HotFix Briefings特別編

HotFix管理の勘所

―― 効率的なHotFix管理を実施するための知識とテクニック ――

第1回 日常的情報収集のススメ

デジタルアドバンテージ
2003/08/29

 2003年8月中旬、Blasterワーム(別名:MSブラスト・ワーム)が猛威を振い、世界中のインターネットやイントラネットに大きなダメージを与えた。企業や自治体の一部にも、Blasterワームに感染して、業務が一時的に止まってしまったところがあったようだ。その後、対策が進んだためか、感染被害は沈静化したが、それでも感染パケットは当分の間インターネットを流れることになるだろう。Blasterワームを改変した亜種も次々と生まれているので、当分の間は注意が必要である。

 Blasterは、マイクロソフトが2003年7月17日に情報を公開したRPCインターフェイスのセキュリティ・ホールを攻撃して感染を広げるワームである。セキュリティ・ホールをふさぐための修正プログラム(TechNetセキュリティ情報:MS03-026)も情報公開と同時に提供が開始されている。感染の原因となったセキュリティ・ホールは、被害が拡大する1カ月前に報告されたものであり、修正プログラムも提供されていた。この修正プログラムを正しく適用していれば、感染することはなかったはずだ。つまり今回のワームに感染したコンピュータは、発見・告知から1カ月近くも経つのに、セキュリティ・ホールが放置されてきたコンピュータということになる。

 いまや修正プログラムの適用・管理(ホットフィックス・マネジメント)は、情報システムの維持管理の上で重要な項目となっている。にもかかわらず、Blasterワームの流行でも分かるように、管理を行っていない企業や自治体が多いのが実状である。Blasterワームによる国内での被害は軽微との報道もあったようだが、感染を公にせずに手早く処置と対策を加えた企業も相当数存在するものと想像される。

 しかし、これを「管理者の怠惰」として簡単に片付けることはできない。セキュリティ・ホールの存在が気になっていても、多数のクライアント・コンピュータに対し、確実に修正プログラムを適用するのは容易なことではないからだ。また修正プログラムの適用によって、システムが起動しなくなったり、性能が著しく低下したり、これまで正しく使えていたのものが使えなくなったりという副作用が報告されることも珍しくない。マイクロソフトは「修正プログラム適用のリスクと、セキュリティ・ホール放置のリスクを天秤にかけ、適用の是非を判断すべし」とアナウンスしているようだが、現場の管理者は、リスクを評価するための具体的な方策もないままに、業務を止められない(動いているものは触りたくない)というプレッシャーと、セキュリティ・ホール攻撃の恐怖の板ばさみにあっている。

 副作用と一言でいっても、原因や症状はさまざまである。このうち最も厄介なのは、特定のデバイス・ドライバやアプリケーションとの組み合わせで発生するようなトラブルである。例えば記憶に新しいところでは、あるウイルス対策ソフトウェアをインストールした環境で「TechNetセキュリティ情報:MS03-013(Windows カーネル メッセージ処理のバッファ オーバーランにより、権限が昇格する)」の修正プログラムの適用したら、Windows XPの動作が遅くなった、という例があった。このように原因が汎用プログラムとの組み合わせにあるのなら、インターネットなどから情報を入手できる可能性も高いが、原因が独自の業務アプリケーションの場合では、頼りにできる当てもない。

 修正プログラムの適用によって致命的な障害が発生したら、原因究明と復旧作業が始まる。多くの場合、この作業は困難を極める。引き金となった修正プログラムのアンインストール、レジストリのクリーンアップ、デバイス・ドライバの再インストール、アプリケーションの再インストール、場合によっては(アンインストール不可能な修正プログラムの場合)OSの再インストールや環境再構築の必要に迫られるかもしれない。

 残念ながら、ホットフィックス・マネジメントに王道はない。結論をいえば、臨機応変に、試行錯誤を繰り返すしかない。しかし、情報収集と事前の修正プログラムの検証など、いくつかのポイントを踏まえれば、多少なりとも作業を効率化することはできる。

