現在地 HOME > 掲示板
> IT5 > 198.html
★阿修羅♪
|
現在地 HOME > 掲示板
> IT5 > 198.html
★阿修羅♪
|
|
| Tweet |
“無防備”なマシンでWindows Updateは禁物,ネット接続前に“守り”を固めろ【IT_Pro記事】マイクロソフトの説明は不十分
http://itpro.nikkeibp.co.jp/members/ITPro/SEC_CHECK/20040302/1/
重要なパッチはオフラインで適用,「セキュリティアップデートCD」が有用
今週のSecurity Check [Windows編] (第113回,2004年3月3日)
Windowsマシンを安全に使うには,Windows Updateを実施することが不可欠である。ただし,Windows Updateを実施するためとはいえ,無防備なマシンをインターネットに接続することは危険だ。パッチを適用する前にウイルス(ワーム)に感染したり,攻撃を受けたりする恐れがある。新しく購入したマシンやOSを再インストールしたマシンでは,特に注意が必要だ。インターネットに接続する前に,“守り”を固める必要があるのだ。今回の記事では,インターネットに接続する前になすべきことを解説する。
マイクロソフトの説明は不十分
インターネットにはワームが送出する攻撃パケット(感染を広げるためのパケット)が飛び交っている。セキュリティ・ベンダーなどによれば,2003年8月に出現した「Blaster」や「Welchia」などが送出する攻撃パケットは,ピーク時には30秒に1回の割合で飛んできたという。これらに感染しないためには,パッチを適用することが第一。だが,パッチを適用しようと思ってWindows Updateにアクセスすると,適用する前に感染する恐れがある。
そこで,マイクロソフトは「新しいパソコン購入者やリカバリを予定しているユーザーへ,セキュリティ対策のお願い」というドキュメントを公開して注意を呼びかけている。新しく購入したパソコンには最近のパッチだけではなく古いパッチも適用されていない場合が多い。いきなりインターネットに接続すると,Blasterをはじめとするワームに感染する可能性がある。
OSを再インストールしたマシンも要注意である。筆者が聞いた限りでは,再インストール前にまめにパッチを適用していたユーザーほど,無用心に接続してしまう傾向があるようだ。今まできちんとWindows Updateを実施していたので,OSを再インストールしたマシンが全くの無防備であることを,つい忘れてしまうという。
ちなみに,前述のマイクロソフトの情報は,当初「新しいパソコン購入者へセキュリティ対策のお願い」となっていたが,その後タイトルと内容が加筆修正された。OSを再インストールしたマシン(リカバリしたマシン)での被害が多数報告されたためだと推測される。
ユーザーのことを考えて,上記のような情報を公開することは評価できる。しかし,内容には疑問がある。同情報では,「ステップ 1: ファイアウォールを利用」「ステップ 2: Windows Update の使用」「ステップ 3: 最新のウイルス対策ソフトウェアを使う」という3段階のステップを踏むよう勧めている。
Windows XPのユーザーなら,「インターネット接続ファイアウォール(ICF)機能」を使用すれば,ステップ1をクリアできる。しかし,他のWindowsでは個別にパーソナル・ファイアウオール製品をインストールしなければならない。敷居が高い。
ステップ1をスキップしたユーザーが「ステップ 2」を実施すると――すなわちWindows Updateにアクセスすると――,冒頭の通り,無防備なままで攻撃パケットにさらされることになる。マイクロソフトが推奨する手順は,パーソナル・ファイアウオールに頼りすぎているのではないだろうか。「危険なセキュリティ・ホールについてのパッチは,オフラインで適用してからインターネットに接続する」というステップも入れるべきではないだろうか。
「セキュリティアップデートCD」が有用
企業ならば,パッチを適用済みの別マシンでパッチをダウンロードすれば,安全に入手できる。OSを再インストールした個人ユーザーならば,再インストール前にパッチをダウンロードして,CD-Rなどのメディアに保存しておく。問題となるのは,個人で新規購入した場合である。この場合には,可能であれば,購入した家電店に相談して,代わりにパッチをダウンロードしてもらうことなどが考えられる。難しい場合には,友人に頼む方法もあるだろう。とにかく,「危険なセキュリティ・ホールをふさぐパッチをオフラインで適用して,ある程度守りを固めてから,Windows Updateにアクセスして残りのパッチを適用する」――といった手順を踏みたい。
ここで問題になるのは,「オフラインで適用すべきパッチはどれか」ということだ。多数公開されているパッチの中で,どれを適用すべきだろうか。その取捨選択だけでも大変だ。そこで有用なのが,マイクロソフトが2月18日にアナウンスした「Windows セキュリティ アップデート CD(2004年2月)」である。まずは,このCDに収められているパッチを適用して,その後,CDには収められていない重要なパッチを,前述の方法で入手して適用すればよい。
マイクロソフトでは,セキュリティ アップデートCDの対象は「ナローバンド等の理由によりサービスパックおよび修正プログラムのダウンロードが困難なお客様」としている。確かに,これに該当するユーザーにとっても有用ではあるが,ブロードバンド接続環境を持っている個人ユーザーや企業ユーザーでも,オフラインでパッチを適用する手段として有用である。
