Windows Updateの不都合な現実、再び──IE向け緊急パッチの混乱：その知識、ホントに正しい？ Windowsにまつわる都市伝説（146）

2019年9月の第4週に「Internet Explorer（IE）」の緊急レベルのセキュリティパッチがMicrosoft Updateカタログを通じてダウンロード提供され、その翌日にオプションの累積更新プログラムがWindows Updateで配布される、そして10月初めにさらに新しい累積更新プログラムが自動配布されるという、とてもユーザーを混乱させることがありました。緊急レベルのセキュリティパッチは、9月の公開時になぜにWindows Updateで自動配布されなかったのでしょうか、振り返ってみましょう。なお、IEの脆弱性問題は、10月8日（米国時間）のセキュリティ更新でも解決されています。

[山市良，テクニカルライター]

Windowsにまつわる都市伝説

品質更新プログラムのリリースサイクルについて再確認

　本連載の第115回や筆者の別連載「山市良のうぃんどうず日記」で何度も取り上げていますが、「Windows 10」と「Windows Server 2016」の品質更新プログラムのリリースサイクルについて簡単に説明します。なお、第115回に説明した「差分（Delta）パッケージ」は、2019年4月を最後に廃止されました（当初の予定は2月でしたが2カ月延長）。

• Windows Updateの不都合な現実（本連載 第115回）

　Windows 10とWindows Server 2016以降の品質更新プログラムは、「累積的な更新プログラム」であり、過去の修正に新たなセキュリティ修正やバグ修正を累積した形で提供されます。品質更新プログラムは、Windowsと.NET Framework 4.8で別々に提供されます（バージョン1803以前の.NET Framework 4.7.2以前はWindowsの累積更新に含まれる、バージョン1809の.NET Framework 4.7.2からは別の更新として提供）。より新しい累積更新プログラムがインストール済みの場合（Windowsの場合は詳細なビルド番号、14393.xの「.x」部分で判断可能）、それより古い累積更新プログラムをインストールすることはできません。

　「B」リリースとも呼ばれる毎月第2火曜日リリースの品質更新プログラムは、セキュリティ修正を含む、累積的な更新プログラムです。そして、その翌週または翌々週に新たなバグ修正のみを累積した（新たなセキュリティ修正は含まない）累積更新プログラムがオプションで提供されます。

　翌週のリリースが「C」リリース、翌々週のリリースは「D」リリースと呼ばれています。オプションとは、Windows Updateの自動更新では配布されず、「更新プログラムのチェック」をクリックすることで検出、インストールされることを示しています。いわば、翌月のBリリースで予定されているバグ修正のプレビューです。

　この累積的な更新プログラムの提供方法は、2016年10月以降、「Windows 8.1」および「Windows Server 2012 R2」以前のサポート対象OS（Windowsと.NET Framework、まれにInternet Explorer 9／10／11のそれぞれの更新プログラム）についても採用されています（Windows Server 2008は2018年11月から採用）。

　Bリリースは「セキュリティマンスリー品質ロールアップ」、CまたはDリリースは「マンスリー品質ロールアップのプレビュー」としてWindows Updateを通じて配布され、更新プログラムのプレビュー（オプション）である後者は明示的にユーザーが選択しない限りインストールされません。

　B、C、D以外に、緊急のセキュリティ修正が必要な場合や、Bリリースに重大な問題があった場合など、定例外で更新プログラムがリリース（“Out-of-Band”リリース）され、Windows Updateで自動配布されたり、「Microsoft Updateカタログ」からダウンロード提供されたりする場合があります。

ダウンロード提供のみの緊急セキュリティパッチと翌日にWindows Updateで配布されたオプション更新

　2019年9月の品質更新プログラムのリリースは、少々、ユーザーを混乱させるものでした。9月のBリリースは11日（日本では時差の関係で第2火曜日の翌水曜日）、CまたはDリリースは25日（バージョン1903のみ27日）でした。混乱の元は、Cリリース（Dリリースの週ですが、後述するようにMicrosoftは25日の更新をCリリースとしています）の前日、9月24日に定例外でリリースされた「Internet Explorer（IE）」向けの以下のセキュリティパッチです。

• CVE-2019-1367 | スクリプトエンジンのメモリ破損の脆弱性（公開日：2019/09/23、日付は米国時間）

　このIEの脆弱（ぜいじゃく）性は、最も深刻度の高い「緊急（Critical）」（既定で有効な「IEセキュリティ強化の構成」があるWindows Serverについては深刻度「警告《Moderate》」）と評価され、脆弱性の悪用についてもレベル0〜4の中で最優先に対策すべき「0 - 悪用の事実を確認済み」のものです。ゼロデイ攻撃のリスクの高い脆弱性ですが、このセキュリティパッチはMicrosoft Updateカタログからのダウンロード提供のみでリリースされました（画面1）。

画面1　IEのセキュリティパッチ（正確には9月のBリリースの内容＋セキュリティパッチ）は、Microsoft Updateカタログからのダウンロード提供のみ

　2018年12月20日に内容も深刻度も上記と同等のIEの脆弱性が公表され、セキュリティパッチが提供されたことがありました。このときは、Windows Updateで自動配布されました。2018年12月と2019年9月でセキュリティパッチの扱いが異なるのはどういうことなのか、疑問に思いました。2019年9月のセキュリティパッチがダウンロード提供のみというのを見て、最初、緊急度はそれほど高くないと思いましたが、実は最も深刻度の高いレベルの脆弱性でした。

