マイクロソフトは同社製品のサポート期間を明らかにしたガイドラインを公開した。ガイドラインでは無償セキュリティ・パッチの提供期限も明らかにしている。新たに公開されたガイドラインのポリシーが適用されるのは,これから発売される製品や現行製品の一部だが,セキュリティ・パッチについては,Windows NT 4.0なども新しいガイドラインと同様のサポートを提供するようだ。今回のコラムでは,セキュリティ・パッチの提供期間に着目して,このガイドラインを解説しよう。

「Trustworthy Computing」の一環として

 マイクロソフトは10月17日,製品サポートの提供期間やその内容に関する新たなガイドライン「マイクロソフト・サポート・ライフサイクル・ポリシー」を発表した。これは,米Microsoftが米国時間10月15日に発表した「The Microsoft Support Lifecycle policy」に対応するものだ(関連記事)。

 今まではサポート提供期間に関する情報が不明瞭だったり,一貫性がなかったりした。「サポートする必要がなくなったらサポートをやめる」というのが実情であり,サポート期間を明示している場合でも製品ごとに期間は異なっていた。今回発表されたサポート・ライフサイクル・ポリシーでは,不明瞭だったサポート期間を明確にした。サポート期間が明確だった一部の製品については,サポート期間は明らかに延長されており,不明確だった製品についても十分なサポート期間が取られている。いずれの場合でも,サポート期間は実質上延長されたと考えてよいだろう。

 セキュリティ・パッチの提供についても同様である。後述するように,納得できる期間,無償提供することを約束している。マイクロソフトが掲げる「Trustworthy Computing」を実現するための活動の一環として評価できる。以下,サポート・ライフサイクル・ポリシーの内容を簡単に紹介していこう。

製品発売日から最低5年間は標準サポート

 まず,サポート・ライフサイクル・ポリシーの内容は,「ビジネス,開発用ソフトウエア」と「コンシューマ,ハードウエア,マルチメディア用ソフトウエア (Xbox 製品群を除く)」に大別される。今回のコラムでは,Windows OSやサーバーおよびクライアント製品の多くが該当する「ビジネス,開発用ソフトウエア」の内容に注目する(具体的には,「製品ファミリーで探す」のうち,「コンシューマ、ハードウェア、マルチメディア用ソフトウェア」以外のすべて(開発ツール,Windows Embedded,Office,サーバー ,Windows)が「ビジネス,開発用ソフトウエア」に該当する)。

 「ビジネス,開発用ソフトウエア」については, 製品発売日より最低5年間は,標準サポートである「メインストリーム・サポート」が提供される。その後2年間については「延長サポート」として,顧客の必要性に応じて別途有償にてサポートが提供される。また,企業などを対象とした,10年以上の長期間サポートを提供する「カスタム・サービスパック」も用意する(ただし,Windows XP Home Editionのように延長サポートが受けられない製品もある)。

 従来は一部の製品においては,3年間のメインストリーム・サポートと1年間の延長サポートを用意していた。今回の新ポリシーではサポート期間を延長するとともに,サポート期間が明確ではなかった製品についても適用するようにした。

 オンラインで提供される「サポート技術情報(Knowledge Base)」やFAQといった「オンライン・セルフヘルプ サポート」については,製品発売日から最低8年間は提供する。つまり,製品発売日から最低8年間は,ユーザー自身による問題解決を支援する環境を提供することになる。

セキュリティ・パッチは最低7年間提供

 サポート・ライフサイクル・ポリシーでは,サービス・パックやセキュリティ修正パッチの提供に関しても,明確な指針が示された。筆者ならびに本コラムの読者としては,この部分が一番気になるところだ。

 まず,修正パッチ(ホット・フィックス)の適用対象が変更された。従来は,原則として最新バージョンのサービス・パックを適用したシステムだけが修正パッチの対象となっていた。つまり,修正パッチを適用するには,最新のサービス・パッチを事前に適用する必要があった。今回のサポート・ライフサイクル・ポリシーでは,最新バージョン,および1つ前のバージョンのサービス・パックを適用したシステムが対象になると明確に規定した。