 そこで本連載では、主にホットフィックス・マネジメントを効率的に行うポイントについて解説していく。ホットフィックス・マネジメントは、大きく次の4つのステージに分けられる。

  1. 情報収集
  2. 修正プログラムの評価
  3. 修正プログラムの適用
  4. セキュリティ・リテラシーの教育

 連載では、ステージごとにポイントを解説し、続いてホットフィックス・マネジメントの効率を向上させるツールなどを紹介する予定だ。第1回目である今回は、「情報収集」を取り上げることにしよう。

ホットフィックス・マネジメントのフロー
情報収集に始まり、修正プログラムの適用までのフローを示した。場合によっては、情報収集に戻る必要がある。それぞれのステージでポイントを踏まえれば、作業の効率アップが図れるはずだ。

日々の情報収集が重要

 BlasterワームやW32.Sobig.Fワームの流行でも分かるように、ワームやウイルスはたいてい予告なく登場する。しかし、毎日情報収集を行うことで、早期に修正プログラムを適用したり、ワームやウイルスの登場をある程度予測したりすることで、危険の回避や軽減ができるものである。逆に情報収集を怠ると、テレビや新聞のニュースで取り上げられるほど大きな被害が発生してから、対策を検討しなければならなくなる。当然、この時点では、対策をしていないコンピュータがワームやウイルスに感染していてもおかしくない。こうなると、さらなる感染を防止するためにネットワークを遮断するなど、極めて制限された状況で調査と対策に追われることになる。つまり問題が表面化してからあわてて対処するのではなく、日ごろから対策を行っておく必要がある。これには日常的に情報収集を行い、ホットフィックス・マネジメントをルーチン・ワークとして位置付けることが重要だ。

 主にWindowsシステムに関するセキュリティ情報源には、次のようなサイトやメーリング・リストなどがある(情報量や即時性など考えると、インターネットや電子メール以外の情報リソースは重要度が低いので、ここでは取り上げない)。

■マイクロソフト TechNetセキュリティ・センター
 まず、マイクロソフトのTechNetセキュリティ・センターは最低限チェックしておきたい(URLは最後にまとめて紹介する)。修正プログラムが提供される場合は、ここに「MS03-033」といった番号が付けられて情報が登録されるからだ。その情報をよく読み、対象となるプラットフォームやセキュリティ・ホールの概要などから、修正プログラムの適用計画を練る。

 時間に余裕があるならば、英語版のTechNet Securityも同時にチェックしておきたい。新規の修正プログラムは、英語版のTechNet Securityに情報が登録されるのと同時に日本語版も含めて提供が開始される(この時点では、日本語の情報ページは準備されていない)。従って英語版をチェックすることで、いち早く修正プログラム情報を入手できる。毎日、TechNetセキュリティ・センターをチェックしていると、修正プログラムの提供が木曜日に集中していることが分かる。英語版のTechNet Securityに情報が登録されるのが、日本時間の木曜日の午前2時から5時ごろ、日本語版の登録が12時(正午)前後というケースが多いようだ。ただし、これはあくまで経験則なので、異なる場合もある(例えばMS03-007の修正プログラムは、2003年3月18日火曜日に提供が始まった)。例えば木曜日は、日ごろチェックしている日本語版に加えて、英語版もチェックをするとか、1日に数回チェックするなどとして、情報収集作業を強化するとよいだろう。

 また、セキュリティ情報は毎日のように変更されたり、追加されたりするので、TechNetセキュリティ・センターのセキュリティ情報一覧で、更新された項目を調べるようにしよう。当初は修正プログラムの対象となっていなかった環境にも、セキュリティ・ホールが存在していたことが判明し、修正プログラムが追加されるなどといった重大な更新もあるからだ。

