「Windowsの深刻なホール」対策で発生するトラブルを解決する

トラブル相次ぐMDAC 2.7へのアップグレード，「警告」への対処がOSによって異なる

山下眞一郎

2002.12.11

　ようやく正確な情報が出揃った「Windowsの深刻なホール」であるが，トラブルはまだ続いている。“完全な対策”であるはずの MDAC 2.7 へのアップグレードがきちんと実施できないケースが頻発しているようだ。アップグレード時に警告が出た場合の適切な対処方法が，Windows 95/95SE/NT 4.0 と Windows 2000などでは異なることが原因だ。アップグレードできずに頭を抱えているユーザーは，今回のコラムを一読してほしい。併せて今回のコラムでは，深刻度が「緊急」に急きょ変更されたInternet Explorer（IE）のセキュリティ・ホールなどについても解説する。

まだ終わらない「Windowsの深刻なホール」

　前回，前々回のコラムでは，Windowsシステムのほとんどが影響を受けるセキュリティ・ホール「Microsoft Data Access Components のバッファオーバーランにより，コードが実行される (Q329414) (MS02-065)」を重点的に取り上げた。最悪の深刻度「緊急（Critical）」が初めて設定されたセキュリティ・ホールであったのと同時に，マイクロソフトの情報が不十分であったことが，取り上げた理由である。

　前々回の「パッチを無効にされる恐れあり，Windowsの深刻なセキュリティ・ホールを解説する」では，修正パッチの適用だけでは不十分で，“完全な対策”としては MDAC 2.7以降にアップグレードする必要があることを指摘した。

　前回の「“完全な対策”にとんでもない副作用――『Windowsの深刻なホール』続編」では，MDAC 2.7へアップグレードすると新たなセキュリティ・ホールが発生する恐れがあることを指摘するとともに，アップグレード後に適用すべきパッチが「MS02-008」，「MS02-040」および「MS02-030」であることを解説した。

　前2回のコラムで，「MS02-065」への完全な対策が「MDAC 2.7へのアップグレード＋パッチの適用」であることが明らかになったわけだ。しかし，「MS02-065」の問題はこれで終わりではなかった。というのも，いざ実施しようとすると，うまくアップグレードできないケースが頻発しているようだからだ。実際筆者にも，その“嘆き”が届いている。そこで今回のコラムでは，「MS02-065」対策の総まとめとして，うまくアップグレードできない場合の対処方法を解説していこう。

MDACがアップグレードできない！

　筆者が聞いた最も多いトラブルは，MDAC 2.7へのアップグレードが“すんなり”とはいかないというものだ。MDAC 2.7へアップグレードするためには，以下の手順を踏むことになる。

（1）「MDAC 2.7 RTM Refresh 日本語版」をダウンロードし，実行する

（2）「使用許諾契約書」の内容を確認して，問題がなければ「同意します」をチェックして，「次へ(N)」ボタンをクリックする

（3）「使用中のファイルを検出します」画面が表示され，MDACを使用中のアプリケーションなどがないかどうかをインストーラが調べる

（4）「セットアップのインストール」画面が表示された場合は，「完了」ボタンを押してインストールを開始する。すると，「コンポーネントのインストール」画面が表示され，最終的に「セットアップの完了」というメッセージが表示される

　首尾よく（4）が終了すれば，何の問題はない。しかし，MDACを使用しているアプリケーションなどが存在する場合には，（3）の次に

（4-1）「タスクのシャットダウン」というメッセージが表示され，セットアップに必要なファイルをタスクが使用中であることを警告される

あるいは

（4-2）「使用中のファイル検出」というメッセージが表示され，セットアップに必要なファイルをシステム・プロセスが使用中であることを警告される

といった場合がある。

　（4-1）および（4-2）の場合には，“絶対に”「次へ(N)」ボタンを押してはならない。「Microsoft Data Access Components (MDAC) 2.7 RTM Refresh (2.70.9001.0) 日本語版ダウンロード」に記載されているように，MDAC 2.7をアップグレードする際に，MDAC使用中のアプリケーションが検出された場合には，そのアプリケーションをいったん終了させてからアップグレードしなければならない。

