Windows NT Server 4.0ユーザーはまだまだ多い。しかし,NT Server 4.0ユーザーを悩ませる出来事が最近相次いでいる。まずは,2004年12月末日以降セキュリティ・パッチが提供されないことが明らかとなった。さらに,不具合があるNT 4.0用パッチの公開が相次いでいる。せめてパッチの提供打ち切りまでは,安心して使用できる環境を用意してもらいたいものだ。併せて今回の記事では,Internet Explorer(IE)やWindows XPに見つかったセキュリティ・ホールなども解説する。
パッチ提供の打ち切りが決定
マイクロソフトから,1月28日に「Windows NT Server 4.0 の製品販売期間と製品サポート期間に関するガイドラインについて」というリリースが公開された(関連記事)。
リリースでは,セキュリティ・パッチである「セキュリティ ホットフィックス」のサポートを,2004年12月末日に打ち切ることを明言している。
以前の記事でもお知らせした通り,マイクロソフトは,延長サポート終了日の2003 年12月31日まではもちろんのこと,それ以降もセキュリティ・パッチを無償で提供するとしていた。提供終了日は未定で,終了する最低1年前には告知するとしていた。
このため,「2003年12月31日以降,数年はセキュリティ・パッチが無償提供されるのだろう」と思っていたが,早くも告知のときは来てしまった。結局,サポート終了後に無償提供される期間はたった1年止まりだったわけだ。
セキュリティ・パッチが提供されなくなる2005 年1月1日以降は,セキュリティ的な観点においては,Windows NT Server 4.0 は事実上使用できないと考えるべきだろう。
不具合があるパッチをひっそりと公開
こればかりではない。NT 4.0ユーザーの頭を痛める出来事は続いている。NT 4.0用に限り,不具合があるセキュリティ・パッチが“ひっそり”と公開され,そして削除されていたのである。しかも,「適用すべきなのか」,「適用してしまった場合どうすればよいのか」――などは一切アナウンスされていなかった。
問題となったのは,2月6日に公開された「Internet Explorer 用の累積的な修正プログラム (810847) (MS03-004)」に関するパッチである(このセキュリティ・ホールについては後述する)。このセキュリティ情報が公開される以前から,このセキュリティ・ホールに関する不具合があるNT 4.0用パッチが,“なぜか”Windows Updateで公開されていた。しかも,「重要な更新」の候補として公開されていたのである。
マイクロソフトも,この「Internet Explorer 用の累積的な修正プログラム」のセキュリティ情報の追記で,「2003 年 1 月 20 日に修正プログラム候補が Windows Update に誤って公開されました」と“白状”している。同追記では,1月20日に誤って公開したとしているが,セキュリティ関連のメーリング・リスト「セキュリティホール memo ML」などの情報によると,それ以前からも公開されていたようだ。とはいえ,マイクロソフトが言うように公開日が1月20日だとしても,2週間以上は正式なアナウンスがなかったことになる。
「重要な更新」として表示されたこのパッチを不幸にも適用してしまった“まじめな”ユーザーが,2月6日以前に問題を解消しようとした場合には,IEを一度アンインストールしてから再インストールする,あるいはバージョンアップするしかなかった。
2月6日に公開された新しいパッチを適用すれば,以前のパッチの不具合を解消できるとしている。とはいえ,以前のパッチを適用してしまった環境では,Windows Updateを利用しても,新しいパッチが候補のパッチとして表示されない。このため,わざわざ自分でダウンロードして適用をする必要がある。マイクロソフトが“推奨”するWindows Updateだけを利用しているユーザーは,以前のパッチの不具合をずっと抱えたままなのだ。
なお同セキュリティ情報よると,以前のパッチを適用してしまった環境を正しく検出できるよう,現在 Windows Update を改良中だという。
不具合があるパッチが「重要な更新」として公開されてしまった今回の“事件”について,「US マイクロソフトセキュリティ情報(MS03-004)」には何の記載もない。このため,今回の事件は国内でのみ発生した可能性がある。とはいえ,「US マイクロソフトセキュリティ情報」に記載されない情報も,日本のマイクロソフトセキュリティ情報は公開してきたという実績があるので,米国などでも同様に発生している可能性もある。
どちらにしても,今回のようなミスが二度と起きないように,Windows Update サイトを慎重に運用してもらいたい。以前と比較すれば,Windows Update のサイトを頼りにしているユーザーは格段に増えているし,マイクロソフト自身もWindows Updateの利用を推奨しているはずだ。
加えて,今回のような事件がおきたら,セキュリティ情報の追記でひっそりと告知するのではなく,セキュリティ情報を細かく読まないユーザーにも分かる形で告知していただきたい。
なぜNT 4.0用に限って問題が
