情報

Windows最新Hotfixリスト

―― Windowsを最新状態にするための情報と手順 ――

大石晃裕+デジタルアドバンテージ
2002/04/27

 セキュリティ・ホールバグを修正するためのモジュールが連日のように更新されている。理想的には、これらに適宜対応したいところだが、現実には時間的な余裕がなかったり、システムを停止するのが困難だったりして、なかなかタイムリーな対応はできないものだろう。それならば、長期休暇であるゴールデンウィークを利用して、Windowsを最新環境に整備してはどうだろうか。また長期休暇中は、システムの異変に気付きにくいため、クラッキングの被害を未然に防止しにくいということもある。

 以下では、Windows 2000 Professional、Windows 2000 Server、Windows XP Professionalの各OSについて、原稿執筆時点(2002年4月25日)で提供されているService PackやSecurity Rollup Package(いくつかのHotfixをまとめた、総括的なパッチ集)、Windows Update、Hotfixに関する最新の状態をまとめたものだ。これらの情報に従って更新作業を行えば、システムを最新にすることができる。

[注意]

このページでは、Windowsシステム対してセキュリティ・パッチを適用するための方法について解説します。ただしパッチ情報は随時更新されるため、本ページの内容も定期的に更新されます。あらかじめご了承ください。

Windowsのセキュリティ・パッチの適用方法

 Windowsシステムに対する修正プログラムは、HotfixやSecurity Rollup Package、Service Packのほか、単独のモジュール(例:IE 5.5やIE 6.0の完全なインストール・イメージなど)としても用意されている。セキュリティ上の脆弱性を取り除いてシステムを安全な状態にするには、これらを順次適用する必要があるが、発行される各種のセキュリティ・パッチの数は多く、どれを適用すべきかを決めるのは簡単ではないし、さらに依存関係なども考慮しなければならない(適用する順番によっては正しく動作しなくなる)。

 このようなパッチの適用作業を、一度で簡単に、かつ確実に済ませる方法があればよいのだが、セキュリティ・パッチは次々と発表されるため(現在のところ、1週間に1つずつぐらいのペースであろうか)、なかなかそうもいかない。だがそれに近い方法として、次のような方法がある。

  1. Windows Updateを使って、そこに表示されているパッチなどをすべて適用する。
  2. HFNetChkツールを使って、未適用のパッチを調べ、必要ならばそれを適用する。
  3. セキュリティ情報を検索して、HFNetChkツールのデータベース(stksecure.xmlというXMLファイル)の公開以降に発表されているパッチを調べ、必要ならばそれを適用する。

 簡単にまとめると、まずWindows Updateで必要なパッチ類をすべて適用し、さらにより新しいパッチがあれば、それを適用する、ということである。Windows Updateでは、修正プログラム(Hotfix)だけでなく、Service PackやSecurity Rollup Package、最新のIEパッケージ(IE 6.0)などもすべて列挙されている。そのため、まずはWindows Updateを使ってシステムを最新の状態にしておくと(何度かシステムの再起動が必要になる)、あとはWindows Updateには未収録の新しいパッチ類を適用するだけでよい。これらの未収録のパッチも、いずれはWindows Updateによってインストールできるようになるが、それまでの間は、手動で管理者がインストールする必要がある。

 以前は、最新のセキュリティ・パッチがセキュリティ情報ページで提供されてから、1週間とか、場合によってはそれ以上経ってからWindows Updateに収録されていた。これは、セキュリティ・パッチは十分なテストなしに、速報性を重視して提供されているが、ある程度の総括的なテストが終了してからWindows Updateに収録されるためである。そのためセキュリティ・パッチの内容があとで変更・更新されることもある。しかし最近では1週間もすればWindows Updateを使ってインストールできるようになっているようなので、まずはWindows Updateをできる限り活用した方が簡単である。依存関係のある場合でも、何段階かに分けてインストールをするようになっているので(必要ならシステムの再起動を促し、次回のWindows Updateで残りの作業を続行する)、面倒な依存関係をあまり考えなくてもよい(実際には手作業で設定を変更したりする場合もあるので、完全に自動で済ませるというわけにはいかないが)。

 手順の2.にあるHFNetChkツールとは、「TIPS――セキュリティ・パッチの適用状態を調べる――HFNetChkツールの使用法」でも紹介したように、各種の修正プログラムがすでに適用されているかどうかを確認するためのものである。これを実行すると、システムに「まだ適用されていない」修正プログラムを検出して、それを報告してくれる。このツールでは、XML形式で記述されたデータベース(stksecure.xmlファイル)を参照してパッチの必要性を調査しているが、このデータベースの更新頻度もあまり高くない(月に1、2回程度。更新データベースの確認とダウンロードはこちら)。

