マイクロソフトは7月3日,「Windows 2000 Service Pack 4(SP4)日本語版」と各種日本語ドキュメントを公開した。SP4の概要については,米国時間6月26日に公開された英語ドキュメントなどを基に,前回の記事で紹介した。しかし,英語ドキュメントにはいくつか不備があった。そこで今回の記事では,日本語ドキュメントを参考に,Windows 2000 SP4を適用する際の注意点を改めてまとめた。特に注意すべきは,英語ドキュメントでは言及されていない「MS03-008」のパッチと,日本語ドキュメントにも記載されていないMDAC関連のパッチについてである。

1週間遅れで日本語版が公開

 前回の記事に書いたように,Windows 2000 SP4日本語版は,英語版から1週間遅れてリリースされた(関連記事)。日本語版と同時に,各種ドキュメントの日本語版も公開された。例えば,SP4日本語版の入手情報や各種ドキュメントへのリンクを記載した「Windows 2000 Service Pack 4 日本語版」,FAQをまとめた「Windows 2000 Service Pack 4 よく寄せられる質問 (FAQ) 」「Microsoft VM および Windows 2000 Service Pack 4 に関するよく寄せられる質問」,SP4の適用で発生する問題をまとめた「813432 - Windows 2000 Service Pack 4 リリースノート」――などである。特に「Windows 2000 Service Pack 4 リリースノート」は随時更新されるので,継続してチェックするようにしたい。

 さて,これらの日本語ドキュメントは,既に公開されている英語ドキュメントをベースにしているものの,単なる和訳ではない。これから解説するように,英語ドキュメントの不備な点を補っているとともに,独自の情報(例えば,「Windows 2000 SP 4セキュリティ修正プログラム一覧」)も追加している。既に英語ドキュメントをチェックしているユーザーも,日本語ドキュメントをチェックする必要がある。

SP4に含まれないパッチが明記

 前回の記事において,「英語ドキュメント『Windows 2000 SP4 Now Available』には,Windows 2000 SP4に含まれないセキュリティ・パッチが明記されていないこと」「筆者の調査によるとSP4に含まれないセキュリティ・パッチは6種類存在すること」――を指摘した。

 ところが,今回公開された日本語ドキュメント「Windows 2000 Service Pack 4 日本語版」には,「別途適用が必要な修正プログラム」という項が設けられ,SP4に含まれないパッチが明記されている。

 加えて,Windows 2000 SP4 は(1)Microsoft VM に関するコンポーネントを含んでいないこと,(2)Windows 2000 SP4 開発後に公開された「MS03-022」以降のパッチを含んでいないこと,(3)Internet Explorer(IE)用のパッチについては,IE 5.01 用のパッチのみを含んでいること――が付記されている。これらは,前回筆者がお知らせした内容に他ならない。

 さて,マイクロソフトが記述した「別途適用が必要な修正プログラム」と,筆者が前回の記事で記述した「『Windows 2000 SP4 適用後に必要なセキュリティ・パッチおよび対応一覧』2003年6月28日版」は同一だろうか。

 比較してみると,異なる点が2点存在した。「MS03-019」「MS03-008」である。いずれも,筆者のリストには存在しないが,マイクロソフトのドキュメントには記述されている。

 まず「MS03-019」について筆者が書かなかったのは理由がある。「MS03-019」は「Windows Media サービス 4.1」を組み込んでいる場合のみ,適用する必要があるパッチだからだ(関連記事)。デフォルトでは,Windows Media サービスは組み込まれていない。さらに,Windows 2000 Professional では Windows Media サービスを組み込むことができないので,影響を受ける恐れは全くない。

 筆者が書いた「『Windows 2000 SP4 適用後に必要なセキュリティ・パッチおよび対応一覧』2003年6月28日版」は,Windows Media サービスに限らず,ユーザーがインストールするアプリケーション・ソフトに関するパッチは対象外としていた。このため,「MS03-019」は含めなかった。それに対して,マイクロソフトでは記述する必要があると考えたようだ。これは,「別途適用が必要な修正プログラム」としてどこまで含めるかという考え方の違いに過ぎないので,大きな問題ではない。

