5月初め,このコラムでも危険性を指摘した“超特大”のセキュリティ・ホールを突く「Sasser」ワームが出現した(関連記事)。ほかにも同様のワームに狙われそうなセキュリティ・ホールが公開されている。危険なセキュリティ・ホールには,早急にパッチを適用する必要がある。とはいえ,事前の検証は不可欠。パッチの適用で問題が発生する場合があるからだ。
また,今回のSasserを受けて,マイクロソフトでは対策ページを用意した。分かりやすく評価できる内容ではあるが,ホーム・ユーザーでは躊躇するような対応手順が一部紹介されている。
そこで今回の記事では,パッチの適用で発生する問題を整理するとともに,マイクロソフトが公開したSasser対策ページについてまとめてみた。
“超特大”セキュリティ・ホールが複数公開
Sasserが悪用するセキュリティ・ホールは,2004年4月14日に公開されたセキュリティ情報「Microsoft Windows のセキュリティ修正プログラム (835732) (MS04-011)」に含まれる「LSASS(Local Security Authority Subsystem Service)の脆弱性」である。このセキュリティ・ホールは,以前の記事で“超特大”と位置付け,特に注意を呼びかけたものの一つである。
過去の記事を読んでいただいた方はご存じだろうが,このコラムでは,「特別なソフトウエアや機能を組み込んでいなくても影響を受ける」かつ「セキュリティ・ホールを悪用するのに,攻撃対象マシンのユーザーのアクションを必要としない(インターネットに接続するだけでも被害に遭う)」ような危険なセキュリティ・ホールを“超特大”と形容して,注意を呼びかけている。
超特大のセキュリティ・ホールを含むのは「MS04-011」だけではない。以前の記事に書いたように,同日公開された「Microsoft RPC/DCOM 用の累積的な修正プログラム (828741) (MS04-012)」にも超特大のセキュリティ・ホールが含まれる。こちらを悪用するようなワームが出現する可能性もある。まだ適用していない場合には,「MS04-011」と「MS04-012」のパッチを至急適用する必要がある。
とはいえ,今までもそうだったように,パッチを適用する際には注意が必要である。思わぬ“副作用”により,マシンが正常に動作しなくなる場合があるからだ。このコラムで何度も書いているように,企業で使用しているシステムなどでは,バックアップや検証を実施した後に適用する必要がある。実際,「MS04-011」のパッチには,適用によって発生する問題がいくつか報告されている。以下に,それらをまとめてみた。
パッチ適用でマシンが起動できなくなる
まず,米国時間4月29日,「MS04-011」のパッチを適用すると,Windows 2000マシンが応答しなくなる場合があることがアナウンスされた(関連記事)。その後,「EMF画像ファイルが表示されない」問題と「Windows NTマシンがハングアップする」問題が追加された(関連記事)。
「MS04-011」のパッチ適用で発生する問題は,「サポート技術情報 - 835732 [MS04-011] Microsoft Windows のセキュリティ修正プログラム」で公開されていて,適宜更新されている。原稿執筆時点(5月16日)では,上記の3点に加えて,以下の情報が加わっている。
◆841180 Oracle データベース サービスの起動処理で応答が停止する
◆841343 After MS04-011, environment variables %HOMEDRIVE% and %HOMEPATH% may show wrong values in the user interface of System Properties
これらの中で特に深刻なのが,「Windows NTマシンがハングアップする」問題である「サポート技術情報 - 841384 Windows NT 4.0 に MS04-011 のセキュリティ修正プログラムをインストールした後 "STOP 0x00000079" エラー が発生する」である。マルチプロセッサのWindows NT 4.0環境だけが対象ではあるが,パッチを適用するとマシンが起動できなくなるという深刻な問題である。
加えて,原稿執筆時点(5月16日),サポート技術情報には記載されていないが,次のような問題も筆者は聞いている。ミラー構成を組んだSCSIの外付けハード・ディスクにシステムを格納し,起動用フロッピからブートしているWindows NT 4.0マシンに「MS04-011」のパッチを適用したところ,カーネル読み込み時(黒い画面)でカーネル異常のメッセージが表示され起動不能となった。
当初は,パッチ適用に伴い「サポート技術情報 - 317050 エラー メッセージがコンピュータの起動時に発生する00000001 インチ=ステータス: I/O エラー ディスク」の事象に遭遇したことを疑ったのだが,システムを格納したパーティションは 7.8GBを超えておらず,そうではなかった。