セキュリティ・パッチの適応方法

 それでは実際にセキュリティ・パッチを適用してみよう。ここでは例として、Windows 2000 Professional、Windows 2000 Server、Windows XP Professionalの3つのシステムを取り上げ、これらに最新のパッチを適用する手順についてまとめてみる。ベースとなるシステムは、それぞれのOSを新規インストールしたばかりの状態である(Windows 2000 ServerはIISも導入している)。またIEはすべてIE 6.0を導入している。

 2000年4月25日現在、マイクロソフトから提供されている最新のセキュリティ情報(セキュリティ情報一覧のページはこちら)は、「MS02-20」である。ただしこれはSQL Server用であり、IIS用まで含めた最新のものは「Internet Information Services 用の累積的な修正プログラム (Q319733) (MS02-018)」となる。

手順1:Windows Updateの適用

 まずはWindows Updateを実行して、システムに最新の修正プログラムを導入してみる。Windows Updateでは、セキュリティ・パッチだけでなく、Service PackやIEなども導入することができるので、これだけでシステムを最新に近い状態にすることができる。ただしこれらはサイズが大きいのでネットワークに負荷がかかる(Windows UpdateでアクセスされるプログラムはProxyサーバなどでキャッシングされない。常に最新のモジュールをダウンロードさせるためであろう)。従って最初にまとめてダウンロードしてローカルのネットワークなどに格納しておき、そこから導入するのがよいだろう。

 以下は、今回取り上げた3つのシステムでWindows Updateを行った例である。Windows Updateでは、導入するモジュールをユーザーが選択することができるが、セキュリティ・パッチについては「重要な更新」としてまとめられている。このほかにもセキュリティ関連のパッチがいくつかあるので、これについては手動で選択する必要がある。

Windows 2000 Professional
サービスパックなど
 Service Pack 2、Internet Explorer 6.0、Security Rollup Package 1
重要な更新
 MS02-017:Q311967
 MS02-015:Q319182
 MS02-013:JP300845
 MS02-012:Q313450
 MS02-009:JP318089
 MS02-008:Q318202、Q318203、Q317244
 MS02-006:Q314147
 MS01-056:JP308567
そのほか
 COM+ロールアップパッケージ18.1
 Windows重要な更新の通知3.0
 MSN Messenger4.6、Windows Media Player 7.1、DirectX8.1
Windows 2000 Server
サービスパックなど
 Service Pack 2、Internet Explorer 6.0、Security Rollup Package 1
重要な更新
 MS02-018:Q319733
 MS02-017:Q311967
 MS02-015:Q319182
 MS02-013:JP300845
 MS02-012:Q313450
 MS02-009:JP318089
 MS02-008:Q318202、Q318203、Q317244
 MS02-006:Q314147
 MS01-056:JP308567
セキュリティ問題の修正プログラム
 Q318593:セキュリティ問題の修正プログラム(Windows 2000ドメイン コントローラ)
そのほか
 COM+ロールアップ パッケージ 18.1
 Windows重要な更新の通知 3.0
Windows XP Professional
重要な更新
 MS02-017:Q311967
 MS02-015:Q319182
 MS02-008:Q318202、Q318203、Q317244
 MS02-006:Q314147
 MS01-059:P315056
 JP320174:CD書き込み時の問題
 Q313484:アプリケーション互換性問題の修正プログラム
 Q317277:システム回復のエラーメッセージが表示される問題の修正プログラム
 JP315403:IDE ドライブでボリュームをマウントすると Stop 0xED が発生する」問題の修正プログラム
 JP314862:「バックグラウンド インテリジェント転送サービスへの修正プログラム」に関連する問題の修正プログラム
 JP311889:リモート アシスタンスの接続
 Windows XP アップデート パッケージ
推奨する更新
 Microsoft Virtual Machine
 Q310510, JP310510:「白雪姫の DVD 再生時に、再生およびコピー防止の問題が発生する」問題
 JP311542:スタンバイからの復帰に関する問題の修正プログラム
 Q318388:キーボードのレイアウトに関する修正プログラム
 JP316397:Windows Messenger のオーディオに関連するアップデート
 Q310437:UPS を接続するとコンピュータが停止する問題
そのほか
 ユーザー移行ツール ([ファイルと設定の転送] ウィザード)
 複数のネットワーク カードとファイアウォールを併用している環境でのリモート アシスタンス
 Windows ムービー メーカー v1.2
Windows Updateによる更新モジュール
Windows Updateを使えば、上記のような更新モジュールが組み込まれて、簡単にシステムをほぼ最新の状態に設定できるので、最初はこれを使って修正プログラムなどを適用する。ここでは、Windows 2000 Professional、Windows 2000 Server、Windows XP Professionalシステムを対象にWindows Updateを実行してみた(Windows 2000 ServerにはIISも導入し、IEはすべてIE 6.0にしている)。これは2002年04月25日時点での更新モジュールの状態。ただし一度にすべてを適用することはできず、途中で何度かシステムを再起動する必要がある。ここでMS02-XXX、JPXXXXXX、QXXXXXXは、それぞれセキュリティ情報、日本語のサポート技術情報(英語のKnowledge Baseに相当する)、英語のKowledge Baseを識別するための番号である。

