示されなかった。
大きなトラブルはないSP1
XP SP1日本語版の公開とともに,各種日本語ドキュメントが公開され,不足していた情報が充実してきた。それらを見る限りでは,SP1に伴う大きなトラブルは発生していない。もちろん,SP1の適用は最終的には各ユーザーの判断に任せられるが,適用しても致命的な問題は発生しないと考えてよさそうだ。
ただし,他のWindows OSにおけるService Packがらみのトラブルには,マルチメディアやゲーム関連のものが比較的多かった。これらが心配なユーザーは,「Windows XP Service Pack 1 の リリース ノート」の最新情報に注意しながら,しばらく様子を見たほうがよいだろう。
Microsoft VMとRDPにセキュリティ・ホール
次に,Windows関連のセキュリティ・トピックス(2002年9月22日時点分)を,各プロダクトごとに整理して解説する。各種OS関連では,「マイクロソフト セキュリティ情報一覧」にて,新規日本語情報およびパッチが2件公開された。(1)「Microsoft VM JDBC クラスの問題により,コードが実行される (Q329077)」と,(2)「RDPプロトコルの暗号の問題により,情報が漏えいされる (Q324380)」である。順に解説する。
(1)Microsoft VM JDBC クラスの問題により,コードが実行される (Q329077) (MS02-052)
Microsoft VMの不具合に起因する3 つの新しいセキュリティ・ホールが公開された。すべてのWindows OSが影響を受ける。最も深刻なセキュリティ・ホールを悪用されると,攻撃者にユーザーのシステムを乗っ取られる恐れがある(関連記事)。
今回の「MS02-052」は,(a)「JDBC クラスを介する DLL の実行」,(b)「ハンドル検証の問題」,(c)「XML のサポート クラスで利用可能になる不正なメソッド」――という3つのセキュリティ・ホールが対象であり,(a)と(c)の最大深刻度は「高」,(b)の最大深刻度は「中」である。
対策はパッチの適用。「Windows Update」サービスで適用できる。深刻なセキュリティ・ホールなので,速やかにパッチを適用しよう。
ただし,パッチの適用対象は「Microsoft VM の 5.0.3805 バージョン」を既に実行しているシステムである。5.0.3805以前の場合には,まず5.0.3805にバージョンアップする必要がある。Microsoft VMのビルドの確認方法や,対象ビルドへの移行方法に関しては,「『MS02-052: Microsoft VM JDBC クラスの問題により,コードが実行される (Q329077)』に関する要約情報」に詳しい。
今回のセキュリティ・ホールは,Internet Explorer(IE)でJavaを無効化している場合は,影響を受けない。悪用されることが多いJava機能については,過去のコラムで書いたように,無効化することをお勧めする。
特に今回は,現在公開されているパッチが不完全であることを指摘するドキュメント「Microsoft has released a patch addressing some of the Java vulnerabilities」が,フィンランドOnline Solutionsから公開されている。たとえパッチを適用しても,Javaの無効化をはじめとするIEのセキュア設定を徹底しよう。
(2)RDP プロトコルの暗号の問題により,情報が漏えいされる (Q324380)(MS02-051)
Remote Data Protocol (RDP) 実装の不具合に起因する,2つの新しいセキュリティ・ホールが公開された。影響を受けるのは Windows 2000 ターミナル・サーバーや,「リモート デスクトップ」機能を有効にしている Windows XP。RDPによる通信内容を漏えいしたり,サービス拒否攻撃を受たりする恐れがある(関連記事)。
セキュリティ・ホールの名称は,(a)「RDP プロトコルの暗号の問題」および(b)「リモート デスクトップのサービス拒否」である。最大深刻度はいずれも「中」である。
対策はパッチを適用すること。ただし,影響を受けるユーザーはそれほど多くないと考えられる。対象ユーザーのみが必要に応じて適用すればよいだろう。パッチの適用条件は,2000 用がWindows 2000 Service Pack(SP)2 または SP3を適用済みであること。XP 用パッチには適用条件は存在しない。なおXP 用パッチは,Windows XP SP1 に含まれている。
Wordのフィールド機能にセキュリティ・ホール
「TechNet Online セキュリティ」では,レポートが1件公開された。「報告された Microsoft Word フィールドのぜい弱性に関する情報」である。
Microsoft Wordには,Word 文書に情報を挿入する“フィールド”機能が備わっている。この機能にはセキュリティ・ホールがあるとして,セキュリティ・コミュニティで話題となっている。今回のレポートは,それに対するマイクロソフトの見解を示すものだ。
フィールド機能のセキュリティ・ホールとは,あるフィールド・コードを使用した文書を受け取ったユーザーが,その文書を開いてから送り返すと,自分のパソコン内のファイルを盗まれる恐れがあるというものだ。
マイクロソフトのレポートでは「この報告は,ユーザーの他の文書の内容を表示するフィールド・コードが使用された文書が開かれると,攻撃者が文書を作成できる可能性があるというものです」という分かりづらい表現になっている。
レポートでは,フィールド機能がサポートされている,すべての バージョンのWordに向けたパッチを提供する予定であるとしている。パッチが公開されるまでは,「疑わしい文書や電子メールは無視する」といった自衛策で回避しよう。
Windows XP Service Pack 1 日本語版/Internet Explorer 6 Service Pack 1 日本語版
◆Windows XP Service Pack 1 (SP1) 日本語版
◆Internet Explorer 6 Service Pack 1
マイクロソフト セキュリティ情報一覧
『すべてのWindows OS』
◆Microsoft VM JDBC クラスの問題により,コードが実行される(Q329077) (MS02-052)
(2002年 9月19日:日本語情報および日本語版パッチ公開,最大深刻度 : 高)
『Windows 2000/XP』
◆RDP プロトコルの暗号の問題により,情報が漏えいされる (Q324380)(MS02-051)
(2002年 9月19日:日本語情報および日本語版パッチ公開,最大深刻度 : 中)
TechNet Online セキュリティ
◆報告された Microsoft Word フィールドのぜい弱性に関する情報
山下 眞一郎(Shinichiro Yamashita)
株式会社 富士通南九州システムエンジニアリング
第一ソリューション事業部ネットソリューション部 プロジェクト課長
yama@bears.ad.jp
「今週のSecurity Check [Windows編]」は,IT Proセキュリティ・サイトが提供する週刊コラムです。Windows関連のセキュリティに精通し,「Winセキュリティ虎の穴」を運営する山下眞一郎氏に,Windowsセキュリティのニュースや動向を分かりやすく解説していただきます。(IT Pro編集部)
