米マイクロソフト、米祝日にセキュリティパッチをリリース

　米Microsoftは、Windowsオペレーティングシステム（OS）のセキュリティアップデート3件と、Officeのアップデート1件をリリースした。これで、連邦政府のシステム管理者の多くは、「退役軍人の日」の祝日に働かざるを得なくなった。

　11日（米国時間）に発表された3件のWindowsアップデートは、Microsoftのセキュリティ脆弱性の深刻度評価で最大レベルの「緊急」にランク付けされている。3件のアップデートでは、少なくとも8つのセキュリティ脆弱性が修復される。Officeのアップデートは2つの脆弱性を修正するもので、対象となるのはOffice 97、2000、XPだ。Office 2003にはこの脆弱性の影響はない。

　「今回は、一部の修正ソフトのなかに複数のパッチを入れるなどしている」とMicrosoftセキュリティ対応センターのセキュリティプログラムマネジャー、Stephen Toulouseは述べている。

　「我々は、顧客の修正パッチ適用を促進しようとしている。1つのアップデートに複数のパッチを入れるというやり方は、顧客からの要望にあったことだ」(Toulouse)

　今回のアップデートは、Microsoftが修正パッチのリリースを毎月1回、第2火曜日に行なう方針に改めてから、2度目のリリースとなる。しかし今年は、11月の第2火曜日が米国では「退役軍人の日」の祝日にあたることから問題が生じている。連邦コンピューターインシデンス・レスポンスセンター（FedCIRC）は、11月のパッチリリースが連邦政府のシステム管理者にとって問題となる可能性を予想し、パッチがリリースされる旨の電子メールを多くの米国政府機関に送信し、各ネットワーク管理者に注意を促していた。

　「FedCIRCは、4件のMicrosoftセキュリティ情報のリリースに関して、Microsoftと調整を行なった。セキュリティ情報は明日、2003年11月11日（退役軍人の日）にリリースされる。これらのセキュリティ情報に注意を払い、担当するインフラに与え得る影響を検討していただきたい」とメールには記されている。

　今回パッチがリリースされたなかで、おそらく最も深刻な脆弱性は、Windows Workstationサービスのメモリエラーだろう。Windows Workstationサービスは、プリンタやファイルなどのネットワークリソースへのアクセスを容易にするソフトウェアコンポーネント。この脆弱性は、攻撃者にインターネット経由でユーザーのパソコンを制御することを許してしまうものだ。その攻撃に用いられる方法は、今年8月に何十万ものコンピュータに感染した、MSBlastワームのものとほぼ同様だ。

　今回リリースされたパッチによって、攻撃者にユーザーのパソコンが乗っ取られる恐れのある、Internet Explorerの複数の脆弱性が修正される。この脆弱性はクロスドメインの脆弱性と呼ばれるもので、攻撃者が悪意のあるコードが埋め込まれたウェブサイトにユーザーを誘導して、パソコンを乗っ取ることを可能にするものだ。また、ユーザーがOutlook 98やOutlook 2000の、修正パッチを充てていないバージョンを利用している場合、電子メール経由でもパソコンが乗っ取られる恐れがある。このクロスドメインの脆弱性は、Windows Server 2003以外の全てのWindowsプラットフォーム上の、Internet Explorer 5.01、5.5、および6に影響する。Microsoftの最新の企業向けOSであるWindows Server 2003では、この欠陥の影響を制限する初期設定になっている。

　パッチのリリースをマンスリーに変更したことについては、複数のセキュリティ専門家から批判が出ている。

　「Microsoftは、管理者が楽になるようにと考えて変更を行ったのだろうが、実際には悪い連中が次の週にパッチをリリースする可能性が高まりそうだ」と、自営のセキュリティコンサルタントとして働くRichard Fornoは述べている。

　パッチリリースに関する正規のスケジュールが明らかにすることで、企業のシステム管理者はこれまでよりもしっかりとアップグレードを行うようになる一方、地下で活動するプログラマーには、ソフトウェアの欠陥を悪用するコードを、どのタイミングで集中して書けばいいかもわかってしまうと、同氏は指摘する。

　こうした理由から、パッチリリースのタイミング変更で変わるのは、結局「マイクロソフトのソフトウェアに欠陥が見つかった」というニュースがメディアに流れる回数が減ることくらいだろうと、Fornoは考えている。

　「タイミング変更は、Microsoftの名前をニュースに出さなくすることのほうに余計に役立つ程度で、同社のマーケティングにとってはいいことだろうが、セキュリティ面の改善という点ではお粗末なものだと思う」