手順2:HFNetChkによるチェック

 Windows Updateによる更新が完了すれば、次は、さらに最新のモジュールがないかどうかをHFNetChkツールで調べる。

 HFNetChkツールを使うには、最新のXMLデータベース(システムに適用すべきパッチの一覧が記録されたXML形式のデータベース・ファイル)を入手して、HFNetChkツールに渡す必要がある。データベースの一覧はここにあるので、最新のものを入手しておく。そして「hfnetchk.exe -x stksecure.xml」として、XMLファイルを引数にして実行すれば、どのパッチが必要かが表示される。以下にその実行結果を示しておく。

Windows 2000 Professional
MS02-014
Windows 2000 Server
MS02-012MS02-014
Windows XP Professional
MS02-009
HFNetChkツールによる検査結果
HFNetChkツールを使うと、システムに「まだ適用されていない」セキュリティ・パッチの一覧が表示される。これは2002年04月25日現在のXMLデータベースを使ってツールを実行した結果、「Patch NOT Found」と表示されたものの一覧。システムに導入しているサービス(IISなど)の違いにより、これとは異なる結果が得られることがあるし、導入していないサービスに関するものが表示されることもあるので、それは除外する。

手順3:手動によるパッチの適用

 ここでは、以上の結果を元にして、必要なパッチを決めそれを適用する。例えばWindows 2000 Professionalシステムならば、「MS02-014」の情報を調べ、そこで示されている手順に従ってパッチを導入したり、設定を変更したりする。またXMLデータベースの更新日付と、最新のセキュリティ情報のページの更新日付などを比べて、さらに新しいパッチが用意されていないかどうかを調べ、該当するものがあれば、それを適用する。本来ならば、今回表示されたものはWindows Updateでサポートされているべきパッチであるが(いずれも2002年2、3月に報告されている脆弱性)、Windows Updateシステムの問題のためか(実際にはサービスがインストールされていないのに、間違って検出していたりする)、重要な更新や推奨する更新として列挙されていない。このような例があるので、Windows Updateだけでなく、HFNetChkも使って検査し、そこで表示されるセキュリティ情報について確認をする必要がある。このあたりはケース・バイ・ケースで対応していただきたい(XMLデータベース・ファイルの内容の間違いなどで、正しく適用しても警告メッセージが表示される場合がある)。

 2002年04月25日の時点では、XMLデータベースの日付よりも、セキュリティ情報の更新日付の方が新しいので、MS02-019(Macintosh版Office用パッチ)やMS02-020(SQL Server用パッチ)については手動で確認する必要がある。だが、いずれも今回の例として取り上げたシステムとは関係ないので、適用する必要はない。

最後に

 今回試した結果では、Windows Updateだけでほとんどのセキュリティ・パッチを適用することが可能であった。以前は、もっと多くのパッチを手作業で適用しなければならなかったが、Security Rollup Packageという総括的なパッチ・モジュールが用意されたことや、セキュリティ・パッチがWindows Updateに収録されるまでの期間が短縮化されたことにより(1、2週間以内には収録されているようである)、Windows Updateを使うだけでも、多くのパッチを適用できるようになっている。

 そのため、イントラネットで使うだけで、あまりインターネットへ接続することのないユーザーのシステムならば、週に1、2回程度Windows Updateへ接続して、システムを更新するだけでもほぼ最新のパッチを適用することができるだろう。ただしWebブラウザの脆弱性の場合は、これでは間にあわないかもしれないので、ほかの手段も考えるべきだろう(例:常に最新のセキュリティ情報をチェックするとか、ウイルス・チェック・ソフトウェアなどと併用する、危険なサイトへの接続はファイアウォールでブロックするなど)。

 インターネットに直接接続して使用するようなシステム(特にサーバ・システム)では、Windows Updateでは明らかに不十分だ。テスト結果ではWindows Updateをすべて適用したあとにも、適用されていないHotfixが見つかっている。また、Windows Updateにアップロードされるまでの期間も問題となる。どの程度までなら許容できるかは、ユーザーの利用法によって決まる。基本的には毎日セキュリティ情報をチェックしておき、該当するものがあればすぐに(当日中に)適用する、というぐらいの方針が必要だろう。End of Article

更新履歴
【2002/04/27】表「Windows Updateによる更新モジュール」において、当初はIEのバージョンを「Internet Explorer 5.0」と表記しておりましたが、これは「Internet Explorer 6.0」の間違いでした。お詫びして訂正いたします。
 

Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間