News：Hfnetchkツール，日本語版への適用は未定？

News

2001年8月17日　11:53 PM 更新

Hfnetchkツール，日本語版への適用は未定？

米マイクロソフトは16日，Windows NT/2000にパッチがきちんと適用されているかどうかを確認するためのツール「Microsoft Network Security Hotfix Checker」（Hfnetchk）を公開した。しかし，残念ながらこのツールをそのまま日本語環境に適用することはできない。

　米マイクロソフトは8月16日，Windows NT/2000にパッチがきちんと適用されているかどうかを確認するためのツール「Microsoft Network Security Hotfix Checker」（Hfnetchk）を公開した（別記事参照）。しかし，残念ながらこのツールをそのまま日本語環境に適用することはできない。

　Hfnetchekは，Windows NT 4.0/2000，およびIIS 4.0/5.0に加え，SQL Server 7.0/2000，Internet Explorer 5.1以降を対象に，現在どのセキュリティパッチが適用されているか，あるいは適用されていないかをチェックするツールだ。コマンドライン上で動作し，ローカルのマシンのみならず，ネットワークにつながっているマシンについても確認できる。

　このツールは，米マイクロソフトが提供する基準となるXMLファイルと，手元で運用されているシステム内とで，レジストリキー情報やファイルのバージョン情報，チェックサムを比較し，OSや稼働しているプログラム，どのセキュリティパッチが適用されているかといった情報を判断する。

　だが，米マイクロソフトが提供している肝心のXMLファイルは，現時点ではまだ日本語システムに対応していない。このため，日本語版のWindows NT/2000ではHfnetchekを利用できない。

　マイクロソフト日本法人の広報部によれば，現在，日本語環境におけるHfnetchekツールのテストが進められていると言う。しかし，日本語に対応したXMLデータを提供するかどうかの決定については「何とも言えない」とのことだ。また，仮にXMLデータを提供するとしても，その時期は未定と言う。

　7月末から8月にかけてCode Red/Code Red IIが多くのシステムに感染し，一部ではネットワークそのものに影響を与えるに至ったことは既にご存知のとおりだ。8月中旬の一時期は，夏休みのためにシステムを落としている組織があったためか攻撃回数の減少が見られたが，またもや増加の傾向が見られるようだ。

　特に，近くのIPアドレスレンジに攻撃をしかけるというCode Red/Code Red IIの性質もあって，韓国，中国，そして日本など，東アジア地域での感染は相当数に上っている。今なお感染に気づかないまま運用されているマシンも，おそらく少なくないだろう。

　こうした状況下だけに，Hfnetchekツールの日本語環境（同時に韓国語，中国語環境）への対応が早期になされるよう期待したい。

　なお，同じく別記事で紹介されたWindows NT 4.0/2000向けの新たなパッチについては，日本語版がリリースされている。ただし，17日夜の時点で公開されているのはIIS 5.0用だけで，IIS 4.0向けの日本語パッチは準備中だ。

Code Red蔓延の原因は……

　Code Red/Code Red IIは，Windows NT/2000システム上で動作するIISのセキュリティホールを利用して感染を広める。このワームの被害が拡大した原因の1つとして，重大なセキュリティホールが存在するにもかかわらず，その事実を声高にアナウンスしてこなかったマイクロソフトの姿勢が挙げられるだろう。

　もちろん，同社はこれまで，セキュリティ情報を告知するための専用Webサイトやメールマガジンを設置し，逐次情報を公開してきた。日本語のセキュリティ情報と米国情報とのタイムラグも，1，2年前に比べずいぶん短縮されている。他のソフトウェアベンダーなどと比べれば，むしろよく対処しているほうだ。この努力は認められるべきだろう。

　だが結局のところ，こうした情報は，ユーザーが自ら求めなくては入手できない。同社のIIS，あるいはWindows NT/2000が占めるシェアとその影響を考えると，もっと早期に，ユーザーへの積極的な告知があってもよかったのではないだろうか。

　もう1つ，被害の拡大を手助けした要因がある。システムにOSをインストールしたまま，そのまま放置している管理者やユーザーが多かったことだ。

　今や，インターネットに接続するからにはセキュリティ対策の必要がある，という意識を持たねばならない。システム上で不要なサービスが稼働していないかチェックし，不審なアクセスの形跡がないか監視し，セキュリティ情報を定期的に確認し，そして必要であればパッチを適用するという作業を継続して行うことが必要だ。

　ただ問題は，これが一般ユーザーにとって，ときには専任のセキュリティ管理者にとっても非常に複雑で，負担の大きい作業だということだ。

　パッチの適用が必要と一概に言うが，その対象は多岐にわたる。OSのみならず，アプリケーションやネットワーク機器など，それぞれの情報をチェックし，パッチを適用していくのは大変な作業だ。また，システムによってはパッチを当てることでかえって問題が発生することがある。マイクロソフトが先日リリースしたWindows NT 4.0セキュリティ・ロールアップ・パッケージでも，こうした問題が報告された。

　パッチを当てる必要性は分かっていても，面倒なためについ作業を先延ばしにしているユーザーも多いだろう。企業においては担当者の異動などによって，引き継ぎもされぬまま放置されているマシンがあるかもしれない。Code Red/Code Red IIはそうした，放置されたままのサーバを足がかりにした。

　おそらく，この記事をはじめとする関連ニュースに積極的にアクセスし，セキュリティ情報を集めるユーザーならば，まだ心配は少ない。何より懸念されるのは，こうしたセキュリティ上の問題があることすら知らず，今もインターネットを利用しているユーザーたちだ。

　しかもその数は，ADSL，CATVをはじめとする常時接続サービスの普及によって増え続けている。そうした意味では我々メディアも，ブロードバンド環境，常時接続環境の明るい面の紹介に偏り，安易な接続を勧めてきたという点で，責められるべきだろう。

　いずれにせよ，ユーザーや管理者は，面倒でも継続的にセキュリティ対策を行うよう，改めて意識する必要がある。企業であれば，アウトソーシングの可能性も含め，組織としてしかるべき予算を投じて対策を講じるべきだ（もっとも，この“予算”が管理者にとって最大の問題になっているが……）。

　同時に，ソフトウェアベンダーには，セキュリティ情報やパッチを速やかに，それも分かりやすく公開する体制が求められる。また，これから先，システムにそれほど詳しくない（あるいは詳しく知る必要を感じない）ユーザーが増えることを考えれば，セキュリティをはじめから意識した，堅牢なソフトウェア開発，システム構築が進められてもいい。少々の便利さを犠牲にしても，デフォルトの設定をより「安全」なものへ変更するといった手段も考えられる。だがそれすらも，納期や既存システムとの整合性をなどを考えると難しいことなのだろうか……。

　便利さやコストと，セキュリティとのバランスを，改めて考え直す時期に来ているのかもしれない。

[須藤陸，ITmedia]

ITmediaはアイティメディア株式会社の登録商標です。