　さもないと，アップグレードした後に再起動した際，ファイルが不適切に置き換えられる恐れがあるのだ。詳細は「JP418820 - [MDAC] インストールしても一部のファイルが DLLCACHE に登録されない」に記載されているが，置き換えの結果，OS を再インストールしなければならなくなる場合があるのだ。

　（4-1）の場合には，「次へ(N)」ボタンを押すことなく，画面にリストアップされたアプリケーションやサービスをすべて停止し，「戻る(B)」ボタンを押して，（2）の画面に戻ってから，再度アップグレードを試みる。

　（4-2）の場合も，「次へ(N)」ボタンを押してはならない。しかし（4-1）とは異なり，この場合には停止すべきアプリケーションなどは表示されない。このため，MDAC関連ファイルを使用していると思われるアプリケーションやサービスを自分で判断して停止する。そして，「戻る(B)」ボタンを押して，（2）の画面に戻ってから，再度アップグレードを試みる。

　（4-1）や（4-2）は何度か表示されるかもしれない。そのたびにアプリケーションなどを停止して，（2）へ戻り，再度（3）のチェックを受けることになる。そして最終的に，（4）の「セットアップのインストール」が表示されるようにすればよい。

　繰り返しになるが，MDAC関連ファイルを使用しているアプリケーションやサービスが存在する場合には，決して「次へ(N)」を“強行”してはならない。これが，今回のコラムで強調したい注意点の一つである。

　ところが，MDACを使用するアプリケーションやサービスをすべて停止しているにもかかわらず，どうしても（4）の「セットアップのインストール」が表示されないケースが，特にWindows 98/98 Second Edition（SE）おいて頻発しているようである。すべて停止していることをある程度確信していても，上述のようにOSを再インストールしなければならなくなる恐れがあることを考えれば，「次へ(N)」ボタンは容易に押せない。この場合，いつまで経っても“完全な対策”を施すことはできない。

　しかし，前言と矛盾するようだが，「次へ(N)」ボタンを“強行”してもよい場合が実はあるのだ。

　結論から言うと，MDAC使用中のアプリケーションをいったん終了させてからアップグレードする必要があるのは，Windows 2000とMillennium Edition (Me) だけである。これらについては，アプリケーションを停止せずに「次へ(N)」ボタンを押してはならない。

　それに対して，Windows 98／98SE／NT 4.0 については，警告が表示されても，「次へ(N)」ボタンを押してインストールを続けても問題がないと筆者は考える。

　「本当に大丈夫か」と思う読者もいるだろうが，筆者には次のような根拠がある。

ポイントは「ファイル保護」

　根拠は，「JP418820 - [MDAC] インストールしても一部のファイルが DLLCACHE に登録されない」である。このドキュメントによれば，このバグは「Windows ファイル保護」に起因しているという。

　Windows XP／2000／Meには「ファイル保護」の概念が導入されている。XP／2000では「WFP（Windows File Protection）」，Meでは「SFP（System File Protection）」と呼んでいる。WFPについては「Q222193 Description of the Windows 2000 Windows File Protection Feature」，SFPについては「JP253571 - システムファイルの保護機能について」に詳しい。しかし，WFPについては英文で分かりづらい。日本語ドキュメントとしては，「JP236995 - 次回再起動まで新規 DLLCache ファイルは使用されない」に説明の一部がある。

　これらのドキュメントによれば，WFPとは，OSのファイルがサード・パーティのアプリケーションによって置き換え，あるいは誤って削除されることを防ぐ機能（プロセス）である。このプロセスによって保護されているファイルが削除，または上書きされると，WFP は自動的にそのファイルを元のバージョンに戻すという。

