【緊急レポート】検出できないパッチがある，それが問題だ

MarkJosephEdwards

2004.09.24

（Mark Joseph Edwards）

　もし，あなたが「Microsoft Baseline Security Analyzer（MBSA）」や「Systems Management Server（SMS）」や「Software Update Services（SUS）」などのパッチ管理ツールを使っているなら，それらが最近のMicrosoftセキュリティ・パッチを検知しないことに注意したほうがいい。これはセキュリティ管理者の間に混乱を引き起こしている。

MS04-027とMS04-028の適用有無を，MBSAで検出できない
　該当するMicrosoftのセキュリティ情報は，「WordPerfect コンバータの脆弱性により、コードが実行される (884933) (MS04-027)」と「JPEG 処理 (GDI+) のバッファオーバーランにより、コードが実行される (833987) (MS04-028)」である。ご存知の通り，MBSAは対象システムが特定のパッチをインストール済みかどうか調べるものだ。SMSはそのパッチ・スキャン機能のいくつかをMBSAに頼っている。

　「MS04-027」は，Microsoftが適用すべき重要性の高いパッチと考えるもので，WordPerfectファイルのフォーマット変換にある問題に対応する。「MS04-028」は，Microsoftが極めて重大と考えるパッチで，JPEG GDI+にある問題に対応する。

　そのMicrosoftのセキュリティ情報を読んだ後で，あなたのシステム群が，GDI+を使うアプリケーションを搭載しているかどうかはっきり分からなければ，Microsoftから「GDI Detectionツール」をダウンロードするといい。このツールは，あなたのシステム群のどれが影響を受ける可能性があるかを判定する助けになる。このツールに関する詳細は，MicrosoftのWebサイトの記事「Microsoft GDI+ 検出ツールについて」を読むこと（該当サイト）。

メーリング・リストでMS社員が事情説明
　「Patchmanagement」というメーリング・リストへの投稿の中で（該当サイト），Microsoft社員のDoug Neal氏（MBSAを担当している人だ）は，MBSAが実際にあるパッチ（複数）がインストールされているかどうかの判定に，失敗するかもしれないことをはっきり説明している。Neal氏は影響を受けるシステムの設定が多様なために，MBSAが新しいパッチ群を正確に検知しないかもしれないといっている。

　そのメーリング・リストへのNeal氏のメッセージはこうだ。「MS04-028用には，45以上のオペレーティング・システムと，IEのバージョンと，Microsoft製品の組み合わせのどれがマシン上に存在しているかによって，26もの様々なパッチがある。このGDI+の弱点の存在と同様に重大なことだが，MBSAが想定できるすべてのケースを正しくカバーして，すべてのケースに対して正しいパッチの状況を提供できる方法が，単純ではないのである」。

　MBSAは，対象のパッチのインストール状況を判定できない場合，管理者に対してより詳細なレビューの必要性を知らせるメッセージを返す。この通知は参考データ（例えばMicrosoftの記事番号など）を含むことがある。Microsoftの記事「Microsoft Baseline Security Analyzer (MBSA) で一部の更新について注意が表示される」がより詳しい情報を提供してくれる（該当サイト）。しかし，Neal氏もいうように「MBSAはMS04-027をサポートしていないので，この告知に関して返すパッチ状況の通知はない（WordPerfectコンバータはサポート対象のMBSAコンポーネントではないのでNoteメッセージすら返さない）」。

混乱を招く，情報の錯綜
　私がこの論説を書いた時点（2004年9月21日）では，MS04-027のセキュリティ情報はNeal氏の報告を否定していた。そのFAQセクションは以下のQAを収録している。

Q:　このアップデートが必要かどうかを判定するためにMicrosoft Baseline Security Analyzer（MBSA）を使えますか？

A:　はい。MBSAはこのアップデートが必要かどうか判定します。MBSAに関するより詳細な情報を得るにはMBSAのWebサイトを参照してください。

　このセキュリティ情報とNeal氏が書いた内容の矛盾は，ちょっとした混乱を引き起こしている。さらにPatchmanagementメーリング・リストのメンバー数人は，どのシステムにパッチする必要があるかを判定しようと苦労して，自分たちの不満と懸念を表明していた。

　MS04-028パッチについて，MBSAはメッセージを返すが，Neal氏によるとメッセージを返すのはWindows Server 2003とWindows XPとWindows XP SP1とInternet Explorer 6.0 SP1を稼働しているシステムの場合だけだという。Neal氏は「ほかの全プラットフォームは，メッセージも警告もアップデートの状況の表示も全く受け取らない」といっている。だから，これらの警告情報には注意するべきだ。

　この2つのセキュリティ情報に関して，パッチの検出が100％うまくいくものではないことをはっきり示している。それらは，両方とも末尾近くに「Systems Management Server」というタイトルが付いたセクションがあって，それには次のように書いてある。「いくつかのソフトウエア・アップデートは，こうしたツールでは検出されないかもしれません。こうした場合に特定のシステム用のアップデートを探すために，管理者はSMSのインベントリ管理機能を使うことができます」。

　これらのセキュリティ情報は，続いてSMSのソフトウエア配布機能を使えることを指摘している。Microsoftの記事「Deploying Software Updates Using the SMS Software Distribution Feature」が，その機能に関する詳細を教えてくれる（該当サイト）。他に起こりうる状況に関するセキュリティ情報のSMSセクションには，他のリンクも示されている。その記事の詳細まで含めたすべてを読むように注意するほうがいい。

　明るい話としてNeal氏は次のように付け加えた。「Microsoftは顧客に対して全面的に整合性の取れた結果を与えるように，Windows Update Service（WUS）技術を強化することを決めている」。あなたもPatchmanagementにあるNeal氏の全メッセージを読みたいと思うかもしれない。それはあなたが新しいパッチを導入している間にぶつかると思われることを明確にかつ要約するのを助ける他の関連情報も含んでいる。