自動アップデートの落とし穴
securty memo [6287]
(1) こんな人がいたという情報が入りました。
タスクトレイに現れるタイプの「Windows Update」(なんと呼ぶのが正確?)
を使い、いつも自動的にダウンロードして必ずすぐにインストールするように
心がけていたという人が、ワームに感染したというのです。その人は、Windows 2000 SP2 を使っていたようで、MS03-026の初版を見ると、
・Microsoft Windows 2000 ・PC/AT 互換機 (WU) Windows 2000 SP3 または Windows 2000 SP4 の環境にインストールするこ とができます。 とあり、SP2 だとインストールできないものだったために、自動更新ではパッ
チがあたらなかったのではないかと考えられます。現在のMS03-026では、
Windows 2000 用の修正プログラムは Windows 2000 Service Pack 2、Service Pack 3 および Service Pack 4 を実行しているコンピュータにインストール することができます。 と、SP2 にも対応と書かれています。
タスクトレイ版のWindows Updateでは、Service Packの案内が出ないのではな
いかと疑っています。だとすると、一般消費者は、タスクトレイ版Windows Updateを過信したがゆえ
に被害が拡大したということが言えるのではないかと思うのですが、どうでしょ
うか。どなたか、この話と同じ経験をされた方はいらっしゃいますか?
(2) 店頭で販売中のパソコンはつなぐと感染するのでは?
今現在、店頭で販売されている「Windowsパソコン」のプリインストール版
Windowsは、MS03-026の穴が塞がれていないのではないでしょうか。だとすると、買ってきて、常時接続でもしようものなら、即座に感染してしま
います。「接続」のファイアウォール機能は、デフォルトではオフでしたよね。パソコンメーカーはやれることがあるはずです。パッチを自動適用するCDを添
付して販売するようにするなど。そのようなものを、十分可能な対処があるにもかかわらず、なにも対処せずに、
そのまま販売し続けていて、法的責任は免れられるのでしょうか。たしか、パソコンメーカー各社のプレインストールWindowsは、OEM版で、問い
合わせをマイクロソフト社にすると、「OEM版だから、パソコンメーカーが答
えることになっています」と言われます。それはつまり、セキュリティホール
への対応責任も、パソコンメーカー各社が負っているということではありませ
んか?
高木 浩光@独立行政法人産業技術総合研究所
http://staff.aist.go.jp/takagi.hiromitsu/
確かにその通りである。いま、新しいパソコンを手に入れ適切な設定もされていないルータも使わずにインターネットにつないだならばパッチを当てている間に感染してしまうこと必定ですね。たとえば、Windows XP SP1をインストールされたパソコンに対し、MS03-026を含むすべてのパッチを適用するにはやはりそれなりの時間が必要になる。環境にもよるが10分くらいはかかるであろう。その間に感染する可能性は高いだろう。
また、自動アップデートによるパッチが更新されないという問題は是非とも解決してもらいたいことである。僕も自宅サーバに対してはこれで対処しているので(といってもたまにWindows Updateで最新の状態かどうかをチェックしているが)あまり知的でないことをされると困る。