●600個以上の新規修正を含む「Windows 2000 Service Pack 4」がリリースされた。Windows 2000のサービス・パックは11カ月ぶりとなる。
●「必須のアップグレード」という位置付けではないが,SP4を適用することでしか修正できない重大なセキュリティ・ホールが見付かっている。
●SP4での機能追加はないが,セキュリティ向上のためすべてのWindows 2000ユーザーが適用を前提に対策すべきである。
 |
| 表1●Windows 2000 SP4の修正一覧に掲載されている障害の例 全体に修正項目は減っている。特に,SP3で「ベース・オペレーティング・システム」に次いで多かった「セキュリティ」が著しく少ない。個々の障害に関する記事は,表左列の文書番号を使って,"http://support.microsoft.com/ default.aspx?kbid = <文書番号>”で参照できる。 |
SP4のインストール・プログラムは,同社のWebサイト(http://www.microsoft.com/japan/windows2000/downloads/servicepacks/sp4/)から無償でダウンロードできる。従来と同様に,AT互換機用とNECのPC-9800シリーズ用が用意された。
インストール・プログラムには「高速インストール」(16M~28Mバイト)と,「ネットワーク・インストール」(127Mバイト)の2種類ある。
高速インストールは必要なファイルを適用直前にダウンロードするため,インターネットに接続しておく必要がある。高速インストール・パッケージによるアップデートは「Windows Update」の「重要な更新とService Pack」の項目からSP4を選択することでも実行できる。
一方,ネットワーク・インストールは,アップデートに必要なデータがすべて含まれているので,ネットワークにつながっていないコンピュータでも適用できる。ファイル・サーバーなどに置いて複数のユーザーが適用することもできる。
インストール・プログラムはWebサイトで公開するほか,技術情報サービスである「TechNet」と「MSDN(Microsoft Developer Network)」の会員に対して,8月にCD-ROMとして配布される。有償(1050円)でSP4のCD-ROMを提供するサービスも行うが,雑誌付録での配布はない。
現在,パッケージや,Open License*のディスク・キットに含まれるWindows 2000では,SP3を適用したバージョンが販売されているが,8月から順次SP4を適用したものに入れ替わっていく。
「必須」に相当する修正を含む
修正項目数は600個以上
SP4の修正項目として公開されている問題点は記事執筆時点で667個ある(表1[拡大表示])。SP4にはこれら新しい修正のほか,これまでにリリースされた3本のサービス・パックと,2002年1月にリリースされた「SRP(Security Rollup Package)」の更新・追加機能が含まれている。
SP3ではデフォルトのブラウザや電子メール・ソフトを変更する機能の追加があったが,SP4にこの種のソフトウエア的な機能追加はない。例外は新しいハードウエア環境への対応である。無線LAN環境で用いられる認証プロトコル「IEEE 802.1x」と高速シリアル・バス仕様「USB(Universal Serial Bus)2.0」(AT互換機のみ)への正式なサポートを行っている。
 |
| 図1●ラックのセキュリティ・アドバイザリ プログラムを起動するAPI(Application Programming Interface)にバッファ・オーバーフローが発生する重大な問題があることを指摘している。この問題点に関する修正はWindows 2000 SP4にしか含まれていない。この情報はhttp://www.lac.co.jp/security /intelligence/SNSAdvisory/65.htmlに公開されている。 |
マイクロソフトはSP4を「必須のアップグレードではない」としているが,既にSP4でしか修正できないセキュリティ・ホールが発見されている。Windowsのアプリケーション起動API(Application Programming Interface)である「ShellExecute( )」にバッファ・オーバーフロー*を起こすバグがあるという深刻なものだ。セキュリティ・ベンダーのラックがセキュリティ・アドバイザリとして公開している(図1[拡大表示])。このセキュリティ・ホールの深刻さを考慮すれば,適用を前提にした対策を採るべきだ。