 ただし,1つ前のバージョンが対象となる期間は,最新のサービス・パックのリリース後1年間である。また,上記のポリシーは今後発表される新製品および一部の現行製品に適用され,現行製品の多くは従来のポリシーが適用される。つまり,現行製品の多くについては,最新バージョンのサービス・パックに適用する修正パッチだけが公開される。

 次に修正パッチの提供期間であるが,従来は期間がきちんと決まっていなかった。マイクロソフトが市場やユーザー・ニーズを基に,サポートを継続するかしないかを個別の製品ごとに判断していた。そのため,いつまでセキュリティ・パッチが提供されるのか,ユーザーは判断できなかった。

 新ポリシーではセキュリティに関する修正パッチに限っては,最低でも「5年間のメインストリーム・サポート期間 + 2年間の延長サポート期間」の計7年間は無料で提供することを約束している。この7年間については,ユーザーは特に別途契約等を結ぶ必要はない。同社の「セキュリティ サイト」においてすべてのユーザーに公開される。

 なお“7年間”といっても,7年経てばセキュリティ・パッチの公開を止めるということではない。“最低7年間”なのだ。マイクロソフトに問い合わせたところ,7年間は必ず提供し,それ以降も必要に応じて適宜延長するという。

 新ポリシーの対象となる具体的な製品名は,プレス・リリースの添付資料に詳しい。具体的には,Windows 2000系やWindows XP系の製品には,新ポリシーが適用される。各製品のサポート期間は,プレス・リリースの添付資料および「プロダクト ライフサイクル - Windows」に記載されている。

 例えば Windows 2000 Server SP3 については,最も早い場合でメインストリーム・サポート終了日が2005年3月31日,延長サポート終了日が2007年3月31日となる。そのため,2007年3月までは無償でセキュリティ修正パッチを入手できる。なお,これらはあくまでも“最も早い場合”であり,サポート終了日が延長されることはありうる。

NT のセキュリティ・パッチもサポート

 それでは,新ポリシーが適用されず,従来のポリシーが適用されるWindows NT 4.0系はどうなるのだろうか。結論から言えば,セキュリティ修正パッチについては,Windows NT 4.0系の製品においても新ポリシーと同じように提供するという。

 例えば Windows NT Server 4.0 については,新ポリシーの発表に併せてサポート期間のガイドラインが更新されており,セキュリティ修正パッチについては,延長サポート終了日の2003年12月31日まではもちろんのこと,それ以降も無償で提供すると書かれている。そして,セキュリティ修正パッチの提供を終了する最低1年前には告知するという。マイクロソフトに改めて確認したところ,延長サポート終了日の2003年12月31日までは確実に提供してくれるということだった。

 つまり Windows NT Server 4.0においては,延長サポート期間は1年間と短いものの,セキュリティ修正パッチについては新ポリシーと同様のサポートを受けられるということだ。このことは Windows NT Server 4.0 に限らず,他の Windows NT 4.0系の製品においても同様であるという。

Windows XPのヘルプ機能にセキュリティ・ホール

 さて,それでは本コラムの“後半”として,Windows関連のセキュリティ・トピックス(2002年10月19日時点分)を各プロダクトごとに整理して解説する。まず各種OS関連では,「マイクロソフト セキュリティ情報一覧」にて,パッチ情報を含む新規の日本語情報が1件,Windows NT 4.0 Terminal Server Edition(TSE)用の日本語版パッチが1件公開された。

(1)Windows XP 「ヘルプとサポート センター」 の問題によりファイルが削除される (Q328940) (MS02-060)

 Windows XPの「ヘルプとサポート センター」機能にセキュリティ・ホールが見つかった(関連記事)。細工が施されたWebページやHTML形式のメールを読むと,自分のシステム上のファイルを削除される可能性がある。