ただし注意しなくてはいけないのは,CDに収められているのは2003年10月までに公開されたパッチやサービスパックに限られること。「このCDを適用すれば万全」と考えてはいけない。マイクロソフトでも,そのように誤解されることを懸念して,同CDについてはあまり積極的にはアナウンスしていないという。逆に,その点を十分認識して使えば,有用なツールとなる。
それでは,セキュリティ アップデートCDに収められたパッチを適用した後に,オフラインで適用すべきパッチを考えてみよう。まずは,11月以降に公開された“超特大”のセキュリティ・ホールをふさぐ必要がある。“超特大”とは,ネットワークに接続するだけで攻撃を受ける可能性があるセキュリティ・ホールである。Windows XPとWindows 2000では,次のパッチが該当する。
「セキュリティ アップデート CD (2004年2月)」適用後に,最低限適用すべきセキュリティ・パッチ一覧(2004年2月29日時点)
【Windows XP】
◆「メッセンジャ サービスのバッファ オーバーランにより,コードが実行される (828035) (MS03-043)」
◆「ASN .1 の脆弱性により,コードが実行される (828028) (MS04-007)」
【Windows 2000】
◆「メッセンジャ サービスのバッファ オーバーランにより,コードが実行される (828035) (MS03-043)」
◆「Workstation サービスのバッファ オーバーランにより,コードが実行される (828749) (MS03-049)」
◆「ASN .1 の脆弱性により,コードが実行される (828028) (MS04-007)」
上記一覧で,Windows XPに「MS03-049」が含まれていないのは,XPについては「MS03-043」のパッチに「MS03-049」のパッチが含まれているからだ。「MS03-049」のセキュリティ情報にリンクされているXPのパッチは,MS03-043のパッチである。対して,Windows 2000の場合には,「MS03-043」と「MS03-049」のパッチをそれぞれ適用する必要がある。
“超特大”のセキュリティ・ホールではないが,万全を期したい場合には,以下のパッチも適用したい。
◆「Internet Explorer 用の累積的なセキュリティ修正プログラム (832894) (MS04-004)」
◆「Microsoft FrontPage Server Extensions のバッファ オーバーランにより,コードが実行される (813360) (MS03-051)」
これらは,マイクロソフトの「お客様へ大切なお知らせ」で,「今一番危険なセキュリティホールは?」に挙げられているものだ。なお,「お客様へ大切なお知らせ」は随時更新されているので,今後もチェックしよう。
「セキュリティ アップデートCD (2004年2月)」を利用した後,上記のパッチを適用してからインターネットに接続して,残りのパッチを適用する。なお,CDを利用する際には「マイクロソフト サポート技術情報 - 833242 Windows セキュリティ アップデート CD (2004 年 2 月) の入手方法と使用方法」を参考にしよう。具体的には,「Windows セキュリティ アップデート CD の入手方法」「Windows セキュリティ アップデート CD に収録されているソフトウェア アップデートをインストールする前の作業」「Windows セキュリティ アップデート CD に収録されているアップデートのインストール方法」「トラブルシューティング」――を必ず確認しておこう。
繰り返しになるが,上記の「CD適用後に,最低限適用すべきセキュリティ・パッチ」はオフラインで適用しなければならない。「Windows セキュリティ アップデート CD (2004 年 2 月)」のWebページには,それ以降に公開された修正パッチに関しては,「Windows Update をご利用いただき,インストールすることを強く推奨いたします」と記載されているが,これは正しくない。
例えば,「CD適用後に,最低限適用すべきセキュリティ・パッチ一覧」に記した「MS03-049」を突くワーム「Welchia.B(NACHI.B)」が出現している(関連記事)。CDだけを適用した状態――すなわち,MS03-049を未適用の状態――でインターネットに接続すると,Welchia.Bなどに感染する可能性があるのだ。
ネット接続前に必要な作業
以上をまとめると,筆者が勧める「新しく購入したパソコンやリカバリしたパソコンを,ネットワークに接続する前に必要な準備作業」は以下のようになる。
(1)ウイルス対策ソフトを導入し,オフラインで入手した最新のパターンファイルをインストールする。そして「リアルタイム保護」を有効にするとともに,マシンにウイルスが潜んでいないか,ウイルス・スキャンを実施する
※ここで,最新のパターンファイルをオフラインで入手できない場合(別マシンでダウンロードするなどして入手できない場合)には,このステップは古いパターンファイルを使って実施する(このステップをスキップしてもよい)。この時点で,インターネット経由で最新のパターンファイルを入手しようとしてはいけない。オフラインで入手できない場合には,(2)以降のステップを完了してインターネットに接続できるようになってから,インターネット経由で最新のパターンファイルをインストールする。その後,改めて(1)を実施する。
