Windows 2000 Service Pack 4(SP4)の英語版とドイツ語版が,米国時間6月26日やっと公開された。日本語版もまもなく公開されるだろう。そこで今回の記事では,日本語版の公開にさきがけ,米Microsoftから公開されている「Windows 2000 Service Pack 4」をはじめとする関連ドキュメントを基に,SP4の内容や適用する上での注意点などを解説する。今までのサービス・パックと同じように,含まれないセキュリティ・パッチが複数存在するので要注意である。

SP4は“推奨されたアップグレード”

 Windows 2000 SP3 英語版が公開されたのは米国時間2002年8月1日なので,実に11カ月ぶりのWindows 2000用アップデート・モジュールとなる。まずは,Windows 2000 SP4の概要をざっと紹介しよう。

 Windows 2000 SP4の適用対象は,Windows 2000 Professional/Windows 2000 Server/Windows 2000 Advanced Server/Windows 2000 with the Server Appliance Kit operating systems――である。入手方法は,Webサイトからのダウンロードする方法と,CD-ROMとして送付してもらう方法がある。前者は無償だが,後者は有償である。

 Windows 2000 SP4には,今までに公開されたWindows 2000用のサービス・パック(SP1,SP2,SP3)がすべて含まれる。加えて,Internet Explorer(IE) 5.01 SP4 とOutlook Express 5.5 SP2 も含まれる。

 「Windows 2000 Service Pack 4 FAQ」によると,SP4では,2種類のデバイス「Wireless Protocol 802.1x」と「USB 2.0 EHCI Host Controllers」を新たにサポートする。しかしながら,新しい機能は追加されない。

 Windows 2000 SP4は新機能を追加するモジュールではなく,「セキュリティ」「オペレーティング システムへの信頼性」「アプリケーションとの互換性」「セットアップ」――の更新を含むモジュールであるとされている。細かい話ではあるが,SP3も同様のモジュールと位置付けられていたが,項目の記載順序が,「アプリケーションとの互換性」「オペレーティング システムへの信頼性」「セキュリティ」「セットアップ」――であった。同社がセキュリティを重要視していることを示すために,あえて「アプリケーションとの互換性」と「セキュリティ」の記載順序を入れ替えたものと思われる。

 Windows 2000 SP2は,「Windows 2000 SP2 is not considered a required upgrade」とされていて,適用が不可欠なサービス・パックではなかった。これに対してSP4は,「Windows 2000 SP4 is a recommended update」とされており,SP3と同様に,同社が適用を推奨しているサービス・パックである。

SP4を適用する場合の注意点

 過去のサービス・パック同様,Windows 2000 SP4を適用すると問題が発生する場合がある。原稿執筆時点(2003年6月29日現在)では,「ブートができなくなる」などの大きな問題は発生していないものの,気になる問題がいくつか報告されている。最新情報は「813432 - Release Notes for Windows 2000 Service Pack 4」に記載されている。同ページは今後更新されることが予想されるので,できるだけ頻繁にチェックしたい。

 同ページによると,アプリケーションの互換性(Application Compatibility)の問題がいくつか報告されている。例えば,「Norton Internet Security 2001」がインストールされたSP4環境において,IEでWebにアクセスするとタイムアウトが発生する問題が報告されている。また,「その他(Other)」として,SP4以降では「Windows Media Tools 4.1」がサポートされないことが記載されている。同ツールのユーザーは注意したい。

 同ページには,これら以外にもSP4の適用で発生する問題や注意点が記載されている。「セットアップ(Setup)」の項には,「822384 - Some Windows 2000 Hotfixes May Cause a Conflict with Service Pack 4 for Windows 2000」というタイトルがある。「いくつかのWindows 2000 Hotfixes(パッチ)が,Windows 2000 SP4とコンフリクト(矛盾,衝突)を引き起こすかもしれない」という,とても気になるタイトルである。