• CVE-2018-8653 | スクリプトエンジンのメモリ破損の脆弱性（公開日：2018/12/19、日付は米国時間）

　そして、セキュリティパッチの翌日には、Cリリースの累積更新プログラムがWindows Updateのオプションで提供されました（画面2）。Windows 10 バージョン1903向けにはさらに2日遅れの27日にDリリースとして提供されました。

画面2　セキュリティパッチの翌日、Cリリースの累積更新プログラムがWindows Updateでオプション提供された。これにもIEのパッチは累積されているが、その他のバグ修正も多数含まれる

　ユーザーの中には、CリリースがIEのセキュリティパッチだと勘違いした、あるいはいまだにそう信じている人も多いと思います。Windowsの品質更新プログラムは累積的なので間違いではありませんが、その他のバグ修正（翌月のBリリースに向けたプレビュー用）も多数含むものです。

　セキュリティパッチのインストールの翌日に、また更新プログラムをインストールしたというユーザーもいるはずです（どちらも再起動を要求されます）。最小限の更新で安定運用を心掛けている、CリリースやDリリースを避けている人にとっては、余計な時間と手間を取られたということになります。

　CリリースやDリリースはあくまでも、ユーザーにとっては“翌月の修正を先行的に評価するためのもの”、Microsoftにとってはフィードバックや情報収集が目的のものです。IEの脆弱性に対策したいのであれば、ダウンロード提供のセキュリティパッチだけでよいのです。

Windows message centerでのアナウンス

　ここで、9月末時点の「Windows Release Information」の「Windows message center」ページを見てみましょう（画面3）。このページでは、更新プログラムのリリースに関するアナウンスを確認できます。

• Windows message center［英語］（Windows Release Information）

画面3　9月中旬以降のWindows message centerのアナウンス。CリリースとIEのセキュリティパッチのアナウンスが前後していることもユーザーを混乱させる原因になったかもしれない

　Microsoftの内部的な呼び名だと思うため、筆者は数年前から繰り返し解説していますが、CリリースやDリリースという表現を、最近はMicrosoft自身もためらいなく使っているように感じます。中には「9C update」（9月のCリリースの更新プログラムという意）というさらに簡素化した表現も見受けられます。

　9月中旬以降のアナウンスを見ると、9月19日（米国時間）でWindows 10 バージョン1903およびWindows Server, version 1903を除くWindows向けのCリリースが間もなく利用可能になることが予告されています。おそらくCリリースの週に公開することを目標に作業していたのでしょう。

　しかしながら、そのCリリースはDリリースの週である9月24日（米国時間）に公開されました。Cリリースとして準備していたため、DリリースではなくCリリースと呼び続けているのだと思います。Windows 10 バージョン1903およびWindows Server, version 1903向けは、もともとDリリースとして準備が進められ、26日（米国時間）にリリースされました。

　そして、Cリリースが少し遅れたのは、IE向けの緊急のセキュリティパッチを提供するためなのでしょう。ここまでIE向けの緊急のセキュリティパッチと表現してきましたが、Windowsの更新プログラムは累積更新プログラムであり、実際には9月のBリリースの内容に、IEのセキュリティパッチを新たに累積したものです。

　CまたはDリリースには、新たなセキュリティ修正は含まれないというルールがあるので、そのルールに従うためにはCまたはDリリースとは別に（先に）リリースする必要があったのだと想像します。

　まだ、IEのセキュリティパッチ（を含む累積更新プログラム）が自動配布されなかったのかという疑問が残っています。前述したように2018年12月には同種の脆弱性を解決するために、更新プログラムが定例外でWindows Updateを通じて自動配布されました。

　実は、2018年12月は、ホリデーシーズンであることを理由にCやDリリースが提供されなかったという、今回とは異なる事情があります。今回のセキュリティパッチのリリース日がCやDリリースとあまりにも近過ぎたのかもしれませんが、緊急のセキュリティ問題にどう対応すればよいのか、多くのユーザーが混乱したと思います。

　今回の緊急のセキュリティパッチが自動配布された場合、Windows Updateの自動更新に任せているユーザーには自動的にダウンロード、インストールされるので、脆弱性にすぐに対策できたでしょう。

　しかし、毎日のように「更新プログラムのチェック」をクリックするユーザーは、タイミングによっては、2つの更新プログラムが別々に検出、インストールされることになります。今回の場合、2日続けての更新と再起動ということになります。一方、今回のように緊急のセキュリティパッチが自動配布されなかった場合、自動更新に任せきりで「更新プログラムのチェック」をクリックしないユーザーには、翌月のBリリースまで脆弱性が放置されてしまいます（実際には後述するように10月初めに定例外で自動配布されました）。

　なお、「Windows 10 Enterprise 2015 LTSB」にはCまたはDリリースは提供されませんでした。そのため、緊急のセキュリティパッチをダウンロードしてインストールするか、後述する回避策で対応しない限り、しばらく脆弱性が放置されることになります。

累積更新プログラムの“累積”とは？　セキュリティパッチの実サイズは数MB