　例えば Windows 2000 Server の場合は，デフォルトで「%SystemRoot%\System32\DllCache」フォルダに，保護すべきファイルをすべてキャッシュしておく。そして，削除や上書きが発生したら，キャッシュされているファイルをコピーすることで元のバージョンに戻す。

　今回問題となった「JP418820 - [MDAC] インストールしても一部のファイルが DLLCACHE に登録されない」を要約すると，インストール時に他のプロセスが使用中だった MDAC 関連ファイルは，マシンには正常にインストールされるものの，WFPが使用しているdllcacheフォルダには正常に登録されていないということである。

　MDAC の機能自体は正常に動作するが，システムに登録されたMDAC 関連のファイルのバージョンと，dllcache フォルダに存在するファイルのバージョンは異なっている。そして，何らかの要因により WFP が動作すると，dllcache フォルダから古いバージョンの MDAC 関連ファイルが復元されてしまい，整合性が取れなくなってしまうのだ。

　以上の理由から，「JP418820」の影響を受けるのは，WFP機能を持つWindowsシステムだけと考えられる。そして，今回の場合対象となるのはWindows 2000だけである。

　それでは，SFP機能を持つMeはどうか。名称は異なるものの，同様のファイル保護機能であるのため，念のために，「MDAC使用中のアプリケーションが検出された場合には，そのアプリケーションをいったん終了させてからアップグレードする必要がある」という警告に従ったほうがよいと判断した。

　なお，Meには「MDACを使用するアプリケーションやサービスをすべて停止しているにもかかわらず，どうしても『セットアップのインストール』が表示されない」という現象は多発していないようだ。

　「Microsoft Data Access Components (MDAC) 2.7 RTM Refresh (2.70.9001.0) 日本語版ダウンロード」のページに記載された上記警告は，米Microsoftの「Microsoft Data Access Components 2.7 RTM - Refresh (2.70.9001.0) 」には無い情報である。ユーザーのために独自の情報を追加した点では，マイクロソフトのセキュリティ・レスポンスチーム・の取り組みを素直に評価したい。

　しかし情報が不十分なために，現場は混乱しているのが実情なのである。せめて「Windows 98／98 SE／NT4.0の環境では影響を受けない」という注記がほしかった。そうすれば，「インストールがすんなりできない。でも，怖くて『次へ(N)』を強行できない」というWindows 98／98 SE／NT4.0ユーザーを救えただろう。

　今からでも遅くはないので，ぜひ注記してもらいたい。加えて，筆者自身も確信を持てなかったWindows Meに関する情報についてもぜひ公開していただきたい。

IEにセキュリティ・ホール，深刻度は「緊急」

　それでは，本コラムの“後編”として，上記以外の Windows関連のセキュリティ・トピックス（2002年12月8日時点分）を，各プロダクトごとに整理して解説する。

　各種クライアント関連では，「マイクロソフトセキュリティ情報一覧」にて，新規日本語情報およびパッチが2件公開された。

（1）Internet Explorer 用の累積的な修正プログラム (324929) (MS02-068)

　IE 5.5／6 において，Web ページで特定の「オブジェクト・キャッシュ」技術が使用されている場合，ユーザーのシステム上で任意のコマンドを実行される可能性がある。原因は，「IE のクロスドメイン・セキュリティ・モデル」におけるセキュリティ・チェックが不完全であるためだ。

　ユーザーがWeb サイトを閲覧したり，HTML 形式の電子メール・メッセージを開いたりした場合に，攻撃者は任意の実行可能ファイルをユーザーのシステムに読み込ませて実行させることが可能となる。併せて，実行可能ファイルに任意のパラメータを渡すこともできる。

　対策はパッチを適用すること。深刻度が最悪の「緊急（Critical）」なので，「Windows Update」サービスなどを利用して，早急に適用しよう。パッチの適用条件は，IE 5.5 用は IE 5.5 SP2 を適用済みであることである。IE 6 用には特に条件はないが，64 bit 版 IE 6 を使用している場合は，事前にIE 6 SP1 を適用しておく必要がある。IE 5.01 はこのセキュリティ・ホールの影響を受けない。