「NT 4.0用のパッチに限って不具合」という出来事は今回に限らない。2月4日にも「Windows WM_TIMER メッセージ処理の問題により,権限が昇格する (328310) (MS02-071)」に関するパッチにおいても発生している。このセキュリティ情報にあるように,Windows NT 4.0 および Windows NT 4.0 Terminal Server Edition 用のパッチを適用すると,環境によっては問題が発生する場合がある。不具合があるパッチを公開したのが2002年12月12日なので,2カ月弱にわたって公開されていたことになる。
不具合があることを公開した2月4日に,問題のパッチは公開が中止された。そしてその4日後に,不具合を修正したパッチが公開された。
Windows NT Server 4.0を使用しているシステムはまだまだ多い。ところが,上記のような出来事が立て続けに起きているところを見ると,NT 4.0のパッチに対するチェックが甘くなっているようにしか思えない。マイクロソフトにとっては,サポート打ち切り期日を決めた段階で,Windows NT Server 4.0は過去のOSとなってしまったのだろうか。セキュリティ・パッチの提供中止については仕方がないとしても,提供中止前に「NT 4.0は怖くて使えない」という状況にだけはならないように,きちんとサポートしてもらいたい。一ユーザーとしてのお願いである。
SQL Slammerは沈静化,ただし情報収集は怠らずに
前回の記事でお知らせしたSQL Slammer ワームは,すっかり沈静化したようだ。ただし,SQL Slammerの変種ワームが出現する可能性は高い。さらに,SQL Slammerに関する新着情報が複数公開されている。引き続き情報収集は怠らないようにしたい。
例えばマイクロソフトは,セキュリティ・ホールがあるSQL Server 2000/MSDE 2000 を検出する「SQL Server 2000 SQL Scan ツール」を公開している。「SQL Server および MSDE を標的とした SQL Slammer ワームに関する情報」も適宜更新されているで,チェックしたい。
また,日本レジストリサービス(JPRS)は,ワーム対策としてポートをフィルタリングしている場合には注意が必要であると呼びかけている(関連記事)。参考情報としてチェックしておこう。
IEに「緊急」のセキュリティ・ホール
それでは次に,「今週のSecurity Check [Windows編]」の“後半”として,上記以外のWindows関連セキュリティ・トピックス(2003年2月8日時点分)を,各プロダクトごとに整理して解説する。
各種クライアント関連では,「マイクロソフト セキュリティ情報一覧」にて,新規日本語情報およびパッチが1件公開された。
Internet Explorer 用の累積的な修正プログラム (810847) (MS03-004)
IE 5.01/5.5/6.0において,2つの新しいセキュリティ・ホールが公開された。いずれのセキュリティ・ホールについても,攻撃者にシステム上でコマンドなどを実行される可能性がある(関連記事)。
対策はパッチを適用すること。最大深刻度が「緊急」の,システムを乗っ取られる可能性がある深刻なセキュリティ・ホールなので,速やかにパッチを適用しよう。
今回のパッチは,累積的な修正パッチであり,前回の累積的な修正パッチ「Internet Explorer 用の累積的な修正プログラム (324929) (MS02-068)」と「Internet Explorer 用の累積的な修正プログラム (Q328970) (MS02-066)」のパッチを含んでいる。
パッチの適用条件は,IE 5.01 用は IE 5.01 Service Pack 3(SP3)を適用済みであること(ただし Windows 2000 SP3の環境に限る),IE 5.5 用は IE 5.5 SP2 を適用済みである。IE6 用については,Windows XP SP1 を適用していないWindows XP環境に限られる。
IE6 SP1 用については,Windwos XP/2000/NT 4.0に適用する場合には,それぞれ XP SP1/2000 SP3/NT 4.0 SP6aの環境に限って適用できる。一方,Windows ME/Windows 98 環境に適用する場合には,特に条件はない。
今回公開された「MS03-004」は,
- 「不適切なクロス ドメイン セキュリティの確認とダイアログ ボックス」
- 「適切なクロス ドメイン セキュリティの確認と ShowHelp 機能」
なお,IE 5.01 ユーザーは 1 の影響を受けない。また,デフォルト設定のままのOutlook Express 6およびOutlook 2002,あるいは「Outlook 電子メール セキュリティ アップデート」を適用した Outlook 98 や Outlook 2000 では,電子メールの本文を開いたりプレビューするだけで攻撃を受けることはない。
今回のパッチには,適用するとWindowsのHTML ヘルプ 機能「window.showHelp( )」を使用できなくなるという注意点がある。ただし,更新された HTML ヘルプ コントロール を「Windows Update」サイトからダウンロードすれば使用できるようになる。なお,更新された HTML ヘルプ コントロールにアップデートすると,ヘルプ ファイルが showHelp メソッドで開かれる時にはいくつかの制限が適用される(制限の詳細については「マイクロソフト セキュリティ情報 (MS03-004) : よく寄せられる質問」に詳しい)。このことも頭に入れておきたい。
XPに「重要」のセキュリティ・ホール
