6月のMS月例セキュリティパッチを総括――Windows Updateの信頼性に影(2/2 ページ)
正規Windows検証ツールで信用が失墜?
2006年4月に、MicrosoftはWindows Genuine Advantage(WGA:正規Windows推奨プログラム)のオプトイン(ユーザーの承諾を得た上でプログラムを実行する)パイロットプログラムを拡大し、承諾の有無にかかわらずWindows Updateを通じてすべてのユーザーに優先度の高い更新プログラムとしてWGAコンポーネントを配布している。このことが、パフォーマンスと信頼性についてユーザーの懸念をもたらした。
WGAは2つの主要コンポーネントWGA ValidationとWGA Notificationsで構成されており、海賊版やライセンスされていないWindowsを検出し、このようなWindowsが検出された場合は、ライセンスされていないWindows XPを使用しているユーザーに、ライセンスされた正規の製品を購入するよう求める。PCにインストールされているWindows XPがライセンスされた正規品であるかどうかの検証はWGA Validationが行い、WGA Notificationsはこの検証によって正規品でないWindowsの使用が確認された場合ユーザーに警告し、正規のWindowsソフトウェアを使用するメリットについて説明するリソースへと誘導する。
ただし、MicrosoftはWGA Notificationsが常にログオン直後にインターネットに接続し、警告された頻度を示す設定ファイルを確認して、プログラムが問題となる場合はこれを無効にできることを明示していなかった。Microsoftによると、この機能は同社がフィードバックにすばやく対応できるようにするためのものだという。ただし、ユーザーからのパフォーマンスへの影響を懸念する声を受けて、この機能は次のリリースで14日に1度のみ新しい設定ファイルの有無を調べるように変更される予定だ。また、今年後半にWGA Notificationsを全世界で展開する際には、同機能は無効化される見込みである。
パイロットプログラムでは、ユーザーはオプトアウト(同プログラムの実行の非承諾)が可能だが、WGAはWindows Updateを介して優先度の高い更新プログラムとして配布されているため、ユーザーがこれを必須のコンポーネントであると誤解する結果となっている。さらに問題となっていることは、テスト版であるにもかかわらず優先度の高い更新プログラムとして同コンポーネントを配布していることだ。このため、緊急のセキュリティまたは信頼性関連の更新プログラムを自動的にダウンロードしてインストールできる安全なメカニズムとしてのWindows Updateの信頼が損なわれた可能性がある。Microsoftが同じメカニズムを使用してソフトウェアのプレリリース版やβ版を配布するのであれば、ユーザーは自動更新機能を無効にして、必要だと証明された(または少なくとも最終リリース版である)更新プログラムのみを手動でダウンロードするようになるかもしれない。
2006年6月のMSセキュリティパッチ
| セキュリティ情報/セキュリティアドバイザリ | 深刻度 | 影響を受けるソフトウェア | サポート技術情報 | このパッチにより置換される過去の更新プログラム |
|---|---|---|---|---|
| MS06-021:Internet Explorer用の累積的なセキュリティ更新プログラム | 緊急 | Internet Explorer、Windows | 916281 | MS06-013 |
| MS06-022:ARTの画像表示の脆弱性により、リモートでコードが実行される | 緊急 | Windows(Windows 2000は除く) | 918439 | |
| MS06-023:Microsoft JScriptの脆弱性により、リモートでコードが実行される | 緊急 | Windows | 917344 | |
| MS06-024:Windows Media Playerの脆弱性により、リモートでコードが実行される | 緊急 | Windows Media Player(バージョン6.4は除く) | 917734 | MS06-005 |
| MS06-025:ルーティングとリモートアクセスの脆弱性により、リモートでコードが実行される | 緊急 | Windows | 911280 | |
| MS06-026:Graphics Rendering Engineの脆弱性により、リモートでコードが実行される | 緊急 | Windows 98、98SE、ME | 918547 | |
| MS06-027:Microsoft Wordの脆弱性により、リモートでコードが実行される | 緊急 | Microsoft Word(Mac版は除く)、Microsoft Works | 917336 | MS06-012、MS05-023 |
| MS06-028:Microsoft PowerPointの脆弱性により、リモートでコードが実行される | 緊急 | PowerPoint (Mac版を含む) | 916768 | MS06-10 |
| MS06-029:Outlook Web Accessを実行する Microsoft Exchange Serverの脆弱性により、スクリプトインジェクションが起こる | 重要 | Exchange | 912442 | |
| MS06-030:サーバメッセージブロックの脆弱性により、特権が昇格される | 重要 | Windows | 914389 | MS05-011 |
| MS06-031:RPC の相互認証の脆弱性により、なりすましが行われる | 警告 | Windows 2000 SP4 | 917736 | |
| MS06-032:TCP/IP の脆弱性により、リモートでコードが実行される | 重要 | Windows | 917953 | MS06-007、MS05-019 |
関連リンク
Copyright(C) 2007, Redmond Communications Inc. and Mediaselect Inc. All right reserved. No part of this magazine may be reproduced, stored in a retrieval system, or transmitted in any form or by any means without prior written permission. ISSN 1077-4394. Redmond Communications Inc. is an independent publisher and is in no way affiliated with or endorsed by Microsoft Corporation. Directions on Microsoft reviews and analyzes industry news based on information obtained from sources generally available to the public and from industry contacts. While we consider these sources to be reliable, we cannot guarantee their accuracy. Readers assume full responsibility for any use made of the information contained herein. Throughout this magazine, trademark names are used. Rather than place a trademark symbol at every occurrence, we hereby state that we are using the names only in an editorial fashion with no intention of infringement of the trademark.
注目のテーマ
人気記事ランキング
- 生成AIは検索エンジンではない 当たり前のようで、意識すると変わること
- VPNやSSHを狙ったブルートフォース攻撃が増加中 対象となる製品は?
- 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
- “脱Windows”が無理なら挑まざるを得ない「Windows 11移行」実践ガイド
- ランサムウェアに通用しない“名ばかりバックアップ”になっていませんか?
- 標的型メール訓練あるある「全然定着しない」をHENNGEはどう解消するのか?
- HOYAに1000万ドル要求か サイバー犯罪グループの関与を仏メディアが報道
- 「Gemini」でBigQuery、Lookerはどう変わる? 新機能の詳細と利用方法
- 爆売れだった「ノートPC」が早くも旧世代の現実
- 攻撃者が日本で最も悪用しているアプリは何か? 最新調査から見えた傾向
ITmediaはアイティメディア株式会社の登録商標です。