 しかし,内容を確認すれば,ほとんどのユーザーは影響を受けないことが分かる。というのも,コンフリクトを引き起こす恐れがあるのは,「Microsoft Product Support Services」からのみ入手可能な,少数の「post-Service Pack 4 (SP4) hotfixes」だけだからだ。「Microsoft Download Center」や「Windows Update」から適用可能なWindows 2000 Hotfixes(パッチ)は影響を受けない。

 同ページの「その他(Other)」にある「820101 - Frequently Asked Questions About the Microsoft VM and Windows 2000 Service Pack 4」も気になるタイトルである。これは,Microsoft VMに対するWindows 2000 SP4のスタンスを説明したドキュメントである。

 ドキュメントには,以下のような情報が記載されている(これら以外に,“注意点”も記載されているが,それらについては後述する)。

(1)Microsoft VM は,Windows 2000 SP4によってインストールされないし,更新も削除もされない
(2)Microsoft VM を構成するファイルは,Windows 2000 SP4を適用すると,Windows File Protection(WFP)によって保護されなくなる
(3)Microsoft VM がインストールされている Windows 2000 SP4 適用後のシステムにおいては,Microsoft VM のセキュリティ更新(パッチ)を自分で適用し続けることはとてもよい考え(very good idea)である。Windows Update の利用により,Microsoft VMを更新し続けることができる

 (3)の「Windows Update の利用により,Microsoft VMを更新し続けることができる」に関しては,現時点では誤りではないが,適切な表現ではないだろう。というのも,以前の記事にも書いたように,2004年1月で,Microsoft VMのサポートは終了するからだ(関連記事)。

SP4に含まれないセキュリティ・パッチ

 過去のサービス・パック同様,Windows 2000 SP4には含まれないセキュリティ・パッチがいくつか存在する。今まできちんとパッチを適用してきたWindows 2000システムをSP4へアップグレードする場合には気にする必要はないが,Windows 2000を再インストールする場合などには大きな問題となる。新たにWindows 2000をインストールしたシステムでは,Windows 2000 SP4を適用するだけでは不十分だからである。

 「SP4に含まれないセキュリティ・パッチは何か」「新たにWindows 2000をインストールしたシステムには,SP4以外にどのパッチを個別に適用する必要があるのか」――を,以下整理する。

 Windows 2000 SP4 に含まれないセキュリティ・パッチとしては,(1)SP4に含めるパッチを確定した後に公開されたパッチ,(2)Windows 2000 SP4が対象としないパッチ(Microsoftが,Windows 2000のサービス・パックに含める必要がないと考えたパッチ),(3)個別のパッチとしてもリリースされていないパッチ――の3種類が考えられる。(3)については,「パッチが存在しないのだから当たり前ではないか」と思われるだろう。確かにその通りなのだが,セキュリティ情報は公開されたものの,Windows 2000用のパッチが公開されていないセキュリティ・ホールが存在する。これについては,後述するように設定変更などで対応する必要がある。

 まず,(1)「SP4に含めるパッチを確定した後に公開されたパッチ」としては,原稿執筆時点(2003年6月28日現在)で,1件存在する。

Windows Media サービスの ISAPI エクステンションの問題により,コードが実行される (822343) (MS03-022)

 このセキュリティ・ホールの詳細については,本記事の後半で紹介する。

 次に,(2)「Windows 2000 SP4が対象としないパッチ」を考えてみよう。まず,「Windows 2000用のパッチではないが,Windows 2000システムを利用する上では不可欠のパッチ」がこれに該当する。具体的には,IEのパッチが挙げられる。Windows 2000 SP3 には,「Internet Explorer 5.5 and Internet Explorer 6 security patches are NOT included in Windows 2000 Service Pack 3」という注意書きがあり,IE 5.5/6 用のセキュリティ・パッチを含まないことが明記されていた。SP4にはこの記載はないが,SP3と同等だと考えてよいだろう。