 しかし,「MS03-008」については注目する必要がある。筆者は,英語ドキュメント「Windows 2000 SP4 Now Available」を基に,「MS03-008」をリストに加えなかった。同ドキュメントでは,SP4に含まれているパッチとして「MS03-008」がリストアップされていたからだ。

 ところが,この英語ドキュメントには不備があることが,マイクロソフトが公開したドキュメントで明らかになった。SP4には「MS03-008」のパッチの一部しか含まれていないのだ。このため,ユーザーの環境によっては「MS03-008」のパッチを別途適用する必要がある。

 「MS03-008」は,Windows のスクリプト実行環境「Windows Script Host(WSH)」のセキュリティ・ホールに関する情報である。このセキュリティ・ホールの影響を受けるのは,WSH 5.1,WSH 5.5 および WSH 5.6である。「MS03-008」のセキュリティ情報を見れば分かるが,用意されているパッチは1種類ではない。WSH 5.1用とWSH 5.5/5.6用の2種類のパッチが用意されている。インストールされているWSHのバージョンによって,適用するパッチが異なるのである。

 英語ドキュメントには特に説明はないが,日本語ドキュメントには「Windows 2000 SP4 に含まれるのは,『MS03-008』のWSH 5.1 用の修正パッチのみである」と明記されている。すなわち,WSH 5.5/5.6用のパッチは別途適用する必要があるのだ。WSH 5.5/5.6用のパッチは「Windows Script Host 5.5 と Windows Script Host 5.6用パッチ」(Windows 2000 および Windows XP 用の JScript 5.6 セキュリティ修正プログラム - Q814078)として用意されている。

 現在インストールしているWSHのバージョンを調べるには,例えば「C:\WINNT\system32」以下にある「jscript.dll」のプロパティで調べられるが,IE 5.5 以降のIEをインストールしている環境では,WSH 5.5あるいは5.6がインストールされていると考えてよい。Windows 2000にデフォルトで含まれる IE 5.01をそのまま使用している場合に限り,WSH 5.1だけがインストールされている。

 まとめると,パッチや設定変更を実施していないシステム(例えば,Windows 2000を再インストールしたシステム)において,SP4を適用した後に,IE 6 SP1やIE 5.5 SP2をインストールした場合には,「MS03-008」を別途適用する必要があるのだ(ただし,IE 5.5 SP2は既にダウンロードできなくなっているので,IE 6 SP1をインストールした場合だけが対象となるだろう)。

 念のため,今回の記事執筆時に,英語情報の「Windows 2000 SP4 Now Available」「Hotfix and Security Bulletin Search」を改めてチェックしたが,「Windows 2000 SP4 に含まれるのは,『MS03-008』のWSH 5.1 用の修正パッチのみである」という情報は追加されていなかった。この情報は,マイクロソフト独自のものである。日本語ページを作成するチームは,英語のオリジナル情報にない情報でも,必要に応じて追加している。これは,過去の記事で何回か書いているように,ユーザーにとってはありがたい対応だ。筆者自身もWindowsユーザーの1人として大いに評価したい。ただし裏を返せば,英語情報に不備があるということだ。なぜマイクロソフトに可能なことが,米Microsoftではできないのか。疑問は残る。

MDAC関連の情報が不足

 充実している日本語情報であるが,それでも不足と思われる点がある。このコラムでも何度も取り上げている「Microsoft Data Access Components (MDAC) 」機能に関してである。これについては,筆者自身も前回の記事できちんと言及していなかったので,今回改めてまとめたい。

 Windows 2000 SP4は,MDACのセキュリティ・ホール「Microsoft Data Access Components のバッファ オーバーランにより,コードが実行される (Q329414) (MS02-065) 」のパッチを含んでいる。しかし,過去の記事「パッチを無効にされる恐れあり,Windowsの深刻なセキュリティ・ホールを解説する」で指摘したように,「MS02-065」への万全の対策方法は,パッチを適用することではなく,MDAC 2.7以降にバージョンアップすることだ。Windows 2000 SP4を適用しただけでは,「MS02-065」の対策として不十分なのである。

 Windows 2000 SP4の話題からはそれてしまうが,せっかくなので,MDACの現状やバージョンアップの注意点について,以下簡単にまとめる。

 まず,現時点で最新のMDACは,「Microsoft Data Access Components 2.7 SP1 Refresh(MDAC 2.7 SP1 Refresh)」である。これは,Microsoft SQL Server 2000 SP 3a にも含まれている。

