ニュース
2004/04/16 22:02 更新


No patch, No Computing――MSの月例アップデートを考える

マイクロソフトが4月14日に公開した月例パッチには、重要な修正が数多く含まれている。何はともあれ早急な適用が第一だ。

 マイクロソフトは4月14日、20項目におよぶ脆弱性を修正する4種類のパッチを公開した(4月14日の記事参照)。

 これらパッチを入手しようとするアクセスが殺到したせいか、Windows Updateのサーバに負荷が集中し、パッチ適用が完了するまでに数時間を要したり、作業に失敗するケースも報告されている(4月15日の記事参照)。Webアクセス調査会社のNetCraftも、Windows Updateサイトのスローダウンを観測したことを明らかにした。

 だが、手動アップデートを行ってでも、これら4種類のパッチをできる限り早く適用しておくほうがよさそうだ。パッチが公開されてから1日と経たないうちに、脆弱性の実証コードが公開されているからだ。

あれも、これも……

 たとえばセキュリティ関連のメーリングリストには、MS04-011に含まれているSSLの脆弱性を悪用して、リモートからサーバのクラッシュを引き起こすという実証コードが投稿されている。

 この脆弱性について、インターネット セキュリティ システムズ(ISS)の高橋正和氏は、実証コードやそれを悪用したワームが登場する可能性もさることながら「SSLを利用するため、フィルタが不可能であり、脆弱性を持ったサーバへの通信を止めることができない」点でやっかいだとしている。しかも、SSL通信を行うようなサーバの場合、サーバの中や周辺に、顧客情報などの重要なデータが存在する可能性が高い点にも注意すべきという。

 同様に危険性が高いと見られるのが、やはりMS04-011に含まれているLocal Security Authority Subsystem Service(LSASS)の脆弱性である。マイクロソフト自身もアドバイザリの中で、この問題が悪用されれば、リモートからのコード実行を許し、コンピュータを完全にコントロールされてしまう恐れがあると指摘しているが、「この脆弱性はStack Overflowであるため、実証コードが出た場合に安定して動く可能性が高い」(高橋氏)。

 しかもLSASSの脆弱性では、RPC DCOMの脆弱性でも危険性が指摘されたTCP/UDP 135、137、138、139、445およびTCP 593の各ポートに加え、1024番以降の使用されていない入力ポートやその他のRPCで利用するポートについても、ファイアウォールでブロックすることが推奨されている。逆に言えば、この脆弱性を悪用した攻撃は、一連の広範なポートを用いて仕掛けられる可能性があるということだ。

 他にも、今月リリースされたパッチには、いくつか重要な修正が含まれている。

 MS04-011では、14項目の脆弱性を修正したのに加え、仕様変更という形でフォルダ詐称の問題も修正されている。これは、悪意あるスクリプトと実行ファイルを仕込んだHTMLファイルを「フォルダ」に見せかけることが可能な問題だ。フォルダだと思い込んでユーザーがこれをクリックすると、仕込まれたファイルが自動的に実行されてしまう恐れがある。マイクロソフトではMS04-011で、「.folder」の拡張子で終わるファイルをディレクトリに関連付けないように変更したという。この結果、.folderの拡張子を持つファイルがWindowsエクスプローラなどでディレクトリとして表示されないようになった。

 先日US-CERTが警告を行ったMIME Encapsulation of Aggregate HTML Documents(MHTML)プロトコルハンドラの脆弱性も修正された。この脆弱性を悪用されれば、仕掛けを施したCompiled HTML Help(CHM)を通じて任意のファイルを実行される恐れがあったが、MS04-013のOutlook Express用累積パッチでこれが修正された。

 ちなみにMS04-012は、やはり深刻な問題と思われるWindows RPC DCOMの脆弱性を修正するパッチだ。RPC DCOMの脆弱性(MS03-026として昨年7月に修正パッチが公開された)は、MSBlastによる悪用で一躍注目を浴びたが、その結果、さらにいくつかの問題点が指摘された。それらを修正したのが今回リリースされたMS04-012であり、パッチの再修正ではないという。マイクロソフトは、「RPCという非常に広範囲に影響のある修正をリリースにするに当たって、可能な限りのテストと品質の向上に努めた」としている。

まずはパッチの適用を

 残念ながらInternet Explorerについては、他にもいくつか、パッチがまだ存在しない脆弱性が指摘されている。これら残る脆弱性についてマイクロソフトは、鋭意パッチの準備作業を続けていく方針という。

 今月のアップデートでは多くの脆弱性が修正された。中には、コードレビューによってセキュリティを高めたとされるWindows Server 2003にも影響を及ぼすものが含まれている。

 ただ、今回の一連の修正によって、「脆弱性のパターンをかなり学習できたため、今後は同種のものは出てこないだろうと期待している」とマイクロソフト セキュリティレスポンスチームの小野寺匠氏は述べ、今後リリースされるService Packや次期Windowsに、ここで得られた成果を反映させていく意向を示した。

 いずれにしてもセキュリティ研究者らが警告するとおり、4月の月例パッチで修正された脆弱性には危険なものが多く含まれている。だがいずれも、パッチの適用によって問題を修正できるのも事実だ。一連の脆弱性がもたらす危険性を踏まえ、できる限り早期にパッチを適用するか、それができなければ可能な回避策を講じることが望ましいだろう。多くのIDS(不正侵入検知システム)ベンダーやパーソナルファイアウォールベンダーも、一連の脆弱性を悪用した攻撃からユーザーを保護するためのアップデートの提供を開始している。

 場合によっては、Software Update ServiceやSystem Management Server(SMS)を採用しての、効率的なパッチ配布を検討すべきかもしれない。

 ラックの新井悠氏はこの状況を踏まえ、パッチがリリースされたならば速やかに適用するというタスクが、最終的には一種の日課のようなものになって欲しいとコメント。今の状況を考えると「もう、『No patch, No Computing』としか言い表せない」と述べている。

関連記事
▼DoS攻撃より手強い?――Windows Updateサイトにアクセス殺到、一部で更新に支障
▼マイクロソフト、4月の月例パッチをリリース――今月は盛りだくさん
▼MSの月例アップデート、Outlook Expressの脆弱性などに対応
▼IE脆弱性を狙ったウイルスが登場、MSは「対策を進めている」
▼IEに脆弱性、完全な解決策は存在せず
▼信じられる表示はどれ? IEを悩ませる「詐称」の問題
▼「フォルダ」に見せかけ任意のファイルを実行――Windows XPを狙う手口に警告
▼Windowsのヘルプ機能にセキュリティホール

[高橋睦美,ITmedia]

Copyright © ITmedia, Inc. All Rights Reserved.



Special

- PR -

Special

- PR -