 IE 5.5/6 用のセキュリティ・パッチは,「製品別修正プログラム一覧 Internet Explorer 5.5 SP 2」「製品別修正プログラム一覧 Internet Explorer 6 SP 1」にまとめられているので参考にしてほしい。

 ただし,Windows 2000にデフォルトで組み込まれているIE 5.01に関しては,セキュリティ・パッチを含んだIE 5.01 SP4が含まれている。このことは,「Windows 2000 Service Pack 4 FAQ」に明記されている。

 IE 5.5/6用パッチ以外に,SP4に含まれないパッチはないだろうか。それを調べるために筆者は,「Windows 2000 SP4 Now Available」に記載された「SP4に含まれるセキュリティ・パッチ」20件と,今までに公開されたパッチを,「Hotfix and Security Bulletin Search」などを利用して手作業で比較した。その結果,以下の3種のセキュリティ・パッチが,SP4に含まれていないことが明らかとなった。

WebDAV Service Provider によりスクリプトがユーザーとしてリクエストを行う (MS01-022)
XMLHTTP コントロールにより,ローカル ファイルにアクセスすることができる (MS02-008)
Microsoft VM の問題により,システムが侵害される (816093) (MS03-011)

 「MS01-022」と「MS02-008」は,Windows 2000 SP3 にも含まれていなかった“特別な”セキュリティ・パッチである。というのも,これらはすべてのWindows 2000システムにおいて適用が必須のパッチではないからだ。特定のバージョンのモジュールをインストールしている場合のみ影響を受ける。必要に応じて適用すべきパッチなのである。

 自分のWindows 2000システムにこれらのパッチを適用すべきかどうかは,それぞれのセキュリティ情報を参照してほしい。「MS01-022」については「(MS01-022):よく寄せられる質問」の 「修正プログラムが必要であるかはどのように分かるのですか?」の項目に,「MS02-008」については「(MS02-008):よく寄せられる質問」の「修正プログラムの適用が必要であるかどうかはどのように分かるのですか?」の項目に詳述されている。

 それでは,「MS03-011」はなぜ含まれなかったのだろうか。前述の「813432 - Release Notes for Windows 2000 Service Pack 4」「820101 - Frequently Asked Questions About the Microsoft VM and Windows 2000 Service Pack 4」にその理由がある。同ドキュメントには,「Microsoft VMは,Windows 2000 Service Pack 4によって,インストールされないし,更新も削除もされない」と書かれている。「MS03-011」はMicrosoft VMの更新に該当するために,SP4には含めなかったと考えられる。

 つまり,Microsoft VMがインストールされていて,なおかつ「MS03-011」を適用していない場合には,「MS03-011」を適用する必要がある。ただし,注意点がある。Microsoft VMを組み込んだ状態で「MS03-011」を適用した後,Windows 2000 SP4を適用する場合には問題がないが,「Microsoft VM の問題により,システムが侵害される (816093) (MS03-011)」のページからダウンロードできるWindows 2000用のパッチをSP4環境に適用しようとすると,「Setup Error」というエラーが発生するという。このページに置かれているパッチは,Windows 2000 SP2/SP3用だからだ。

 Windows 2000 SP4用の「MS03-011」パッチ(更新されたMicrosoft VM)をファイルとしてダウンロードしたい場合には,「Windows Update カタログ」を利用すればよい。Windows Updateカタログの利用方法は,「323166 - [HOWTO] Windows Update カタログから Windows の更新およびドライバをダウンロードする」を参考にしてほしい。なお,SP4環境において,Windows Updateから「MS03-011」パッチを適用できるかどうかは不明である。

 最後の,(3)個別のパッチとしてもリリースされていないパッチ(パッチがリリースされていないセキュリティ・ホール)は,Windows 2000 SP3のときには存在しなかったが,SP4では1件存在する。

Windows 2000 の既定のアクセス権により,トロイの木馬プログラムが実行される (327522) (MS02-064)