 対策はパッチを適用すること。ただし,今回のセキュリティ・ホールを修正するパッチは,Windows XP Service Pack 1(SP1)に含まれている。今回,XP SP1 を適用したくないユーザー向けに,独立した修正パッチが新たに公開された。

 この問題自体は,前回のコラムでお知らせした「Windows XP の『ヘルプとサポート センター』のぜい弱性に関する情報」において既に公にされているものである。

 なお,「ヘルプとサポート センター」 の機能は,Internet Explorer(IE) 6 SP1 が適用されている Outlook Express もしくは Outlook,さらに「テキスト形式で表示」機能を有効にしている Outlook 2002では自動的に起動しない。IE 6 SP1は XP SP1 にも含まれている。XP ユーザーには XP SP1の適用をお勧めしたい。

(2)Windows Shell の未チェックのバッファにより,コードが実行される (MS02-014)

 過去のコラムでお知らせした通り,Windows Shell をクラッシュさせられる,あるいは任意のコードを実行されるセキュリティ・ホールがWindows OSに見つかっている。2002年3月8日から随時各Windows OS用のパッチが公開されており,今回ようやくWindows NT 4.0 TSE の日本語版パッチが公開された。マイクロソフトは「最大深刻度 : 中」としているが,危険度が高いセキュリティ・ホールである。対象のシステムにはぜひパッチを適用しよう。

WordとExcel,Outlook Expressにセキュリティ・ホール

 各種クライアント・アプリケーション関連では,「マイクロソフト セキュリティ情報一覧」にて,新規日本語情報およびパッチが2件,追加日本語情報が1件公開された。

(1)Word フィールドおよび Excel の外部データ更新の問題により,情報が漏えいされる (Q330008) (MS02-059)

 Word 2002/2000/97/98,Excel 2002 において,フィールド・コードや外部データの更新を悪用されると,ユーザーが気がつかない間に,そのユーザーの情報を盗まれる可能性がある(関連記事)。

 この問題自体は,以前のコラムでお知らせした「報告された Microsoft Word フィールドのぜい弱性に関する情報」というレポートにおいて言及されている。

 Microsoft Word は,ある文書ファイルに別の文書ファイルの情報を自動的に挿入するフィールド機能を備えている。攻撃者からフィールド・コードが埋め込まれた文書を受け取り,その文書を開いてまた攻撃者に送り返すと,自分のパソコンに保存してあるファイルの内容を盗まれてしまう可能性がある。これが,フィールド機能のセキュリティ・ホールである。

 マイクロソフトは,上記のレポートにおいて,フィールド機能をサポートしているすべてのバージョンの Word 用パッチを提供するとしていた。しかし今回は,Word 97/98(Word 98においては日本語版のみ影響を受ける)以外のWord 用パッチを用意した。併せて,外部データの更新またはリンクの更新機能により同様に影響を受けることが明らかになった Excel 2002 用のパッチを公開した。

 セキュリティ・ホールの最大深刻度は「中」であり緊急度は高くないが,できればパッチを適用しておきたい。パッチの適用条件は,Word 2002 では Office XP SP2 を適用済みであること,Excel 2002 では Office XP SP2 を適用済みであることである。ただし,いずれの場合でも,管理者用アップデートを使用すれば Office 2002 SP1 の環境でもパッチを適用できる。Word 2000 では Office 2000 Service Release 1 または SP2 を適用済みであることが,今回のパッチの適用条件である。

(2)Outlook Express の S/MIME 解析の未チェックのバッファによりシステムが侵害される(Q328676) (MS02-058)

 Outlook Express 6.0/5.5 において,S/MIME によるメッセージのデジタル署名に関するセキュリティ・ホールが見つかった(関連記事)。具体的には,デジタル署名に関連するある特定のエラー状態が起こった際に警告メッセージを生成するコードにバッファ・オーバーランのセキュリティ・ホールが見つかった。悪用されると,Outlook Expressを異常終了させられたり,ユーザーのマシン上で任意のコードを実行される可能性がある。