各種OS関連では,「マイクロソフト セキュリティ情報一覧」にて,新規日本語情報およびパッチが1件,更新パッチが1件公開された。
(1)Windows リダイレクタの未チェックのバッファにより権限が昇格する (810577) (MS03-005)
Windows XPにおいて,「Windows リダイレクタ」の実装に未チェックのバッファが存在するために,攻撃者からシステムを異常終了させられたり,任意のコードを実行されたりする可能性がある(関連記事)。
対策は,既に公開されている日本語版パッチを適用すること。深刻度は「重要」に設定されているので,可能な限り速やかにパッチを適用しよう。パッチの適用条件は特にない。
なお,システムへの対話的なログオンが許可されていないユーザーは,セキュリティ・ホールを悪用することはできない。加えて,リモートから悪用することもできない。このため,共有していない Windows XP システムは影響を受けないし,セオリー通りのセキュリティ対策を施しているシステムも,影響を受けることはないだろう。
(2)Windows WM_TIMER メッセージ処理の問題により,権限が昇格する (328310) (MS02-071)
過去の記事で紹介している通り,Windows NT 4.0/NT 4.0, Terminal Server Edition/2000/XPにおいて,「WM_TIMER」メッセージ処理にセキュリティ・ホールが見つかっている。セキュリティ・ホールを悪用されると権限の昇格を許し,システムを乗っ取られる可能性がある。
記事の“前半”でも書いたように,このセキュリティ・ホールが公開されたのは,2002年12月12日。このとき各OS用のパッチが同時に公開されたものの,NT 4.0/NT 4.0 Terminal Server Edition 用のパッチには不具合があることが明らかになり,2月4日に公開が中止された。そして今回,不具合を修正したパッチが公開された。
当初公開されたパッチを適用している場合の対応策は明記されていないが,念のために以前のパッチをアンインストール後,新しく公開されたパッチを適用しておけばよいだろう。
今ごろ12月の月刊サマリー?
「TechNet Online セキュリティ」では,毎月恒例の「セキュリティ 警告サービス」を公開している。これは,前月に公開されたセキュリティ情報をまとめた月例レポートである。今月もいままで同様公開されている。
ところが今回はちょっと変だ。「2002 年 12 月 セキュリティ 警告サービス 月刊サマリー」というドキュメントが「新着」マーク付きで公開されている(2月10日現在)。本来は,前月のサマリーを翌月初旬に公開するサービスであるのに,表題が昨年12月になっている。表題だけ誤ったのかと思ったが,中身もやはり昨年12月の情報である。
このメール版である「マイクロソフト プロダクト セキュリティ 警告サービス 2003 年 1 月」が2月6日には私の手元に届いている。本来ならば,この情報のWeb版が掲載されているべきだ。
どうやら,2003年1月版を掲載し忘れただけではなく,古い情報に「新着」マークを付けてしまったようだ。
マイクロソフト セキュリティ情報一覧
『Internet Explorer 5.01/5.5/6』
◆Internet Explorer 用の累積的な修正プログラム (810847) (MS03-004)
(2003年 2月 6日:日本語情報および日本語版パッチ公開,最大深刻度 : 緊急)
『Windows XP』
◆Windows リダイレクタの未チェックのバッファにより権限が昇格する (810577) (MS03-005)
(2003年 2月 6日:日本語情報および日本語版パッチ公開,最大深刻度 : 重要)
『Windows NT 4.0/NT 4.0, Terminal Server Edition/2000/XP』
◆Windows WM_TIMER メッセージ処理の問題により,権限が昇格する (328310) (MS02-071)
(2003年 2月 8日:Windows NT 4.0 および Windows NT 4.0 Terminal Server Edition の不具合を修正した新しいパッチが公開,最大深刻度 : 重要)
(2003年 2月 4日:Windows NT 4.0 および Windows NT 4.0 Terminal Server Edition用パッチを適用すると問題が発生する場合があることが判明,同パッチの公開を中止,最大深刻度 : 重要)
(2002年12月12日:日本語情報および日本語版修正パッチ公開,最大深刻度 : 重要)
TechNet Online セキュリティ
◆SQL Server および MSDE を標的とした SQL Slammer ワームに関する情報 : 更新履歴 (マイクロソフト)
◆SQL Server 2000 SQL Scan ツール 公開 (マイクロソフト:2003年 1月30日)
山下 眞一郎(Shinichiro Yamashita)
株式会社 富士通南九州システムエンジニアリング
第一ソリューション事業部ネットソリューション部 プロジェクト課長
「今週のSecurity Check [Windows編]」は,IT Proセキュリティ・サイトが提供する週刊コラムです。Windows関連のセキュリティに精通し,「Winセキュリティ虎の穴」を運営する山下眞一郎氏に,Windowsセキュリティのニュースや動向を分かりやすく解説していただきます。(IT Pro編集部)