Windows TIPS

［System Environment］

→ Windows TIPS TOPへ → Windows TIPS全リストへ → 内容別分類一覧へ オフラインで修正プログラムを入手・適用する → 解説をスキップして操作方法を読む デジタルアドバンテージ 2003/09/06 　 対象OS Windows 9x Windows Me Windows XP Windows 2000 Windows Server 2003

■ Blasterワームが猛威を振るった。こうしたワームの攻撃から身を守るには、最終的には攻撃の対象となるセキュリティ・ホールをふさぐしかない。 ■ これには、システムに修正プログラムを適用する必要があるのだが、そのためにWindows Updateを使うには、セキュリティ・ホールがある状態でインターネットに接続しなければならない。 ■ インターネットに接続せずに修正プログラムを適用するには、必要な修正プログラムを安全な環境でダウンロードしておき、これをCD-Rなどに書き込んで利用する。 ■ このような用途で、必要な修正プログラムを効率よく入手するには、TechNetセキュリティにある「製品別修正プログラム一覧」が便利である。

　

解説

　MS03-026（RPC インターフェイスのバッファ オーバーランによりコードが実行される）のセキュリティ・ホールを攻撃して感染を広げるBlasterワームが猛威を振るった（MS03-026の詳細はHotFix Briefingsを参照）。企業での感染被害は沈静化したようだが、脆弱なIISを狙うCodeRedやNimdaの感染パケットがいまだにインターネットからなくならないように、Blasterの感染パケットも当分はネットを流れることになるだろう。特に、新しいシステム（Windowsをインストールしたばかりで、セキュリティ・ホールが存在するシステムなど）をネットに接続するときには注意が必要である。

　山を越えたとみられる企業ユーザーとは裏腹に、今度は個人ユーザーの間でBlasterの被害が問題化している。特に深刻なのはダイヤルアップ接続でインターネットを利用しているユーザーだ。

　Blasterが攻撃するセキュリティ・ホールを修正するには、MS03-026の修正プログラムをシステムに適用しなければならない。個人ユーザーにとって、このための最も簡単な手段は、インターネットに接続してWindows Updateを利用することだろう。Windows Updateを利用すれば、システムの現在の状態を走査して、未適用の修正プログラムを一覧し、そこから必要なものを選択して適用することができる。

　Windows Updateは便利なサービスなのだが、欠点は、インターネットに接続しなければサービスを受けられないということだ。Blasterのようにインターネットから感染するワームの攻撃から身を守るためには、セキュリティ・ホールが存在する状態でインターネットに接続しなければならない。ファイアウォール機能は、Windows XP Professional／Home Edition／Windows Server 2003には用意されているが、それ以外のOSの場合は、サード・パーティ製のファイアウォール・ソフトウェアやルータなどが必要である。これらを使っていないユーザーでは、Blasterの攻撃を防ぐのは簡単ではない。運良く、感染パケットを受信することなく修正プログラムのダウンロードや適用を終えればよいが、そうでなければ、適用前に攻撃を受け、感染してしまうことになる。

　特に深刻なのは、低速なダイヤルアップ接続でインターネットを利用している個人ユーザーである（ファイアウォールやルータのパケット・フィルタによる保護なしに、ADSLモデムなどに接続しているユーザーも含む）。Blasterに感染すると、ワームが大量の感染パケットを発信し始めるため、それでなくとも低速な回線に異常な負荷がかかる。こうなると、実質的にWindows Updateは利用できない。つまり、修正プログラムを適用したくとも、その手段が失われてしまうのだ。またBlasterによる攻撃を受けると、最悪の場合、システムが再起動するが、修正プログラムのダウンロード完了前に再起動が起こると、ダウンロードが行えなくなったりする。

　このような事態を重く見たマイクロソフトは、Blaster向けの修正プログラムを収録したCD-ROMを作成し、セキュリティ関連製品ベンダなどを通して提供した（「『Blaster ワーム』緊急対策用無償CD」。詳細はマイクロソフトの解説ページを参照）。このCD-ROMを入手すれば、インターネットに接続しなくても、修正プログラムを適用することができる。

　しかし、このようなCD-ROMが提供されるのは特別な措置であって、いつでも必要な修正プログラムがCD-ROMで入手できるというわけではない。本稿では、必要に応じて、必要な修正プログラムを収録したCD-ROM（あるいはそれに代わる記録メディア）を作成して、オフラインで修正プログラムを適用する基本的な手順とコツについて説明しよう。

操作方法

「製品別修正プログラム一覧」から修正プログラムをダウンロードする

　Windows Updateは便利なサービスだが、あくまでも自分自身に未適用の修正プログラムを洗い出し、適用するためのものなので、今回のように別のコンピュータに適用するための修正プログラムを入手する方法としては効率的ではない。また修正プログラムには、対象となるOSや環境、バージョン別にさまざまなバイナリが提供されており、どれを入手すればよいかが、すぐには分かりにくい。