 MDAC 2.7 SP1 Refresh をインストールする際の注意点は,MDAC 2.7 SP1 Refreshのページの「ダウンロードの説明」と「Microsoft Data Access Components のバッファ オーバーランにより,コードが実行される (Q329414) (MS02-065) 」の「MDAC 2.7のインストールに伴う注意点」を参照してほしい。

 また,「使用中のアプリケーションが検出された場合には,そのアプリケーションを終了させた後で,MDACのインストールを行う必要がある」という制限事項があるので注意してほしい。これに関する詳細は,過去の記事「『Windowsの深刻なホール』対策で発生するトラブルを解決する」を参照してほしい。

 加えて,「MS02-065」のセキュリティ情報に記述されている「MDAC 2.7のインストールに伴う注意点」は一部現状とは異なるので注意する必要がある。同情報では,MDAC 2.7すると以前適用したパッチが一部無効になってしまうので,それらのパッチを再適用する必要があるとしている(この問題に関する詳細は,過去の記事 で解説している)。

 しかし,最新の「MDAC 2.7 SP1 Refresh」では,この問題を解消している。このため MDAC 2.7 SP1 Refresh 適用後に,過去のパッチを再適用する必要はない(詳細は MDAC 2.7 SP1 Refreshのページを参照のこと)。

SP4 適用後に必要なパッチと対応

 それでは,以上説明した「MS03-008」と「MS02-065(MDAC)」の情報を反映させた「SP4適用後に必要なパッチおよび対応」を以下にまとめる。前回の記事でも書いたように,SP4を適用したユーザーすべてが以下の作業を実施する必要はない。パッチ適用や設定変更をきちんと実施しているWindows 2000システムでは,改めて実施する必要はない。パッチや設定変更を実施していないシステム(例えば,Windows 2000を再インストールしたシステム)において,SP4を適用した後に必要な作業だと考えてほしい。

 前回の記事でも同様のリストを作成したが,今後は今回のリストを参考にしてほしい。もちろん,今後このリストを修正あるいは追加する可能性はある。その際には,最新のリストを参考にしていただきたい。

■「Windows 2000 SP4 適用後に必要なセキュリティ・パッチおよび対応一覧」2003年7月5日補訂版(powered by 「今週のSecurity Check」)

WebDAV Service Provider によりスクリプトがユーザーとしてリクエストを行う (MS01-022)
 *Windows 2000 SP4が対象としないパッチ

XMLHTTP コントロールにより,ローカル ファイルにアクセスすることができる (MS02-008)
 *Windows 2000 SP4が対象としないパッチ

Windows 2000 の既定のアクセス権により,トロイの木馬プログラムが実行される (327522) (MS02-064)
 *パッチが存在しない。設定変更などで対応

Microsoft Data Access Components のバッファ オーバーランにより,コードが実行される (Q329414) (MS02-065)
 *対策として不十分なパッチ。MDAC バージョン 2.7以降(Microsoft Data Access Components 2.7 SP1 Refresh)にバージョンアップして対応

Windows スクリプト エンジンの問題により,コードが実行される (814078) (MS03-008)
 * Windows 2000 SP4が対象としないパッチ(パッチの一部は対象)。Windows Script Host (WSH) 5.5 または WSH 5.6 を使用する場合(IE 5.5 以降を導入した場合など)に適用

Microsoft VM の問題により,システムが侵害される (816093) (MS03-011)
 *Windows 2000 SP4が対象としないパッチ

Windows Media サービスの ISAPI エクステンションの問題により,コードが実行される (817772) (MS03-019)
 *Windows 2000 SP4が対象としないパッチ。Windows Media サービス 4.1 を組み込んでいる場合に適用

Windows Media サービスの ISAPI エクステンションの問題により,コードが実行される (822343) (MS03-022)
 *Windows 2000 SP4の内容が確定後に公開されたパッチ

「製品別修正プログラム一覧 Internet Explorer 5.5 SP 2」「製品別修正プログラム一覧 Internet Explorer 6 SP 1」
 *Windows 2000 SP4が対象としないパッチ。IE 5.5/6をインストールした場合に必要

Windows 2000 SP4は必須か?