■マイクロソフト プロダクト セキュリティ 警告サービス 日本語版
 新規の修正プログラムが提供開始となった場合に、登録者に対して電子メールで情報を知らせるのが「マイクロソフト プロダクト セキュリティ 警告サービス 日本語版」というサービスである。1日に何度もTechNetセキュリティ・センターをチェックできない人は、情報が登録された時点でメールが送られてくるので便利だろう。

■コンピュータ関連Webメディア
 日経BPのIT ProやインプレスのInternet Watch、ソフトバンク・ジーディーネットのZDNetなどのニュース・サイトでは、修正プログラムに関するニュースも取り上げられているので、こうしたサイトのうち1つは読んでおいた方がいい。

■適用後の副作用情報などを収集できるメーリング・リスト
 新規のセキュリティ・ホールに関する修正プログラム情報だけならば、この程度の情報収集でも十分だ。しかし管理者として気になるのは、修正プログラムを適用した後に発生する副作用だろう。影響度の大きなもので、マイクロソフトが確認したものについては、サポート技術情報として登録される場合もある。しかしこれはタイミングとしてはかなり後になってからで、一刻を争う修正プログラムの評価には使えない場合が多い。

 このような目的では、管理者の声が聞けるメーリング・リストやBBSなどが有用である。セキュリティ関連のメーリング・リストでは、英語となってしまうがSecurityFocusが運営する「Bugtraq」とTruSecureが運営する「NTBugtraq」を購読したい。BugtraqとNTBugtraqは、メーリング・リストの内容をアーカイブしたWebページも用意しているので、そのページをこまめにチェックするのもいいだろう。どちらも、修正プログラム適用後の障害や新規のセキュリティ・ホール、セキュリティ・ホールの実証コード(エクスプロイト・コード)などについての情報が豊富である。この2つのメーリング・リストは、モデレータ(編集者)が投稿内容を厳選しているので、情報が整理されているのが特徴だ。英語が苦手な人は、龍谷大学の小島肇氏が運営している「セキュリティホール memo」が参考になるだろう。日本語でやり取りできるので、議論にも参加しやすいだろう。

■ウイルス対策ソフトウェア・ベンダ各社のセキュリティ情報ページ
 ワームやウイルスに関しては、ウイルス対策ソフトウェア・ベンダ各社のセキュリティ情報ページが参考になる。日々、新しいワームやウイルスが登場しているので、これらのページもなるべく毎日チェックするようにしたい。無料のメール情報サービスを提供しているベンダもあるので、これも利用するのもよい。

■セキュリティ以外の不具合情報
 セキュリティ以外の不具合などの情報は、マイクロソフトの「トラブル・メンテナンス速報」ならびに「新着サポート技術情報」でチェックできる。サポート技術情報には、明らかになった不具合やその修正プログラムに関する情報から、ユーティリティ類の使い方なども公開されている。セキュリティ・ホールの修正プログラムによって引き起こされる不具合についても、サポート技術情報で公開されることが多い。特にセキュリティ・ホールの修正プログラムが提供された後は、こまめにチェックしたい。

 これだけのサイトを1人でチェックするには、最低でも1日1時間は必要になる。時間を短縮するため、Webの巡回ソフトウェアや更新チェック・ソフトウェアを利用するとよい。また、何人かで手分けしてチェックするようにすれば、1人当たりのチェック時間を短くできる。最初のうちは、コツがつかめず時間がかかるかもしれないが、1カ月もチェックしていると各ページで見るべきところが分かってくるものだ。各サイトの更新時間なども感覚で分かるようになるので、効率も向上できるだろう。主なセキュリティ関連の情報が得られるサイトについて表にまとめたので参考にしていただきたい。次回は、修正プログラムの評価の仕方について解説する。End of Article