　今回のような目的で必要な修正プログラムを入手したければ、マイクロソフトのTechNetセキュリティ・センターの「製品別修正プログラム一覧」が便利である。

・マイクロソフトTechNetセキュリティ・センター

　上記のページを表示すると、ウィンドウの左側にコンテンツがツリー表示される。このツリーにある［セキュリティ］−［製品別修正プログラム一覧］を利用する。

TechNetセキュリティ・センターの製品別修正プログラム一覧

左側にあるツリーの［セキュリティ］−［製品別修正プログラム一覧］を表示する。ここでは、「Windows」や「Internet Explorer」などの製品別に提供されている修正プログラムを一覧表示し、ダウンロードすることができる。

修正プログラムが、製品別、適用Service Pack別に分類されている。

　ここでは、「Windows」や「Internet Explorer」、「Servers」（サーバ製品群）「Office」といった製品群別に提供されている修正プログラムが分類されている。上記画面からも分かるとおり、適用済みのService Packのレベルごとに項目が分かれている。つまり、環境別に、そこに適用すべき最新の修正プログラムの一覧がまとめられているのである。ここにまとめられている修正プログラムを順次適用していけば、Windows Updateほどではないが（理由は後述）、OSをほぼ最新の状態に保つことができる。

　後は、「製品別修正プログラム一覧」を閲覧して、対象となる環境向けに必要な修正プログラムをダウンロードする。基本的なアプローチとしては、まずは対象となる環境向けの最新のService Packをダウンロードし、このService Packの適用後に必要となる修正プログラム一式をダウンロードする。例えば、適用対象の環境が「Windows 2000 SP3」だったとすれば、最新のSPであるSP4をダウンロードし、かつ「製品別修正プログラム一覧」で「Windows 2000 SP4」の項目を選択して、SP4以降に公開された修正プログラムをダウンロードするわけだ。

修正プログラムの選択とダウンロード

基本的なアプローチは、対象環境向けの最新Service Packを入手し、そのSP以降の修正プログラムを「製品別修正プログラム一覧」からダウンロードする。なお、NECのPC-9800シリーズ用パッチは、（もし存在すれば）ウィンドウの下の方に表示されているので、PC/AT互換機用と間違えないようにすること。

環境を選択する。すると、右のペインにその環境向けに提供されている修正プログラム一覧が表示される。 　 Windows 2000 SP3向けに提供されている修正プログラム一覧。ここからプログラムをダウンロードできる。

　必要なService Packと修正プログラム一式が入手できたら、それらをCD-Rなどに書き込み、オフラインで対象となるコンピュータに適用すればよい。

製品別修正プログラム一覧を利用する場合の注意点

　この「製品別修正プログラム一覧」は、うまく使えば非常に便利なサービスであるが、いくつか気を付けなければならない点がある。

■修正プログラムのリストが常に最新であるとは限らない
　「製品別修正プログラム一覧」では、各環境別に修正プログラムの一覧リストが提供されているが、必ずしもこれが最新であるという保証はない。このページのコンテンツの更新がしばらく滞っていることも多いので、これらの修正プログラムを適用すれば、常に最新の環境になると考えてはいけない。

■OS以外の修正プログラムはバージョンに注意
　「製品別修正プログラム一覧」には、OS以外にも、Internet ExplorerやMedia Player、Office製品など、OS以外のアプリケーションに対する修正プログラムも登録されている。だがこれらを適用する場合は、対象プラットフォームやバージョンなどに注意する必要がある（対象にかかわらず、最終的な修正プログラムが同じファイル名になっているものがあるので、間違えてダウンロードしても気付きにくい）。

　以上のような注意点があるため、次のような運用方法が望ましいだろう。まずService PackとOS向け修正プログラムを使ってOSを最新の状態にし、OS以外のソフトウェアについてはWindows UpdateやOffice Updateなどを使って最新版にするのである。

1．対象OSの最新Service Packを入手する
　「製品別修正プログラム一覧」には、各OSごとのService Packへのリンクも含まれているので、それを使って、最新のService Pack（差分ではなく、全ファイル・インストール版）を入手する。

2．対象OS向けの最新の修正プログラムの一覧を入手する
　該当するOS向けの最新の修正プログラムを入手する。例えばWindows 2000ならば、SP4プラットフォーム向けとして列挙されている修正プログラムをすべて入手する。

3．SPと修正プログラムを適用後、Windows Updateで最新の状態にする
　OSに最新のService Packを当て、さらに上記の修正プログラムをすべて適用すれば、インターネットに接続しても（とりあえずは）大丈夫である（まだマイクロソフト以外のサイトには接続しないこと。Internet Explorerなどに脆弱性が残っているかもしれないからだ）。少なくとも、インターネットに接続するだけで（BlasterやCodeRedのような）ワームに感染したりするようなことはない。この状態で、今度はWindows UpdateやOffice Updateを使って、システム全体を最新の状態にすればよい。Windows UpdateやOffice Updateでは、システム内にインストールされているソフトウェアのバージョンなどを正確に調査し、それに基づいてダウンロードするプログラムを決定している。そのため、間違った修正プログラムを適用してしまうというミスは起こらない。

「Windows TIPS」

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）