2月のMS月例パッチを総括――ゼロデイ攻撃の脆弱性に対応

2007年2月のMicrosoftの月例セキュリティアップデートでは、それぞれ6件の「緊急」および「重要」レベルの修正プログラムがリリースされたほか、米国サマータイムの変更に伴う重要な更新プログラムが公開された。

» 2007年03月07日 10時30分 公開
[Michael Cherry,Directions on Microsoft]
Directions on Microsoft 日本語版

 2007年2月のMicrosoftの月例セキュリティアップデートでは、「緊急」レベルと「重要」レベルが各6件で合計12件の修正プログラムがリリースされた。これにより、Windows、Internet Explorer(IE)、およびMicrosoftの悪意のあるソフトウェア検出ツールに存在する脆弱性が修正されるが、今回のリリースではOfficeの新しい「ゼロデイ」攻撃の問題には対処していない。また、米国およびカナダのサマータイム(DST:Daylight Saving Time)の変更に伴う重要な非セキュリティ更新プログラムもリリースされている。この影響を受けるのは、Windows、Office、SharePoint、Exchange、Dynamics CRMなどで、この更新プログラムを適用しない場合は、時間の計算にズレが生じ、予定を逃すなどの事態に陥りかねない。

「緊急」レベルは6件、既存のゼロデイ攻撃の脆弱性に対応

 今月リリースされた6件の「緊急」レベルの更新プログラムのうち、最も注目されるのは、Word(MS07-014)とOffice(MS-015)の更新プログラムである。この2件は、ここ数カ月実際に攻撃が発生している「ゼロデイ」攻撃に関連する脆弱性のいくつかを含め、さまざまな脆弱性を修正する。ただし、これらの更新プログラムのリリース直後に、MicrosoftはOffice 2000およびXPをターゲットとする「ゼロデイ」攻撃についてのセキュリティアドバイザリを公開している。この攻撃では、細工されたOfficeファイルを電子メールの添付ファイルなど何らかの方法でユーザーに渡し、このファイルをユーザーが開くとリモートでコードが実行される可能性がある。

 別の緊急レベルの更新プログラム(MS07-010)は、Malware Protection Engineの脆弱性に対応している。この脆弱性を突いた攻撃では、細工を施した特殊なPDFファイルを攻撃対象のコンピュータシステムに渡し、Malware Protection EngineがこのPDFをスキャンした時点で、リモートでのコード実行を許してしまう可能性がある。Malware Protection Engineは、Windows Defender(Windows Vistaに搭載される無償のクライアントソフトウェア)、Windows Live OneCare(サブスクリプションサービスの利用者のみに提供されるクライアントソフトウェア)、ForefrontおよびAntigen(ライセンス提供されるサーバーソフトウェア)など、アンチウイルスおよびアンチスパイウェアソフトウェアの機能をスキャン、検出、および修正するものだ。この製品は、Microsoftの包括的なセキュリティレビューが実施されており、脆弱性についてのテストが行われていなければならない重要なセキュリティコンポーネントであることを考えると、リモートコード実行の脆弱性の存在は極めて憂慮される。

セキュリティ情報/セキュリティアドバイザリ 深刻度 影響を受けるソフトウェア サポート技術情報 Replaces置換される過去の更新プログラム
MS07-008:HTMLヘルプのActiveXコントロールの脆弱性により、リモートでコードが実行される 緊急 Windows 928843 MS06-046
MS07-009:Microsoft Data Access Componentsの脆弱性により、リモートでコードが実行される 緊急 Data Access Components 2.5 Data Access Components 2.8 927779 MS06-014
MS07-010:Microsoft Malware Protection Engineの脆弱性により、リモートでコードが実行される 緊急 Windows Defender Windows Live OneCare Microsoft Forefront and Antigen Products 932135
MS07-014:Microsoft Wordの脆弱性により、リモートでコードが実行される 緊急 Word(Mac含む) Works Office 929434 MS06-060
MS07-015:Microsoft Officeの脆弱性により、リモートでコードが実行される 緊急 Office(Mac含む) 932554 MS06-062
MS07-016:Internet Explorer用の累積的なセキュリティ更新プログラム 緊急 Internet Explorer 928090 MS06-072
MS07-005:ステップバイステップの対話型トレーニングの脆弱性により、リモートでコードが実行される 重要 ステップバイステップの対話型トレーニング(Windowsにインストールされたもの) 923723 MS05-031
MS07-006:Windowsシェルの脆弱性により、特権が昇格される 重要 Windows 928255 MS06-045
MS07-007:Windows Image Acquisitionサービスの脆弱性により、特権が昇格される 重要 Windows XP SP2 927802
MS07-011:Microsoft OLEダイアログの脆弱性により、リモートでコードが実行される 重要 Windows 926436
MS07-012:Microsoft MFCの脆弱性により、リモートでコードが実行される 重要 Windows Visual Studio 924667
MS07-013:Microsoftリッチエディットの脆弱性により、リモートでコードが実行される 重要 Windows Office 918118

サマータイム期間変更に伴う更新

 米国およびカナダ政府は、サマータイム(DST)期間を約4週間拡大することに決定した。その結果、2007年からは、これまでより3週間早い3月11日からDST期間に入り、終了は1週間遅い11月4日となる。この変更は米国およびカナダで適用されるものだが(メキシコでは変更なし)、北米以外のユーザーが北米にあるシステムと通信または統合を行う場合は、影響を受ける可能性があるので注意が必要だ。