しかし,初期出荷状態のWindows 2000にSP4を適用するだけでは最新の状態にはならない。まず,SP4の修正内容が決まった後で公開された修正がある。例えば,「Windows MediaサービスのISAPIエクステンションの問題により,コードが実行される(822343)(MS03-022)」や「HTMLコンバータのバッファ・オーバーランにより,コードが実行される(823559)(MS03-023)」がある。特にMS03-023はほとんどのWindowsユーザーが影響を受ける極めて重大なセキュリティ・ホールであるため,速やかに対策をとる必要がある。
これらSP4の適用後システムを最新の状態にするために必要な修正プログラムは「Windows 2000 SP4セキュリティ修正プログラム一覧」として公開されている(http://www.microsoft.com/japan/technet/security/fix/win2ksp4.asp)。
Internet ExplorerとOutlook Expressについては,Windows 2000に標準搭載されているInternet Explorer 5.01とOutlook Express 5.5を対象とした更新しか含まれていない。このためIE 5.5/6を利用している場合は,個別に修正プログラムを適用する必要がある。
明確な「Java外し」への布石
Microsoft製Java仮想マシン*(MSJVM)の扱いにも注意を要する。MSJVMは2004年1月でサポート対象外となる予定で,宙に浮いた存在になっている。今のところMSJVMの修正プログラムは提供されており,Windows Updateからも更新できるが,SP4はMSJVM環境をインストール/更新/削除を含め一切変更しない。
その一方で,SP4を適用すると,システム・ファイルを不用意な変更から保護する「Windowsファイル保護*(WFP:Windows File Protection)」機能がMSJVM関連ファイルについては無効になる。詳しくは,サポート技術情報「820101 - Microsoft VMおよびWindows 2000 Service Pack 4に関するよく寄せられる質問」が参考になる。
MSに情報を送るアプリを周知へ
 |
| 図2●Windows 2000 SP4の「追加使用許諾契約書」(抜粋,一部編集) インターネット経由で自動的にMicrosoftに情報を送るプログラムに関する条項が加わっている。自動的に外部にアクセスする機能がどれかを明確にするとともに,それを利用しない選択肢もあることをユーザーに知らせている。原文から抜粋し,改行の追加など編集を加えている。 |
バグ修正が主体のSP4にあって,大きく変わった点が1つある。ライセンスの文面である。Windowsの標準機能として搭載されているソフトウエアの中には,自動的にインターネット経由でMicrosoftなど外部のサーバーに接続して情報を送受信するものがある。SP4のインストール・プログラムを起動すると表示される「追加使用許諾契約書」では,そのような機能を持ったソフトウエアを挙げて,サービスの目的を説明,ユーザーがその機能を望まないときにはその機能を無効にできることを明文化した(図2[拡大表示])。
具体的にはWindows Updateのほか,一部のアプリケーションで言語環境を自動設定する機能,電子認証機能,Windows Media Playerやその著作権管理機構が対象である。
ファイルが壊れる不具合も
記事執筆時点でSP4のリリースからは2週間程度が経過したが,SP4を適用することによるトラブルが既にいくつか見付かっている。深刻なものは多くないが,サポート技術情報の「813432 - Windows 2000 Service Pack 4リリースノート」が随時更新されている。適用前にはチェックしたい。
SP4を適用することで問題を引き起こすアプリケーション例は,オートデスクの3次元グラフィックス・ソフト「Autodesk VIZ4」である。これをSP4環境で利用すると,ファイル保存時にファイルを破損してしまうという(http://tech.autodesk.jp/faq/user/result_dd.asp?QA_ID=2526)。破損したファイル自体は修復可能だが,利用を続けるにはSP3環境に戻す必要がある。
リリースから日が浅いため,より深刻なトラブルが今後見付かる可能性も十分にある。SP4は必須の更新に相当する修正を含むが,重要なシステムへの適用前にはこれらを参考に十分なテストを実施する必要がある。