この事例では,古いカーネルに戻して強引に起動した後,一旦パッチをアンインストールし,ミラーを解除した状態でパッチを再適用したら再起動に成功したという。そして,再起動後にミラー設定を元に戻しても,正常に稼働しているという。サポート技術情報にはない事例なので,同じような問題が発生した環境では参考にしてほしい。
各ハードウエア・ベンダーからも,「MS04-011」のパッチ適用で発生する問題や適用時の注意点が公開されているので参照してほしい。例えば富士通からは,「FT(Fault Tolerant)仮想化技術」を採用した特殊なサーバー「IAサーバPRIMERGY TX200FT」に「MS04-011」のパッチを適用する際の「留意事項」が公開されている。
業務システム,特にサーバーの場合には,パッチを適用する際にはあらかじめバックアップを取った上で,慎重に行う必要がある。これは,「MS04-011」のパッチに限った話ではない。
充実したSasser情報,ただし初心者には難しい記述もある
Sasserが出現してからまもなく,マイクロソフトは「Sasser ワームについてのお知らせ」を5月1日に公開した。素早い対応である。同社のメール・サービス「マイクロソフト プロダクト セキュリティ 警告サービス 日本語版」の登録者には,メールで警告が配信された。
さらに,「ホームユーザー向け - Sasser ウイルスに関する情報 Windows XP 編」「ホームユーザー向け - Sasser ウイルスに関する情報 Windows 2000 編」「よく寄せられる質問」「Sasser に関する情報:更新履歴」といった情報を公開し,Sasser関連情報を充実させていった。
これらの情報は,必要に応じて適宜更新された。「Sasser に関する情報:更新履歴」を見れば,12日間にわたって更新され,内容が充実していったことが分かる。
いずれの情報も丁寧に書かれているが,5月2日に公開された以下の情報は,とても分かりやすい内容となっていた。
◆「ホームユーザー向け - Sasser ウイルスに関する情報 Windows XP 編」
◆「ホームユーザー向け - Sasser ウイルスに関する情報 Windows 2000 編」
これらの情報では,コンピュータにそれほど詳しくないユーザーでも分かるように,画像を使って対応手順を紹介している。ホーム・ユーザー向けの情報は米Microsoftも以下のページで公開しているが,画像などは掲載しておらず,素っ気ない印象を受ける。
◆「Windows XP Users: What to Do If Your Computer Has Been Infected by Sasser」
◆「Windows 2000 Users: What to Do If Your Computer Has Been Infected by Sasser」
マイクロソフトでは,単に米本社の情報を日本語化するだけではなく,独自に手を加えて,より分かりやすい情報を提供しようとしている。仕事とはいえ,日本法人のセキュリティレスポンスチームの方々の配慮と苦労は,称賛に値すると思う。
ところが,実際に感染した初心者から,「マイクロソフトの『ホームユーザー向け - Sasser ウイルスに関する情報』のドキュメントを見て対処しようとしたが,途中で断念した」という話を聞いた。
前述のように,筆者自身はこのドキュメントをとても分かりやすいと感じていたので,とても意外であった。だが,この原稿を書くにあたって,改めて同ドキュメントを読むと,改善したほうがよいと感じた部分があった。それは,「ホームユーザー向け - Sasser ウイルスに関する情報」の「ステップ 4: Sasser ワームの起動を防止します」の部分である。ここでは,レジストリの操作を要求している。改めて,対処を断念した方に話を聞いたところ,やはり,このステップ4で断念したそうである。
「ホームユーザー向け - Sasser ウイルスに関する情報」の,例えばWindows XP編では,次のステップを踏むよう勧めている。
ステップ 1 | コンピュータをシャットダウンします |
ステップ 2 | ネットワークケーブルを抜きます |
ステップ 3 | セーフモードで起動します |
ステップ 4 | Sasser ワームの起動を防止します |
ステップ 5 | コンピュータを再起動します |
ステップ 6 | Windows XP付属のインターネット接続ファイアウォールを有効にします |
ステップ 7 | ネットワークケーブルを接続します |
ステップ 8 | セキュリティ更新プログラムをインストールします |
ステップ 9 | Sasser ワームの感染の確認,および駆除をします |
ステップ4では,ホーム・ユーザーなら使ったことがないと思われる「レジストリ エディタ」を使用する必要がある。しかも「レジストリの操作を誤った場合,パソコンに深刻な問題が発生する場合がある」と警告しているのである。もちろん,レジストリの操作が危険なのは,この警告の通りであるが,このように警告されている操作を,使ったことがないレジストリ エディタを使って,ホーム・ユーザーに実施させようとするのは難しいだろう。