 パッチが公開されていない理由は,「よく寄せられる質問 : マイクロソフトセキュリティ情報(MS02-064)」の 「この脆弱性に対応する修正プログラムがないのはなぜですか?」の項目に記載されている。マイクロソフトでは,このセキュリティ・ホールを修正する最も効果的な方法は,システム管理者が自分の組織に合ったアクセス権を自ら設定することだと考えている。

 さて,長くなったが,以上を整理すると,SP4に含まれないパッチや,SP4適用後に必要なパッチは以下のようになる。繰り返しになるが,SP4を適用したユーザーすべてが以下の作業を実施する必要があるのではない。パッチ適用や設定変更をきちんと実施しているWindows 2000システムでは,改めて実施する必要はない。パッチや設定変更を実施していないシステム(例えば,Windows 2000を再インストールしたシステム)において,SP4を適用した後に必要な作業だと考えてほしい。

■「Windows 2000 SP4 適用後に必要なセキュリティ・パッチおよび対応一覧」2003年6月28日版(powered by 「今週のSecurity Check」)

WebDAV Service Provider によりスクリプトがユーザーとしてリクエストを行う (MS01-022)
 *Windows 2000 SP4が対象としないパッチ

XMLHTTP コントロールにより,ローカル ファイルにアクセスすることができる (MS02-008)
 *Windows 2000 SP4が対象としないパッチ

Windows 2000 の既定のアクセス権により,トロイの木馬プログラムが実行される (327522) (MS02-064)
 *パッチが存在しない。設定変更などで対応

Microsoft VM の問題により,システムが侵害される (816093) (MS03-011)
 *Windows 2000 SP4が対象としないパッチ

Windows Media サービスの ISAPI エクステンションの問題により,コードが実行される (822343) (MS03-022)
 *Windows 2000 SP4の内容が確定後に公開されたパッチ

「製品別修正プログラム一覧 Internet Explorer 5.5 SP 2」「製品別修正プログラム一覧 Internet Explorer 6 SP 1」
 *Windows 2000 SP4が対象としないパッチ。IE 5.5/6をインストールした場合に必要

 以上は,Windows 2000およびIEに関するパッチならびに対応であり,他のアプリケーションをインストールした場合には,それらに対するパッチを適用する必要があることは言うまでもない(例えば,後述する「MS03-021」)。また,以上はあくまでも筆者が独自に調べた内容である。万全を期したつもりではあるが,誤りを含んでいる可能性はあるので注意してほしい。心配な方は,Microsoftが公開した情報や今後マイクロソフトが公開するであろう情報で確認してほしい。もちろん,情報に誤りがあることが明らかになれば,このコラムでもフォローする。

Windows 2000 SP4に関するその他のトピック

 Microsoftは,適用すべきパッチをプロダクトごとに検索できるサービス「Hotfix and Security Bulletin Search」を提供している。Windows 2000 SP4の公開とともに,このサービスには「Windows 2000 Service Pack 4」の検索条件が加わった。しかし実際に検索すると,表示されたのは「MS03-022」だけだった。明らかに不十分である。今後充実されることを期待したい。

 なお余談ではあるが,マイクロソフトは,Windows 2000 SP3適用後に必要なパッチ情報をまとめた「Windows 2000 SP 3 セキュリティ修正プログラム一覧」を提供している。今回,SP4適用後に必要なパッチ情報をまとめるために,このページも参考にしたのだが,気になる点があった。

 同ページはたえず最新の情報に更新されており,注意点などもきちんと書かれていて,とても有用なのだが,「SP4に含まれないパッチ(SP4適用後に施すべき対応)」として紹介した「Windows 2000 の既定のアクセス権により,トロイの木馬プログラムが実行される (327522) (MS02-064)」が全く言及されていない。