 対策はパッチを適用すること。適用条件は,Outlook Express 5.5 では IE 5.5 SP2を適用済みであること。Outlook Express 6.0 については特にない。

 なお,Microsoft Outlook は影響を受けない。また,Outlook Express 6.0 SP1 を適用している場合にも影響を受けない。Outlook Express 6.0 SP1 はIE SP1,XP SP1に含まれているので,XPユーザーは後者を,それ以外のユーザーは前者を適用するようお勧めしたい。

 また,セキュリティ情報の「警告」欄には,「Windows XP SP1 または IE 6 SP1を適用しているシステムに今回のパッチを適用しようとすると,『この修正プログラムをインストールするには Internet Explorer 6.0 が必要です』という誤った警告メッセージが表示される」という情報が追加されている。注意しよう。

(3)TSAC ActiveX コントロールのバッファ オーバーランにより,コードが実行される (Q327521) (MS02-046)

 以前のコラムでお知らせした通り,すべてのWindows OS において,ActiveX コントロール「Terminal Services Advanced Client (TSAC) Web コントロール」に起因するセキュリティ・ホールが見つかっている。セキュリティ・ホールの詳細やパッチについては既に公開済みであるが,パッチ適用後に,特定のファイルを削除する必要があることが今回追記された。

 既に公開されているパッチを適用すると, Connect.asp が Dynamic HTML (DHTML) を使用した Default.htm に置き換えられる。しかし, Connect.asp ファイルは自動的に削除されないため,システムに残された Connect.asp ファイルは,ある種の受動攻撃に悪用される可能性がある。そのため Connect.asp を削除する必要があるのだ。なお,Windows XPの場合には Windows XP SP1 を適用することでもこの問題を解消できる。

SQL Serverに深刻度「高」のセキュリティ・ホール

 各種サーバー・アプリケーション関連では,「マイクロソフト セキュリティ情報一覧」にて,新規日本語情報およびパッチが1件,追加日本語情報が1件公開された。

(1)SQL Server Web タスクで権限が昇格する (Q316333) (MS02-061)

 SQL Server 7.0/2000,Microsoft Data Engine (MSDE) 1.0 および SQL Server 2000 Desktop Engine (MSDE 2000) において,低い権限しか持たないユーザーから Web タスクを実行,削除,挿入,更新される可能性があるセキュリティ・ホールが見つかった。

 最大深刻度は「高」に設定されているが,今回のセキュリティ・ホールを悪用するには,対象とするSQL Serverに攻撃者がアクセス権限を持っていなければならない。

 対策はパッチを適用すること。適用条件は,SQL Server 7.0 では SQL Server 7.0 SP4を適用済みであること,SQL Server 2000 においては SQL Server 2000 SP2を適用済みであることである。

 今回のパッチは,累積的な修正パッチであり,SQL Server 7.0 および 2000 に関して過去にリリースされたすべてのパッチを含むとされている。ただし,過去に公開された累積パッチ「MS02-043」と同様に,含まれないパッチおよびツールが2点存在する。具体的には,「MS02-035」で提供された「KillPwd ユーティリティ(KillPwd.exe)」と,MDAC および OLAP 用の修正プログラムである。詳細については過去のコラムを参照してほしい。

 加えて,今回のパッチには注意点があり,セキュリティ情報に「警告」として記載されている。Windows NT Server 4.0 SP6a を適用している場合には,今回修正パッチを適用する前に「JP258437 - [FIX] Service Pack 6 で GetEffectiveRightsFromAcl() が正常に動作しない」のパッチを適用する必要があるのだ。十分注意しよう。

(2)SQL Server 用の累積的な修正プログラム (Q316333) (MS02-056)