サイト名 URL 備考
マイクロソフト関連 
マイクロソフト TechNetセキュリティ センター http://www.microsoft.com/japan/
technet/security/default.asp
新規の修正プログラムの登録は木曜日の12時前後が多い
マイクロソフト TechNet Security(英語) http://www.microsoft.com/technet/
security/default.asp
新規の修正プログラムの登録は木曜日の4時ごろ(日本時間)が多い
マイクロソフト トラブル・メンテナンス速報 http://support.microsoft.com/default.aspx?
scid=/isapi/gomscom.asp?target=/
japan/support/sokuho/
障害発生やサポートの中止などの情報が掲載される
マイクロソフト 新着サポート技術情報 http://support.microsoft.com/default.aspx?
scid=/isapi/gomscom.asp?target=/
japan/support/kb/default.asp
不具合やユーティリティの使い方などの情報が掲載される
メーリング・リストのアーカイブ
Bugtraqアーカイブ http://www.securityfocus.com/archive/1 新規のセキュリティ・ホールやエクスプロイト・コードなどの情報がやり取りされている
NTBugtraqアーカイブ http://ntbugtraq.ntadvice.com/ 新規のセキュリティ・ホールやエクスプロイト・コードなどの情報がやり取りされている
ニュース・サイト
Internet Watch http://internet.watch.impress.co.jp/ インプレスのインターネット関連のニュース・サイト
ZDNet セキュリティ http://www.zdnet.co.jp/enterprise/security/ ソフトバンク・ジーディーネットのセキュリティ関連のニュースをまとめたコーナー
IT Pro セキュリティ http://itpro.nikkeibp.co.jp/members/security/ 日経BPのIT Proのセキュリティ関連の記事をまとめたコーナー
NetSecurity https://www.netsecurity.ne.jp/ バガボンドのセキュリティ専門の情報サイト
CERT関連 
CERT/CC Advisories http://www.cert.org/advisories/ Windowsプラットフォームに限らないセキュリティ情報が登録されている
CERT Advisory(翻訳版) http://www.lac.co.jp/security/
intelligence/CERT/index.html
CERTに登録されたセキュリティ・ホールに関する情報の翻訳版
JPCERT/CC Vendor Status Notes http://jvn.doi.ics.keio.ac.jp/ CERTに登録されたセキュリティ・ホールに関する情報の日本国内ベンダ対応版
IPA 脆弱性関連情報 http://www.ipa.go.jp/security/
news/news.html
情報処理振興事業協会のセキュリティ・ホールのリスト
メール情報サービス
マイクロソフト プロダクト セキュリティ 警告サービス 日本語版 http://www.microsoft.com/japan/
technet/security/bulletin/notify.asp
TechNetセキュリティ情報をメールで提供するサービス
HotFix Report http://www.hotfix.jp/ 弊社が情報提供を行っているWindowsプラットフォーム向け情報メール・サービス
Scan Security Wire http://www.vagabond.co.jp/top/
mail/index.html
バガボンドが提供するセキュリティ・メールマガジン
iDEFENSE iALERT http://www.idefense.co.jp/service/
ialert/outline.html
アイ・ディフェンス・ジャパンが提供するセキュリティ情報サービス
メーリング・リスト
セキュリティホールmemoメーリング・リスト http://memo.st.ryukoku.ac.jp/ 龍谷大学の小島氏が運営するセキュリティホールmemoのメーリング・リスト
Bugtraqメーリング・リスト http://www.securityfocus.com/archive SecurityFocusが運営するメーリング・リスト
NTBugtraqメーリング・リスト http://www.ntbugtraq.com/ TruSecureが運営するメーリング・リスト(Quick LinksのSubscribeで登録)
ワーム・ウイルス情報
シマンテック http://www.symantec.com/region/jp/sarcj/ シマンテックのウイルス・ワームに関する情報ページ
トレンドマイクロ http://www.trendmicro.co.jp/vinfo/ トレンドマイクロのウイルス・ワームに関する情報ページ
ネットワークアソシエイツ http://www.nai.com/japan/security/ ネットワークアソシエイツ(McAFEE)のウイルス・ワームに関する情報ページ
 
 
 
 Windows HotFix Briefings


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間