 パッチが存在しないのだから,「Windows 2000 SP3適用後に必要なパッチ情報」に含まれないのはもっともな話ではあるが,SP4の環境ばかりではなく,SP3の環境でも「MS02-064」の影響は受ける。「Windows 2000 SP3適用後に必要な対応」として,「MS02-064」についても記述していただきたい。ちなみに,「Hotfix and Security Bulletin Search」では,「Windows 2000 SP3」で検索すると,何の説明もないものの「MS02-064」はきちんと検索結果として表示される。「MS02-064」がWindows 2000システムに関係があることを知らなければ,「システム管理者が自分の組織に適するアクセス権を自ら設定する」こともできないだろう。マイクロソフトには,より一層の細かい配慮をお願いしたい。

 さて,国内ユーザーが気になる日本語版のリリースはいつになるだろうか。

 Windows 2000 SP2の英語版は 2001年5月16日にリリースされ,日本語版は 2週間以上経過した6月1日にリリースされている。Windows 2000 SP3の英語版は 2002年8月1日にリリースされ,日本語版は約1週間後の8月9日にリリースされている。

 SP4の日本語版リリース時期については,最近の例から「英語版リリースの1週間~10日後程度」と考えられる。マイクロソフトのセキュリティ・レポートにも,「Windows 2000 Service Pack 4(日本語版は近日公開予定です)」と記載され始めた。未定であるものの,近日中であることは間違いない。

Windows 2000 Serverシリーズに深刻なホール

 それでは次に,Windows 2000 SP4以外のWindowsに関するセキュリティ・トピックス(2003年6月28日時点分)を,各プロダクトごとに整理して解説する。

 各種OS関連では,「マイクロソフト セキュリティ情報一覧」にて,新規日本語情報およびパッチが1件公開された。

Windows Media サービスの ISAPI エクステンションの問題により,コードが実行される (822343) (MS03-022)

 Windows 2000 Server/Advanced Server/Datacenter Serverの「Windows Media サービス 4.1」にセキュリティ・ホールが見つかった。Windows Media サービスは,ネットワーク上のクライアントにメディア・コンテンツを配信する機能で,マルチキャスト配信をサポートする。同サービスを有効にして,なおかつIIS(Internet Information Services)を稼働させている場合には,特別な形式のHTTP リクエスト送信されると,IIS を異常終了させられたり,サーバー上で任意のコードを実行される可能性がある(関連記事)。

 システムを乗っ取られる可能性がある,最大深刻度が「重要」のセキュリティ・ホールなので,速やかにパッチを適用する必要がある。

 セキュリティ情報の「謝辞」の項によれば,Brett Moore 氏から,マイクロソフトへ事前の報告や協力があったことが分かる。このため,アンダーグランドでこのセキュリティ・ホールが周知されていたり,悪用されていたりする可能性は小さいと考えられる。

 今回公開されたパッチは,Windows 2000 SP2/SP3 および SP4(日本語版は近日公開予定)に適用できる。今回の記事の前半で述べたように,このパッチはSP4に含めるパッチが確定した後に公開された初めてのパッチである。

Media Playerに情報漏えいのホール

 各種クライアント関連では,「マイクロソフト セキュリティ情報一覧」にて,新規日本語情報およびパッチが1件公開された。

Windows Media Player の問題により,メディア ライブラリがアクセスされる (819639) (MS03-021)

 Windows Media Player 9 シリーズに含まれる ActiveX コントロールにセキュリティ・ホールが見つかった。特別に作成されたWeb ページやHTMLメールを開くと,Media Playerの「メディア ライブラリ」の情報にアクセスされる恐れがある(関連記事)。

 最大深刻度 が「警告」のセキュリティ・ホールなので,必要に応じて速やかにパッチを適用する必要がある。パッチは,Windows 98/98SE/Me/2000 SP2/2000 SP3/2000 SP4(日本語版は近日公開予定)/XP/XP SP1/Server 2003 上で動作するMedia Player 9に適用できる。

 Windows 2000 SP4環境に適用できるものの,アプリケーション・ソフト用のパッチであるため,記事前半で書いた「Windows 2000 SP4 適用後に必要なセキュリティ・パッチおよび対応一覧」には含めていない。