さらに,5月13日に更新情報として「\ " (バックスラッシュ) は "¥"(円マーク)である場合があることを注意書きとして追加しました」と書かれているように,ドキュメントの内容とは異なる内容が自分のパソコンに表示される場合がある。このため,操作中に戸惑って,対処を中止したユーザーも少ないはずだ。
一方,米Microsoftのドキュメントでは,レジストリの操作は要求していない。例えばWindows XP編では,次のステップを踏むよう勧めている。
Step 1 | Disconnect from the Internet(インターネットからの切り離し) |
Step 2 | Stop the Shutdown Cycle(シャットダウンの繰り返しの停止) |
Step 3 | Mitigate the Vulnerability(脆弱性の緩和) |
Step 4 | Improve System Performance(システム性能の改善) |
Step 5 | Enable a Firewall(ファイアウオールの有効化) |
Step 6 | Reconnect to the Internet(インターネットへの再接続) |
Step 7 | Install the Required Update(必要なアップデートのインストール) |
Step 8 | Check For and Remove Sasser(Sasserをチェックし駆除) |
Step 2では,LSASS.EXE のストップに伴うシャット・ダウンの繰り返しを,コマンドを使って回避するよう勧めている。そして,Step 3で「LSASS の脆弱性」の回避策を施し,Step 4ではタスクマネージャーを使用して,Sasser ワームのプロセスを停止するよう勧めている。操作ミスにより深刻な問題が発生する可能性があるレジストリ エディタを使用する必要はない。“遠回り”にはなるが,こちらの方がホーム・ユーザーにとっては,敷居が低いだろう。
ホーム・ユーザー向けのドキュメントの場合には,分かりやすい内容にすることも重要だが,不安なく対処できる手順にすることも重要だろう。危険が伴うレジストリ エディタを使わないで済む対処法を紹介するようお願いしたい。せっかく画像などを用いて分かりやすい内容にしているのに,ユーザーが不安を感じて対処しないようでは無意味になってしまう。
最後に,上記以外のWindows関連セキュリティ・トピックス(2004年5月16日時点分)については,スペースの都合上,詳細は割愛する。各プロダクトごとにまとめたリンクを記事末に記したので,参考にしてほしい。
IT Proでも関連記事をいくつか掲載している。それぞれの詳細については,リンク先の情報やIT Proの過去記事を確認していただきたい。 また,以下のIT Proの過去記事は重要なので,まだ読んでない方はチェックすることをお勧めする。
◎IT Pro過去記事
■シマンテックの「Norton Internet Security」などに危険なセキュリティ・ホール
■Operaブラウザにアドレス・バーを偽装できるセキュリティ・ホール
■Outlook ExpressやEudoraなどにステータス・バーを偽装できるセキュリティ・ホール
■4月に公開されたWindowsの危険なセキュリティ・ホール
マイクロソフト セキュリティ情報一覧
『Windows全般』
◆「ヘルプとサポート センター」の脆弱性により,リモートでコードが実行される (840374) (MS04-015)
(2004年 5月12日:「謝辞」を更新)
(2004年 5月12日:「警告」を更新。「サポート技術情報 842253」の問題がWindows XP SP1日本語版でも発生する場合があることを掲載)
(2004年 5月12日:「警告」を更新。「サポート技術情報 842253」に関する情報を追記)
(2004年 5月12日:日本語情報および日本語版パッチ公開,最大深刻度 : 重要)
◆HTML コンバータのバッファ オーバーランにより,コードが実行される (823559) (MS03-023)
(2004年 5月15日: Windows NT Server 4.0 用パッチをWindows NT Workstaion 4.0 にも適用可能であることを明記)
(2004年 5月13日: Windows 2000 用パッチをWindows 2000 SP2にも適用可能であることを明記)
(2004年 4月21日:Windows NT Workstation 4.0 SP6a/2000 SP2 用パッチをアナウンス。「よく寄せられる質問」にも記述。最大深刻度 : 緊急)
◆NetBIOS の問題により,情報が漏えいする (824105) (MS03-034)
(2004年 5月13日: Windows NT Workstation 4.0 SP6a/2000 SP2 用パッチをアナウンス,最大深刻度 : 注意)
◆Microsoft Jet データベース エンジンの脆弱性によりコードが実行される (837001) (MS04-014)
(2004年 5月12日:Windows XP 用パッチの更新バージョンがリリースされていることをアナウンス,最大深刻度 : 重要)