 ユーザーの所在地と選択したタイムゾーンによっては、ソフトウェアを更新して、従来から拡大されている期間中にコンピュータのシステム時計の時刻にズレが生じないようにする必要がある。タイムゾーンの設定が正しくないと、システム時計と実際の時刻に1時間の差が生じ、一部のアプリケーションでは正しい時刻が表示されなくなる可能性がある。この問題に対応するため、Microsoftはシステムを自動的に更新する更新プログラムとツールを無償で提供しているが、これらのツールを使用しない場合は、システム時計を手動で正確な時刻に合わせる必要がある。

 この更新プログラムにより影響を受けるMicrosoft製品は、Windows、Windows SharePoint Services、Exchange Server、Outlook、Live Meeting、Dynamics CRM、SQL Server Notification Services、Entourageである。

そのほかの更新プログラム

 2月の月例パッチでは、そのほかに以下の7件の非セキュリティ更新プログラムもリリースされた。

悪意のあるソフトウェアの削除ツール 例月どおり、悪意のあるソフトウェアの削除ツール(MSRT)の更新プログラムも月例パッチに併せてリリースされ、今月は新たに3種類のマルウェア(Win32/Tibs、Win32/Harnig、Win32/Passalert)を検出および削除できるようになった。

オフラインスキャンファイルの新形式 Systems Management Server Inventory Tool for Microsoft Updates(SMS ITMU)、Microsoft Baseline Security Analyzer(MBSA)、Windows Update Agent(WUA)などのツールを使用している場合は、2007年3月までに製品を更新して、新しい形式でオフラインスキャンファイル(Wsusscn2.cab)が使用されるようにする必要がある。Wsusscan.cabファイルのサイズは、毎月出されるセキュリティ更新が蓄積された結果、1CABファイルあたりのサイズ制限に達している。MicrosoftはWsusscn2.cabファイルの内部形式を変更することで、この問題の解決を図っている。

 ここ数カ月間は、古い更新情報を削除することで、Wsusscn2.cabのサイズが制限内に収まるように対処されてきた。2007年3月の時点で、これまでのWUオフラインスキャンファイル形式は無効になるため、Wsusscn2.cabファイルを使用する新しいバージョンのスキャンツールを使用しなければならない。

そのほかの非セキュリティ更新プログラム そのほか、Outlook 2003の迷惑メールフィルタの月例更新プログラムと、Windows XP用Windows CardSpaceの更新プログラム、および現時点ではドキュメントが公開されていない(サポート技術情報の記事がない)Office、Excel、PowerPoint 2003用の更新プログラムが3件リリースされている。

Mundie、Gates両氏によるRSA基調講演

 Microsoftの最高研究戦略責任者であるクレイグ・マンディー氏と会長のビル・ゲイツ氏は、2007年2月に開催された毎年恒例のRSA Security Conferenceにおいて共同で基調講演を行った。この基調講演の最大のテーマは、モバイルデバイスからのインターネットアクセスの普及に伴い、業界はセキュリティの確保にさらに力を入れるべきだというものだった。

ネットワークアクセス ネットワークは変化するため、ネットワークへのアクセスの管理と制御にポリシーを使用できる必要があり、これが、新しいMicrosoft Network Access Protectionテクノロジーと、同テクノロジーとCiscoなどほかのベンダとの相互運用性における中心課題である。

デジタルID 両氏はデジタルIDの増加に対応し、ネットワークやWebで使用されるID管理に伴う複雑さを軽減するために、各ベンダのプラットフォームに依存しない標準ID管理プロトコルを共同で策定する業界規模の取り組みを提唱した。これは、Microsoftが“アイデンティティメタシステム”と呼ぶ概念で、この概念は同社のWindows CardSpaceクライアントやActive Directoryフェデレーションサービスでサポートされている。

 マンディー氏とゲイツ氏の基調講演でより重要なポイントとなったのは、両氏が同時に登場した点かもしれない。業界で重視されるセキュリティカンファレンスの壇上にマンディー氏がゲイツ氏と並んで登場したことで、ゲイツ氏は予定通りMicrosoftでの活動を縮小させ、マンディー氏がMicrosoftのセキュリティ戦略全般を引き継いでいくことが示唆されている。Microsoftで現在進行しているセキュリティ製品の開発については、そのほかの製品およびビジネスマネージャが担当する。また、信頼できるコンピューティング構想担当の副社長スコット・チャーニー氏が、Core Operating Systems Division(COSD)の信頼できるコンピューティング(TWC)グループの責任者となる。TWCグループは当初の業務範囲(セキュリティ、プライバシー、信頼性、業務慣行の原理の促進)を拡大し、Microsoftのセキュリティエンジニアリングの取り組み、セキュリティ応答インフラストラクチャ、セキュリティの啓蒙活動、エンジニアリングエクセレンスなども推進していくことになった。

Copyright(C) 2007, Redmond Communications Inc. and Mediaselect Inc. All right reserved. No part of this magazine may be reproduced, stored in a retrieval system, or transmitted in any form or by any means without prior written permission. ISSN 1077-4394. Redmond Communications Inc. is an independent publisher and is in no way affiliated with or endorsed by Microsoft Corporation. Directions on Microsoft reviews and analyzes industry news based on information obtained from sources generally available to the public and from industry contacts. While we consider these sources to be reliable, we cannot guarantee their accuracy. Readers assume full responsibility for any use made of the information contained herein. Throughout this magazine, trademark names are used. Rather than place a trademark symbol at every occurrence, we hereby state that we are using the names only in an editorial fashion with no intention of infringement of the trademark.

注目のテーマ