(2)「Windows セキュリティ アップデートCD (2004年2月)」を適用する
※同CDを使うと,Windows XPでは,インターネット接続ファイアウォールに関する情報が表示される。有効になっていない場合は,[インターネット接続ファイアウォールをオンにする] をクリックして有効にしたい。
(3)前述の「セキュリティ アップデートCD 適用後に,最低限適用すべきセキュリティ・パッチ」をオフラインで適用する
以上で,ネットワーク(インターネット)に接続できる最低限の環境が整う。以上が完了した後,Windows Updateにアクセスして,未適用のパッチを適用する。そうすれば,セキュリティ上,Windowsを最新の状態にできる。
このように,ナローバンドのユーザーに限らず,企業ユーザーにとっても「Windows セキュリティ アップデート CD」は有用である。「Windows セキュリティ アップデート CD (2004年 2月)」ページ末の「オンラインでのお申込み」から申し込める。1回の申し込みで入手できるのは1本だが,マイクロソフトに確認したところ,同一企業内なら1本を複数のユーザーで使い回してもよいという。積極的に活用したい。
ただし繰り返しになるが,このCDを適用しても最近のセキュリティ・ホールは解消できないことに注意してほしい。マイクロソフトとしても,「『このCDを適用したから大丈夫』と思われると逆効果になる」と懸念している。同社としては,ダウンロードに時間がかかるナローバンド・ユーザーを対象としており,システム管理者がいるような企業ネットワークは対象にはしていないという。システム管理者がいる企業では,同社の「Software Update Services(SUS)」や「Systems Management Server(SMS)」を使うなどして,企業内のマシンをセキュリティ上最新の状態にしてほしい考えだ。これらを踏まえた上で活用しよう。
最後に,上記以外のWindows関連セキュリティ・トピックス(2004年2月29日時点分)については,スペースの都合上,詳細は割愛する。各プロダクトごとにまとめたリンクを記事末に記したので,参考にしてほしい。IT Proでも関連記事をいくつか掲載している。それぞれの詳細については,リンク先の情報やIT Proの過去記事を確認していただきたい。 また,以下のIT Proの過去記事は重要なので,まだ読んでない方はチェックすることをお勧めする。
◎IT Pro過去記事
■『IEにパッチ未公開のセキュリティ・ホール 攻撃コードも出現している』
■『パーソナル・ファイアウオール「ZoneAlarm」にセキュリティ・ホール』
■『流出したWindowsのソース・コードでIE 5のセキュリティ・ホールが見つかる』
マイクロソフト セキュリティ情報一覧
『Internet Explorer 6 /5.5/5.01』
◆Internet Explorer 用の累積的なセキュリティ修正プログラム (832894)(MS04-004)
(2004年 2月19日: 「よく寄せられる質問」 にSSLに関する問題の回避策を追加。「技術的な詳細」 の「深刻度」を修正。「セキュリティ修正プログラムに関する情報」 にセットアップ ユーティリティに関する情報を追加)
(2004年 2月13日:「警告」「技術的な詳細」「よく寄せられる質問」において,SSL/TLS 3.0 サイト訪問時にエラーが発生する場合があることを追加)
(2004年 2月12日:「警告」「技術的な詳細」「よく寄せられる質問」においてIEの保護されたストアの変更に関する情報を追加)
(2004年 2月 9日:「技術的な説明」においてMSXML のパッチに関する情報を更新)
(2004年 2月 4日:「よく寄せられる質問」に IE 5.5 SP2,Windows 98/98SE/Meの情報を追加。「技術的な説明」のOutlookに関する情報を更新)
(2004年 2月 3日:日本語情報および日本語版パッチ公開,最大深刻度 : 緊急)
『Excel 97/2000/2002,Word 97/98/2000/2002 等』
◆Microsoft Word および Microsoft Excel の脆弱性により,任意のコードが実行される (831527)(MS03-050)
(2004年 2月17日:「セキュリティ修正プログラムに関する情報」でExcelの正しいバージョンをアナウンス)
(2003年11月25日:「よく寄せられる質問」にExcel 97の郵便番号変換ウィザードに関する説明を追加)
(2003年11月13日:「影響を受けるソフトウェア」の Excel 97,Word 97/98 から「Office Update」が可能であることを示すマークを削除)
(2003年11月13日:Excel 2000 の「excel.exe」とWord 2000 の「word.exe」に関する情報を更新)
(2003年11月12日:日本語情報および日本語版パッチ公開, 最大深刻度 : 重要)
マイクロソフト トラブル・メンテナンス速報
◆Internet Explorer と Windows の脆弱性をねらう手口が公開されています (2004年 2月16日更新)
マイクロソフト PressPass
◆セキュリティ調査機関や技術者からの脆弱性情報を日本語で受け付ける「脆弱性報告窓口」を2月25日(水)より開設
◆ セキュリティ対策に関する総合的な知識の習得などを目的に資格認定制度Microsoft Certified Associate (MCA) を充実
題名には必ず「阿修羅さんへ」と記述してください。