　今回のパッチは，累積的な修正パッチであり，11月21日に公開された前回の累積的な修正パッチ「Internet Explorer 用の累積的な修正プログラム (Q328970) (MS02-066)」のパッチを含んでいる。

　なお，デフォルト設定のままのOutlook Express 6 および Outlook 2002，「Outlook 電子メールセキュリティアップデート」を適用した Outlook 98 または Outlook 2000 においては，HTML 形式メールに仕込まれた任意のプログラムを勝手に実行してしまうことはない。

深刻度が一気に2段階“アップ”した理由

　セキュリティ情報が公開された当初（12月5日時点），深刻度が「警告」であった上記「MS02-068」は，2日後に2段階“アップの「緊急」に変更された（関連記事）。マイクロソフトによると，ユーザーのマシン上で任意のコードが実行されるとの報告を受け，実際に再現できたためとしている。

　同時に，セキュリティ・ホールの影響が，「情報の漏えい」から「攻撃者がユーザーのシステムでコマンドを実行する可能性があります」に変更された。ただし，12月5日に公開された修正パッチに変更は無い。

　「MS02-068」のセキュリティ・ホール情報には「謝辞」の欄が無い。このことから，マイクロソフトへの事前報告などがなかったことが分かる。周知のセキュリティ・ホールなのである。

　セキュリティ・ホールを発見したのは，イスラエルのGreyMagic Softwareである。IEの致命的なセキュリティ・ホールを次々発見しているベンダーであり，このコラムでも何度か紹介している。同社はこのセキュリティ・ホールを，「GreyMagic Security Advisory GM#012-IE」というアドバイザリで，2002年10月に報告している。「Demonstration」だけではなく，「Exploit」コードも公開されているので，悪用が可能な状態になっている。

　なおGreyMagic Softwareは，当初「MS02-068」の深刻度が「警告」であったことを，同社のWebサイトの「News and Events」で批判していた。さらに，「MS02-068」のパッチを適用しても，同社が報告した「GM#012-IE」を完全にふさぐことはできないとして，「GM#012-IE」の“Status（状態）”は“Open（セキュリティ・ホールがふさがっていない）”としている。

　深刻度の評価が一気に2段階“アップ”された「MS02-068」であるが，筆者自身はそれほど危険なものだとは考えていない。なぜならば，「GreyMagic Security Advisory GM#012-IE」に記載されているように，設定次第で回避できるからだ。「MDAC バージョン 2.7以降にアップグレードする」しか対処方法が無かった「MS02-065」とは状況が大きく異なる

　具体的には，IEのセキュリティ設定において，「インターネットゾーン」の「スクリプト」において「アクティブスクリプト」を無効にしておけば回避可能できる。つまり，以前のコラムで紹介した「IEを使い続けるための“お勧め”設定」を施していれば，影響を受けることはない。

　ところが，こんなに簡単な回避策があるにもかかわらず，マイクロソフトは公表していない。「よく寄せられる質問」にすら記載されていない。こうした回避方法がある場合には，ぜひ公表していただきたい。

　なお，IEのセキュリティ・ホール情報を集めた「Unpatched IE security holes」によると，「MS02-068」のパッチが公開されたために，マイクロソフトが未対応であるセキュリティ・ホールは，残り18件になったという。

Outlook 2002が異常終了

（2）電子メールヘッダー処理の問題により，Outlook 2002 が異常終了する (331866) (MS02-067)

　Outlook 2002 における電子メール・ヘッダー情報を処理する方法にセキュリティ・ホールが見つかった。このため，攻撃者から細工が施されたメールを送信されると，Outlook 2002 が異常終了する可能性がある。受信時だけではなく，そのメールがメール・サーバーに残っている間，異常終了する状態が続くという（関連記事）。