 さて,米Microsoftは「Windows 2000 SP4 is a recommended update」としているが,SP4は適用すべきサービス・パックなのだろうか。公開されて間もないために,適用後に発生する問題点などが洗い出されていない現状では,断言はできないものの,必須であると考えたほうがよいだろう。というのも,現状ではSP4の適用でしか解消できない新たなセキュリティ・ホールが見つかっているからだ(関連記事)。

 同セキュリティ・ホールを発見したのは,セキュリティ・ベンダーのラックである。同社は「Windows 2000 SP4 日本語版」がリリースされた7月3日に「SNS Advisory No.65 Windows 2000 ShellExecute() API Let Applications to Cause Buffer Overflow」としてセキュリティ・ホール情報を公開した。

  同情報によれば,Windows 2000 の ShellExecute() API には,バッファ・オーバーフローのセキュリティ・ホールが存在する。このため,Web ブラウザやメール・ソフト(MUA:Mail User Agent),テキスト・エディタといった,さまざまなアプリケーションが影響を受けるという。

 現時点(2003年7月7日)では,マイクロソフトはこのセキュリティ・ホールに関する情報や個別パッチを公開していない。今後公開されるかどうかも分からない。今までの傾向から言えば,個別パッチを公開しないか,公開する場合でも遅くなるかのどちらかだろう。どちらにしても,このセキュリティ・ホールに対する確実な対処法は,現状では Windows 2000 SP4を適用することだけだ。

新たなセキュリティ・ホールはなし

 それでは,上記以外のWindows関連セキュリティ・トピックス(2003年7月5日時点分)を,ざっと解説して今回の記事を終わる。

 「マイクロソフト セキュリティ情報一覧」では,新しいセキュリティ情報は公開されていない。追加情報が1件公開された。

Microsoft VM の問題により,システムが侵害される (816093) (MS03-011)

 「修正プログラム」の欄に Windows 2000 SP4 に関する情報が追加された。同セキュリティ情報からリンクが張られているSP2/SP3用の修正パッチは,SP4には適用できないという内容が追記された。前回の記事でも報告済みの情報である。前回の記事にも書いたように,SP4用のパッチは「Microsoft VM および Windows 2000 Service Pack 4 に関するよく寄せられる質問」を参考に,「Windows Update カタログ」から入手する必要がある。

 「トラブル・メンテナンス速報」では,7月3日付けで「Internet Explorer 5.5 Service Pack 2 for Windows Me ダウンロードについてのお知らせ」がアナウンスされた。同社が設定する「オペーレティングシステムのライフサイクル」に準拠して,Windows Me 用のIE 5.5 SP2については引き続きダウンロードできることを伝えている。「Windows デスクトップ製品のライフサイクル」にあるように,Windows Me のメインストリームフェーズが終了する2003年12月31日までは提供される。

 「TechNet Online セキュリティ」では,その月のセキュリティ情報をまとめた“月例”情報「マイクロソフト プロダクト セキュリティ警告サービス 2003 年 6 月」が公開された。特に目新しい情報はないので,時間があるときにでも目を通しておけば十分だろう。



マイクロソフト セキュリティ情報一覧

『Microsoft VM』 ◆Microsoft VM の問題により,システムが侵害される (816093) (MS03-011)
 (2003年 7月 4日: 「修正プログラム」の欄に Windows 2000 SP4 に関する情報を追加)
 (2003年 4月10日:日本語情報および日本語版パッチ公開,最大深刻度 : 緊急))

マイクロソフト トラブル・メンテナンス速報

Internet Explorer 5.5 Service Pack 2 for Windows Me ダウンロードについてのお知らせ (更新日:2003年 7月 3日)

TechNet Online セキュリティ

マイクロソフト プロダクト セキュリティ警告サービス 2003 年 6 月


山下 眞一郎(Shinichiro Yamashita)
株式会社 富士通南九州システムエンジニアリング
第一ソリューション事業部ネットソリューション部 プロジェクト課長
yamaアットマークbears.ad.jp


 「今週のSecurity Check [Windows編]」は,IT Proセキュリティ・サイトが提供する週刊コラムです。Windows関連のセキュリティに精通し,「Winセキュリティ虎の穴」を運営する山下眞一郎氏に,Windowsセキュリティのニュースや動向を分かりやすく解説していただきます。(IT Pro編集部)