マイクロソフトのセキュリティポリシーを考えよう

(YAHOOニュースより)

http://headlines.yahoo.co.jp/ コンピュータニュース - 12月4日(火)18時1分 

◆MS『アウトルック』を安全にする「無料パッチ」:誰も使わないのはなぜ?◆

  米マイクロソフト社の『アウトルック』を、非常に安全性の高い電子メールソフトに変身させる、無料ダウンロード可能な
 アップデート用パッチがある。しかしこのパッチは、同社のウェブサイト上で1年以上も、事実上無視されるという憂き目に
 あっている。

  最近のウイルス攻撃の多くには、電子メール以外の手段も使って感染を広めるワームが使われている。問題のパッチ『
 http://office.microsoft.com/Downloads/2000/Out2ksec.aspx アウトルック・電子メール・セキュリティー・アップ
 デート』(OESU)は、『バッドトランス・B』や『サーカム』(SirCam)など、たいていの悪意あるコードによる被害を防止、
 または大幅に減らすことができる。しかしこれは、ユーザーがこのパッチをダウンロードし、インストールすればの話だ。

  OESUは、電子メール添付ファイル――ウイルスやワームのコードはここに含まれていることが多い――の大部分の受信や
 送信をブロックする。また、アウトルックと同ソフトのアドレス帳への無許可アクセスを遮断し、悪意あるコードの伝染も阻
 止する。ウイルスやワームの多くは、感染したコンピューターのシステムファイルから選んだ電子メールアドレスへ、ひそか
 に自身の複製を送って感染を広める。

  マイクロソフト社の統計によると、OESUは2000年6月に公開されたが、このアップデート用パッチをインストールしたア
 ウトルックのユーザーは、全体の1%に満たないという。

  アウトルックは、ソフトウェア・スイート『マイクロソフト・オフィス』の中で、最も人気のあるプログラム。5月31日の
 時点で、1億4600万人がライセンス登録済みのオフィスを所有していた。マイクロソフト社によると、ライセンスなしに利用
 しているユーザーがかなりいるので、オフィスユーザーの実数は3億人以上と見積もっているという。

  これまでのところ、OESUをダウンロードしたのは、200万人程度に過ぎない。

  「このようにダウンロード数が少ないことを見ると、マイクロソフト社がOESUの存在を知らせるための宣伝活動に失敗し
 ているのは明らかだ。その上、このパッチはオフィスのウェブサイト上で見つけるのが難しく、説明も紛らわしい。よほど頭
 のいい探偵かロケット科学者でもない限り、適切なパッチファイルを見つけて、きちんとインストールするのは無理だろう」
 と、セキュリティー専門家の http://computerbytesman.com リチャード・スミス氏は述べている。

  「マイクロソフト社は、『誰でもできる、アウトルックとアウトルック・エクスプレスのウイルス対策』といったタイトル
 で、電子メールワームの侵入を阻止する方法が簡単に理解できるウェブページを本気で作る必要がある」とスミス氏は付け加
 えた。

  12名のアウトルックユーザーでテストしたところ、スミス氏の懸念が正しいことが証明された。テストを受けたグループ
 は、OESUをダウンロードしインストールするよう求められたが、12名のうち9名が、パッチのインストール中に問題が生じ
 て作業を完了できなかったと報告した。

  アップグレード用パッチをインストールするには、マイクロソフト・オフィスCDのプログラムファイルにアクセスする必要
 があるが、すぐにCDを見つけられなかったユーザーがいた。また、コンピューターにプリインストールされたオフィス・プロ
 グラムも含め、すべてのアプリケーションがそろった完全なディスクを受け取っていなかったと回答した被験者もいる。

  オフィスCDを見つけた6名の被験者は、アップグレード作業で修正パッチを当てるために必要な、特定のファイルを見つけ
 られなかったと述べた。

  OESUのインストーラーはユーザーに対して、オフィスの『data1.msi』というファイルを探すよう指示する。4名のユーザ
 ーは、自分の知るかぎり、コンピューター内にもオフィスCD内にもこのファイルはなかったと回答した。また2名は、ファイ
 ルを探す作業にうんざりして諦めたので、ファイルがあるかどうかわからなかった。

  「なぜアップデート・プログラム自身が、接続されているディスクすべてを検索して、必要なファイルを見つけ出せない
 の? なぜ、私が苦労してファイルを探さなきゃいけないの?」と、テストに参加したヘレン・ラシャペル氏は当惑顔だ。

  マイクロソフト・オフィスの製品責任者、ニコル・フォン・ケネル氏によると、『data1.msi』はすべてのオフィスCD内に
 存在しているという。しかし、ファイルを見つける際に問題が起きるのは、アップデートとパッチを施すために、OESUが
 『ウィンドウズ・インストーラー』技術を使っているせいだという。

  「ウィンドウズ・インストーラーの重要な機能の1つは、『自己修復』能力だ。この機能の助けによって、アプリケーショ
 ンが常に安定し、インストーラーが保護しているファイルが被害を受けた場合、自動的に確実に修復できるようになってい
 る」とフォン・ケネル氏は述べた。

  「インストーラーはこのため、CDやネットワークの共有ドライブといった、インストールに最初に使った供給源を使って、
 ユーザーのシステム内の過不足をチェックし検証する。しかし、CDが見つからなかったりしてオリジナルのインストール元が
 用意できないとき、インストール作業が完了できないなど、予期しない結果が生じる場合がある」