　対策はパッチを適用すること。深刻度は下から2番目の「警告」である。可能な限り，速やかにパッチを適用しよう。パッチの適用条件は，Office XP SP2を適用済みであることである。

　なお，POP3，IMAP，WebDAV プロトコルを使用している Outlook 2002 クライアントのみが影響を受ける。MAPI プロトコルを使用してメール・サーバーに接続している場合には影響を受けない。また，Outlook 2000 および Outlook Express は使用しているプロトコルにかかわらず影響を受けない。

　「MS02-067」のセキュリティ情報には，「謝辞」が記載されている。それによれば，Richard Lawley 氏から，マイクロソフトへ事前報告や協力があったことが分かる。事前に知れわたっているセキュリティ・ホールではなさそうだ。

「Winevar」ワームの情報と月刊サマリーが公開

　「TechNet Online セキュリティ」では，ウイルス対策情報である「Winevar に関する情報」と月例の「2002年11月セキュリティ警告サービス月刊サマリー」の2件が公開された。

　Winevar ワームは，「MS01-020」のセキュリティ・ホールを悪用して，Outlook や Outlook Express などでプレビューするだけで発病するワームである。加えて，Microsoft VM のセキュリティ・ホール「MS00-075」を悪用して，感染拡大を図る。

　特に目新しいワームではないので，ウイルス対策ソフトのウイルス定義ファイル（パターンファイル）をきちんと更新していれば問題はない。

　「2002年11月セキュリティ警告サービス月刊サマリー」は，11月に公開されたセキュリティ情報をまとめた月例レポートである。

　いずれの情報も緊急度は低い。時間がある時に目を通しておけばよいだろう。

「ウイルスバスター」にバッファ・オーバーフロー

　最後に，アンチウイルス・ベンダーのトレンドマイクロから公開された情報を1件紹介しよう。同社のサポート情報として，「ウイルスバスタークライアント製品における『バッファオーバーフロー問題』Security Patch 公開のお知らせ」が公開された。ウイルスバスターのクライアント製品が備えるメール検索機能で使用するポートに，直接接続されて大量の文字列を送信されると，バッファ・オーバーフローが発生する可能性がある。

　ウイルスバスター2002とウイルスバスター2003用のパッチは公開されたものの，同じく影響を受けるウイルスバスター2001用にはパッチが存在しない。このため，ウイルスバスター2002／2003にアップグレードした後にパッチを適用する必要がある。同製品のユーザーはチェックしておこう。

マイクロソフトセキュリティ情報一覧

『Internet Explorer 5.5／6』
◆Internet Explorer 用の累積的な修正プログラム (324929) (MS02-068)
　（2002年12月 7日：深刻度の評価を「緊急」に変更するとともに，脆弱性の影響に関する情報を更新，深刻度 : 緊急）
　（2002年12月 5日：日本語情報および日本語版累積パッチを公開，深刻度 : 警告）

『Outlook 2002』
◆電子メール・ヘッダー処理の問題により，Outlook 2002 が異常終了する (331866) (MS02-067)
　（2002年12月 5日：日本語情報および日本語版累積パッチを公開，深刻度 : 警告）

TechNet Online　セキュリティ

◆Winevar に関する情報

◆2002 年 11 月セキュリティ警告サービス月刊サマリー

トレンドマイクロのサポート情報

◆ウイルスバスタークライアント製品における「バッファオーバーフロー問題」 Security Patch 公開のお知らせ（2002年12月 6日）

山下　眞一郎（Shinichiro Yamashita）
株式会社富士通南九州システムエンジニアリング
第一ソリューション事業部ネットソリューション部　プロジェクト課長
yama@bears.ad.jp

　「今週のSecurity Check [Windows編]」は，IT Proセキュリティ・サイトが提供する週刊コラムです。Windows関連のセキュリティに精通し，「Winセキュリティ虎の穴」を運営する山下眞一郎氏に，Windowsセキュリティのニュースや動向を分かりやすく解説していただきます。（IT Pro編集部）