ニュース
2004/04/19 13:28 更新
ユーザーの怒りを買ったMicrosoftの最新パッチ
Microsoftは4月13日、これまでで最大規模となる月例パッチを公開したが、パッチ適用作業に取り組むユーザーからは不満の声も上がっている。
Microsoftは4月13日、各種のWindows製品の20項目に及ぶ欠陥を修正する3つの重要なパッチをリリースした(訳注:もう1種類、「重要」レベルのパッチも公開されている)が、同社のセキュリティ問題が後を絶たないことに不満を抱くユーザーから批判の声が上がっている。
今回のリリースはこれまでで最大の月例パッチとなるもので、MicrosoftはWindows NT 4.0や64ビット版のWindows Server 2003などに含まれる重大なセキュリティホールに対処するアップデートを発行した。電子メールプログラムのOutlook Expressの複数のバージョンも今回のパッチの対象となった。
今回のリリースでは、14項目の脆弱性に対処するパッチもあれば、4種類の脆弱性を修正するパッチもあった。
マサチューセッツ州ウォルサムにある年商20億ドルの科学機器メーカー、Thermo Electronのグローバルセキュリティディレクター、マイケル・カーメンズ氏は、「Microsoftから多数の脆弱性に対処するパッチが出てきたことに、われわれは深い懸念を抱いている。これでは、彼らが言ってきたことも信用できなくなる」と話している。
Windows Server 2003のような新しい製品にも問題が含まれていたことは、「決して楽しいことではない」とカーメンズ氏は話す。同氏は今週、4000台以上のWindowsシステムにパッチを適用しなければならなかったという。
特に危険だと考えられている欠陥の一つが、「Local Security Authority Subsystem Service」と呼ばれるユーザー認証機能に関係するバッファオーバーランの脆弱性である。ハッカーがこの欠陥をうまく利用すれば、侵入したシステムを完全にコントロールすることも可能だ。
公衆ネットワーク上でサーバとクライアントの間でセキュアな通信を行うためのコンポーネントに関係するバッファオーバーランの脆弱性もやはり、同じ理由で重大なリスクとなっていた。
アトランタにあるInternet Security Systemsのリサーチエンジニア、ニール・メータ氏によると、これら二つの欠陥は、Windowsのセキュリティと認証コンポーネントに関係するものであるため、ハッカーにとって「価値の高いターゲット」だという。
「これらの欠陥は、すぐに付け込まれるだろう」とメータ氏は話す。
ジョージア州リバーデールにある医療機関Southern Regional Health Systemでは今週、100台近くのWindows NTおよびWindows 2000サーバにパッチを当てた。
同病院でネットワークサービスマネジャーを務めるリード・バーチ氏は、「こういった発表を聞いていると、年がら年じゅう警鐘を鳴らされているような感じだ。パッチを無視するつもりはないが、あまりにも頻繁にパッチがリリースされるので、ばかばかしくなってきた」と同氏は話す。同病院では、医療アプリケーションを毎日24時間稼働させる必要があるため、システムにパッチを適用する作業は非常に難しい、とバーチ氏は付け加える。
カリフォルニア州マウンテンビューにあある法律事務所Fenwick & Westのマット・ケスナーCTO(最高技術責任者)によると、同社では今週、3人のITスタッフがパッチ適用作業にかかったが、昨日まで全員が残業したという。
同社では、パッチをインストールする際にも問題が発生した。一部のマシンでは、何度か作業をやり直さなければならず、また、12台のPCは完全に再フォーマットしないとパッチを受け入れなかったという。
「Microsoftはセキュリティに真剣に取り組むと約束したが、こういった脆弱性がなぜ出てくるのか、そして脆弱性の調査と修正のために具体的に何をしているのかは話していない」とケスナー氏は指摘する。パッチが提供されるまで、Microsoftはどのくらいの間、これらの脆弱性について認識していたのかという疑問もあるという。
カナダの公益企業でシステムサポートを担当するロバート・バガメリー氏は、「こういった大規模なアップデートがリリースされると、疑問が募るばかりだ」と話す。
「Microsoftはこの修正で何を解決したのだろうか。ほかにもまだどれくらい問題があり、彼らが知っていながら公表していない問題が幾つあるのだろうか」(バガメリー氏)
Microsoftは、個々のユーザーの苦情には対応していない。しかし同社のセキュリティ対策センターのセキュリティプログラムマネジャー、スティーブン・トゥールーズ氏によると、少数の大規模なパッチによって多数の欠陥に対処するという同社の方針は、実際的な配慮に基づくものだとしている。
「複数の修正を個別に提供するのではなく、複数の修正を1セットのファイルに含めて提供する機会があれば、そうするようにしている」と同氏は話す。
これはユーザーがパッチを適用しやすい方法だ、とトゥールーズ氏は付け加える。「当社顧客にとって最善のソリューションだ」(同氏)
関連記事
No patch, No Computing――MSの月例アップデートを考えるDoS攻撃より手強い?――Windows Updateサイトにアクセス殺到、一部で更新に支障マイクロソフト、4月の月例パッチをリリース――今月は盛りだくさんMSの月例アップデート、Outlook Expressの脆弱性などに対応[IDG Japan]
Copyright(C) IDG Japan, Inc. All Rights Reserved.