 前回のコラムでお知らせした通り,SQL Server 7.0/2000,MSDE 1.0/2000 には,3つの新しいセキュリティ・ホールが見つかっている。そのセキュリティ情報に,今回新たに「警告」が加筆された。上記の「MS02-061」同様,Windows NT Server 4.0 SP6a または NT 4.0 TSE SP6を適用している場合には,パッチを適用する前に「JP258437」のパッチを適用する必要があることが追記されている。

 ただし「MS02-056」のパッチは,今回紹介した(1)の「MS02-061」のパッチに含まれているので,追記情報については単に情報として押さえておけばよいだろう。

月刊サマリーを公開

 「TechNet Online セキュリティ」では,「2002 年 9 月 セキュリティ 警告サービス 月刊サマリー」という月例のドキュメントが公開された。

 この「警告サービス 月刊サマリー」は,マイクロソフトが公開した毎月のセキュリティ情報を新着情報,更新情報ごとにまとめたサマリー情報である。確認のために,時間がある時にでも目を通しておこう。



マイクロソフト セキュリティ情報一覧

『Windows XP』
Windows XP 「ヘルプとサポート センター」 の問題によりファイルが削除される (Q328940) (MS02-060)
 (2002年10月17日:日本語情報および日本語版パッチ公開,最大深刻度 : 中)

『Windows 2000/NT 4.0/NT 4.0 Terminal Server Edition/98 Second Edition/98』
Windows Shell の未チェックのバッファにより,コードが実行される (MS02-014)
 (2002年10月 9日: Windows NT 4.0 Terminal Server Edition の日本語版修正パッチ公開,最大深刻度 : 中)

『Word 2002/2000/97/98,Excel 2002』
Word フィールドおよび Excel の外部データ更新の問題により,情報が漏えいされる (Q330008) (MS02-059)
 (2002年10月18日:管理者用アップデートを使えば,Office 2002 SP1のシステムにもパッチを適用できることをアナウンス)
 (2002年10月17日:日本語情報およびWord 97/98用以外の日本語版パッチ公開,最大深刻度 : 中)

『Outlook Express 6.0/5.5』
Outlook Express の S/MIME 解析の未チェックのバッファによりシステムが侵害される(Q328676) (MS02-058)
 (2002年10月15日: 「影響を受けるソフトウエア」 の欄を更新)
 (2002年10月15日:「警告」 の欄を更新)
 (2002年10月11日:日本語情報および日本語版パッチ公開,最大深刻度 : 高)

『Microsoft Terminal Services Advanced Client (TSAC) ActiveX コントロール』
TSAC ActiveX コントロールのバッファ オーバーランにより,コードが実行される (Q327521) (MS02-046)
 (2002年10月11日:修正パッチの適用後に,特定のファイルを削除する必要があることを追記,最大深刻度 : 中)

『SQL Server 7.0/2000, Desktop Engine (MSDE) 1.0/2000』
SQL Server Web タスクで権限が昇格する (Q316333) (MS02-061)
 (2002年10月17日:日本語情報および日本語版パッチ公開,最大深刻度 : 高)

『SQL Server 7.0/SQL Server 2000/Desktop Engine (MSDE) 1.0/Desktop Engine (MSDE) 2000』
SQL Server 用の累積的な修正プログラム (Q316333) (MS02-056)
 (2002年10月10日:「警告」の欄を更新,最大深刻度 : 高)

TechNet Online セキュリティ

2002 年 9 月 セキュリティ 警告サービス 月刊サマリー

山下 眞一郎(Shinichiro Yamashita)
株式会社 富士通南九州システムエンジニアリング
第一ソリューション事業部ネットソリューション部 プロジェクト課長
yama@bears.ad.jp

 「今週のSecurity Check [Windows編]」は,IT Proセキュリティ・サイトが提供する週刊コラムです。Windows関連のセキュリティに精通し,「Winセキュリティ虎の穴」を運営する山下眞一郎氏に,Windowsセキュリティのニュースや動向を分かりやすく解説していただきます。(IT Pro編集部)