 セキュリティ情報の「謝辞」の項によれば,Jelmer 氏から,マイクロソフトへ事前の報告や協力があったことが分かる。このため,アンダーグランドでこのセキュリティ・ホールが周知されていたり,悪用されていたりする可能性は小さいと考えられる。

Windows Messengerにトラブル

 「トラブル・メンテナンス速報」において,「『Windows Messenger 4.6 の接続性の問題に関する修正プログラム』のセットアップに失敗する現象について」というトラブル情報が6月27日にアナウンスされた。

 具体的には,2 バイト文字を含むユーザー名で Windows XP にログオンしている場合に,Windows Update の重要な更新「 Windows Messenger 4.6 の接続性の問題に関する修正プログラム - (投稿した日付 : June 18, 2003) 」を適用すると,エラー・メッセージが表示されて適用に失敗する場合があるという。

 同情報には,回避策とその具体的な手順が記載されている。今回の件に限らず,ユーザー名やファイル名,パス名などに日本語を使用すると,思わぬトラブルが発生する場合がある。注意しておこう。

絵でみるセキュリティ情報

 マイクロソフトは,セキュリティ情報をイラストで分かりやすく説明する「絵でみるセキュリティ情報」サイトを6月16日から開設した関連記事)。

 2003年1月以降に公表されたセキュリティ情報が対象である。また,最も影響が少ない,深刻度「注意」の情報は対象としていない。

 一般ユーザー向けの情報と,サーバー・アプリケーションに関する情報を対象とした「企業向け製品のセキュリティ情報」を区別しているのが分かりやすくてよい。「絵でみるセキュリティ情報」は,日本法人独自の取り組みである。このように,セキュリティ情報を分かりやすく提供しようするとする姿勢は評価すべきだろう。

Windows Server 2003は“買い”か?

 最後に,6月25日に販売開始された「Windows Server 2003」日本語版について触れたい。まず,前回の記事で紹介したように,「IE 6 for Windows Server 2003」にはセキュリティ・ホールが見つかっているので,導入ユーザーはパッチを念のため適用しておこう。

 Windows Server 2003は,Trustworthy Computing(信頼されるコンピューティング)の方針の下に,セキュリティ面の強化が図られたという。とはいえ出荷されたばかりなので,セキュリティに関する“実力”はまだ未知数である。筆者は過去の経験から,Windows の新バージョンについては,そのサービス・パックがリリースされるまでは,信頼性が要求される用途には使用しないほうが無難だと考えている。Windows Server 2003についても,少なくともSP1がリリースされるまで,インターネット・サーバーとしては使用しないほうがよいと思う。なお,Windows Server 2003 SP1がリリースされるのは,2004年以降になるだろう。



マイクロソフト セキュリティ情報一覧

『Windows 2000』
Windows Media サービスの ISAPI エクステンションの問題により,コードが実行される (822343) (MS03-022)
 (2003年 6月26日:日本語情報および日本語版パッチ公開,最大深刻度 : 重要)

『Windows Media Player 9』
Windows Media Player の問題により,メディア ライブラリがアクセスされる (819639) (MS03-021)
 (2003年 6月26日:日本語情報および日本語版パッチ公開,最大深刻度 : 警告)

マイクロソフト トラブル・メンテナンス速報

「Windows Messenger 4.6 の接続性の問題に関する修正プログラム」のセットアップに失敗する現象について (更新日:2003年 6月27日)


山下 眞一郎(Shinichiro Yamashita)
株式会社 富士通南九州システムエンジニアリング
第一ソリューション事業部ネットソリューション部 プロジェクト課長
yamaアットマークbears.ad.jp


 「今週のSecurity Check [Windows編]」は,IT Proセキュリティ・サイトが提供する週刊コラムです。Windows関連のセキュリティに精通し,「Winセキュリティ虎の穴」を運営する山下眞一郎氏に,Windowsセキュリティのニュースや動向を分かりやすく解説していただきます。(IT Pro編集部)