◆Microsoft Windows のセキュリティ修正プログラム (835732) (MS04-011)
(2004年 5月 5日:「LSASS の脆弱性」の回避策に情報を追加)
(2004年 4月30日:「警告」 欄を更新。「サポート技術情報 835732」を更新し,最近確認された問題とその解決方法をアナウンス)
(2004年 4月22日:「ユーティリティ マネージャの脆弱性」の回避策修正と「よく寄せられる質問」のMBSAに関する情報変更をアナウンス)
(2004年 4月21日:「深刻度および脆弱性識別番号」の表の下におわびを追加。更新履歴を修正,最大深刻度 : 緊急)
『Windows NT Server 4.0』
◆Windows の機能の問題により,サービス拒否が起こる (823803) (MS03-029)
(2004年 5月13日: Windows NT Workstation 4.0 SP6a 用パッチをアナウンス,最大深刻度 : 警告)
『Windows 2000』
◆ユーティリティ マネージャによる Windows メッセージ処理の問題により,権限が昇格する (822679) (MS03-025)
(2004年 5月13日: Windows 2000 SP2 用パッチをアナウンス,最大深刻度 : 重要)
『Windows NT Server 4.0, Terminal Server Edition/2000 Server/2000 Advanced Server/2000 Datacenter Server』
◆無効な RDP データが Terminal Service を異常終了させる (MS01-052)
(2004年 5月12日:Windows NT Server 4.0, Terminal Server Edition 用パッチの更新バージョンのリリースをアナウンス,最大危険度 : 中)
『IE 5.01/5.5/ 6/6 for Windows Server 2003』
◆Internet Explorer 用の累積的な修正プログラム (828750) (MS03-040)
(2004年 4月21日:「警告」 に 「オブジェクト タグの脆弱性」 の情報を追記,最大深刻度 : 緊急))
『Windows NT Server 4.0/NT Server 4.0, Terminal Server Edition/2000/XP Professional』
◆Windows のバッファ オーバーランによりデータが破損する (817606) (MS03-024)
(2004年 4月21日:Windows NT Workstation 4.0 SP6a/2000 SP2 用パッチをアナウンス。「よく寄せられる質問」にも記述,最大深刻度 : 重要)
『Data Access Components 2.5/2.6/2.7/2.8』
◆MDAC 機能のバッファ オーバーランにより,コードが実行される (832483) (MS04-003)
(2004年 4月19日: 「警告」 を更新。一時ファイルを暗号化している利用者へのアドバイスを追加,最大深刻度 : 重要)
Microsoft Security ホーム
◆セキュリティ情報 MS04-011 に関連する悪用コードの情報 (マイクロソフト:2004/04/29更新)
◆PCT/SSL の悪用を試みるコードに関する情報 (マイクロソフト:2004/04/23)マイクロソフト セキュリティ情報センター
◆2004 年 4 月 セキュリティ 警告サービス 月刊サマリー (マイクロソフト:2004/05/09)
◆Sasser ワームおよび亜種についての警報 (マイクロソフト:2004/05/06)
◆Sasser ワームについてのお知らせ
(マイクロソフト:2004/04/15更新)
マイクロソフト トラブル・メンテナンス速報
◆Internet Explorer と Windows の脆弱性をねらう手口が公開されています
(マイクロソフト:2004/04/26更新)
*「PCT/SSL の悪用を試みるコードに関する情報」を追記して再アナウンス
◆Windows NT 4.0 + Internet Explorer 5 の環境で Windows Update サイトが表示できない
(マイクロソフト:2004/04/22更新)
*「2004/4/12 より特定の条件において Windows Update サイトへ接続できない現象が発生しておりましたが,問題が解消いたしました」とアナウンス
山下 眞一郎 Shinichiro Yamashita
株式会社 富士通南九州システムエンジニアリング
第一ソリューション事業部ネットソリューション部 プロジェクト課長
「今週のSecurity Check [Windows編]」は,IT Proセキュリティ・サイトが提供する週刊コラムです。Windows関連のセキュリティに精通し,「Winセキュリティ虎の穴」を運営する山下眞一郎氏に,Windowsセキュリティのニュースや動向を分かりやすく解説していただきます。(IT Pro編集部)