  フォン・ケネル氏は、最新バージョンのウィンドウズ・インストーラー(2.0)では、ユーザーはオリジナルのインストール元
 にアクセスしなくても、多数のアップデートをダウンロードし、インストールできると語った。
 http://www.microsoft.com/downloads/release.asp?ReleaseID=32832&area=search&ordinal=1 ウィンドウズNT
 とウィンドウズ2000、そして
  http://www.microsoft.com/downloads/release.asp?ReleaseID=32831&area=search&ordinal=1 ウィンドウズ
 95、98、Meのユーザーは、インストーラー2.0を利用できる。

  またマイクロソフト社は最近、ユーザーが簡単にソフトのアップデートを探し出してインストールできるよう、『オフィス
 製品アップデート』サイトに『 http://office.microsoft.com/ProductUpdates/default.aspx ディテクション・エンジ
 ン』を用意した。ユーザーのシステムをスキャンして、必要なセキュリティー・アップデートを探すことができるというもの
 だ。

  テスト参加者の多くはこのスキャン機能が気に入ったが、平均して10件近くのアップデートをインストールするよう推奨さ
 れて、圧倒される人もいた。インストールする前に、まず別のアップデートをしておく必要のあるアップデートも多かった。

  「なぜマイクロソフト社は、こういったものをまとめ上げて、1つの優れた、完全なパッチを作らないんだ?」と、テスト
 に参加したスティーブ・ゴーキン氏は問いかけた。

  フォン・ケネル氏は、パッチのリリース調整は「非常に難しい問題だ」と語る。

  「パッチをすぐに入手できるようにして、ユーザーのパソコンを早急に保護する必要があると私たちは感じている。しかし
 その一方で、消費者が1つにまとまった、簡単に配布できるパッチのほうを望んでいることも認識している。結果として私た
 ちは、パッチが利用できるようになった時点でリリースを行なっている。しかし、以前発表されたパッチを次回のサービスパ
 ックに組み込むこともつねにやっている」

  OESUは、非常に重要なアウトルックのセキュリティー・アップデートの多くを1つのパッケージにまとめた、「最高のパッ
 チ」になるはずだった、とフォン・ケネル氏は語った。しかしテスト参加者の大半は、スキャン機能で調べた結果、パソコン
 を完全に保護するために、アウトルックのパッチを10数個もインストールするよう推奨されたと語る。

  「まるでフルタイムの仕事のように思えてきた。運を天に任せて、アップデートするのは遠慮しておくよ」とグラフィッ
 ク・デザイナーのエド・ビンセント氏は語った。

  米シャドーロジック社の最高技術責任者で、『 http://www.oreilly.com/catalog/incidentres 事故対応』(Incident
 Response)の共著者、リチャード・フォーノ氏は次のように述べている。「マイクロソフト社製品に、まるで『日替わり』の
 ようにリリースされる最新のパッチに追い付こうとして、ユーザーは精力を使い切っている。パッチが時々出る程度なら問題
 はない。しかし2週間ごとに、ユーザーがインストールしなければならない新しいパッチや修正プログラムがリリースされ、
 同じような内容のことも多い。まさに、『永遠にパソコンの最終調整作業を続けるゲーム』とでも言えそうな状況だ」

  マイクロソフト社の『セキュリティー対応センター』のセキュリティー・プログラム責任者、クリストファー・バッド氏に
 よると、同社はアップデートやパッチへのアクセスと、ダウンロードを簡単にする方法を提供できるよう、集中的に努力して
 いるという。『ウィンドウズXP』には、自動的にパッチやアップデートをダウンロードし、インストールさせるオプションな
 ど、パッチを入手するための多くのオプションがある、とバッド氏。

  「この分野にはつねに注意を払っており、評価と、改良を施すための作業が続けられている。しかし、改良の余地はつねに
 あり、私たちは作業プロセスや製品をよりよいものするために、いつも努力している」とバッド氏は語った。

                                             [日本語版:大津哲子/湯田賢司]

 日本語版関連記事
・ http://www.hotwired.co.jp/news/news/technology/story/20011204301.html 『ドリームキャスト』ゲームでウイルスに感染
・ http://www.hotwired.co.jp/news/news/technology/story/20011204305.html 「10大脅威」リストに『コード・レッド』の名前はなし
・ http://www.hotwired.co.jp/news/news/technology/story/20011128201.html セキュリティー製品に政府用の「裏口」?
・ http://www.hotwired.co.jp/news/news/technology/story/20011127303.html 新登場のワーム、『サーカム』を上回る勢いで増殖中
・ http://www.hotwired.co.jp/news/news/technology/story/20011108301.html ブラウザーが暴走? IEセキュリティーホールの新しい罠
・ http://www.hotwired.co.jp/news/news/business/story/20011005103.html ポイントを外しているMSの新「セキュリティー対策」
・ http://www.hotwired.co.jp/news/news/technology/story/20011004304.html セキュリティー上の最大の脅威は「標準インストール」
・ http://www.hotwired.co.jp/news/news/technology/story/20010927302.html 電子メールの遅配――原因は政府の監視かウイルスか
・ http://www.hotwired.co.jp/news/news/technology/story/20010404301.html インストールできない?IEセキュリティーホールのパッチ
・ http://www.hotwired.co.jp/news/news/technology/story/20010403301.html IEセキュリティーホールのパッチに不備

                                   (WIRED)                             [12月4日18時1分更新]