Windows XP の 「ヘルプとサポート センター」 の脆弱性に関する情報

  • [アーティクル]

Windows XP Service Pack 1 で修正された Windows XP のセキュリティ上の脆弱性は、よく取り上げられる議論のテーマとなっています。お客様に現在の状況を理解していただく手助けをするために、マイクロソフトはこの脆弱性、およびこの脆弱性による危険性、そしてマイクロソフトが多くのお客様の安全を確保する最も効果的な方法を決定すべく行っている努力に関する明確な最新情報を提供します。

この脆弱性は Windows XP の 「ヘルプとサポート センター」 に存在する問題に関連しています。具体的には、お客様が新しいハードウェアのための適切なデバイスを見つける手助けをする機能に問題が存在します。マイクロソフト セキュリティ レスポンス センターにこの問題が報告され、我々はその問題の発見者と協力し、調査を行いました。この脆弱性が影響を及ぼす範囲について、発見者とマイクロソフトは、一致した見解を得ました。この脆弱性により、攻撃者によってユーザーのシステム上のファイルが削除される可能性があります。攻撃者はこの脆弱性を Web サイトまたは HTML 形式の電子メールを介して悪用する可能性があります。しかし、攻撃者はこの脆弱性を使用して、攻撃者の Web サイトをユーザーに強制的に訪問させることはできません。同様に、Outlook 2002、Outlook Express 6 を実行しているユーザーおよび Outlook 98 または 2000 に Outlook 電子メール セキュリティ アップデートをインストールしているユーザーは電子メールによる攻撃を受けません。

初期の段階で、我々は Windows XP Service Pack 1 により、この修正を提供することが最善の方法であるとの結論に達しました。これは、セキュリティ上の修正を提供する手段として修正プログラムではなく、サービスパックを選択するという、我々の長期にわたる信念に基づいています。 以前に説明したように、修正プログラムと比較して、サービスパックには 3 つの明確な利点があります。

  • サービスパックは多くのバグに対する修正を含んでいます。 たとえば、Windows XP Service Pack 1 は Windows XP 用に以前にリリースされたすべてのセセキュリティ上の修正プログラムを含むばかりでなく、最近の Windows Security Push 期間中に、マイクロソフトが確認した多くのセキュリティ問題に対する修正も含んでいます。
  • サービスパックは、より綿密にテストされています。 修正プログラムは戦術上の対応であり、そのタイムリーさが修正プログラム開発時において最優先の考慮点です。これに対しサービスパックについては、さらに広範囲に渡るテストを行うことができ、このため、品質はさらに高いものとなります。
  • サービスパックはセキュリティ修正プログラムよりも多くの修正プログラムを含んでいます。 Windows XP Service Pack 1 リリース後の 2 日間で、100 万にもおよぶこのサービスパックのコピーがお客様によりダウンロードされました。また、その修正プログラムの包括率も比較的増大しています。現在まで、サービスパックの修正プログラム包括率に匹敵するセキュリティ修正プログラムはありません。

しかし、お客様の情報を安全に保つというマイクロソフトの進行中のコミットメントの一部として、我々はお客様からのフィードバックに注意深く耳を傾け、マイクロソフトとお客様の双方のセキュリティ レスポンスのプロセスを向上させる好機を求めています。今回、使用中のシステムをこの脆弱性から保護するために、Windows XP Service Pack 1 を完全にテストし、展開する充分な時間が持てないというお客様からの意見がありました。したがって、この問題に関する、意識の高まりとお客様の懸念をふまえ、マイクロソフトは、Windows XP Service Pack 1 のテストと展開にさらに時間を必要としているお客様のために、この脆弱性に対する独立した修正プログラムをリリースするよう取り組んでいます。マイクロソフトがこの問題を隠そうとしていたと言われていますが、これは事実と異なります。Windows XP Service Pack 1 の修正リストのセキュリティ セクションに含まれている、マイクロソフト サポート技術情報 JP328940では、この脆弱性の説明をしています。

最後に、マイクロソフトは回避策の手順を公開すべきであったとの批評家からの意見もあります。具体的には、あるサード パーティの批評家により、お客様に当面の処置として 「ヘルプとサポート センター」 のファイルの 1 つを削除することが推奨されています。しかし、これは効果的な回避策ではありません。マイクロソフトは報告された特定の脆弱性を調査しただけではありません。マイクロソフトの通常の手順にしたがって、我々は関わりのある問題に関連する特徴や機能もチェックし、いくつかの問題を確認しました。これらのそのほかの脆弱性もまた、修正されたソフトウェアをインストールすることによってのみ、改善することができます。

Windows XP Service Pack 1は綿密にテストされたリリースであり、セキュリティに関連するものも含む数多くのバグを修正します。マイクロソフトはお客様にこのサービスパックを早期にインストールし、お客様のシステムが充分にセキュリティで保護されている状態にすることを推奨します。

**追記:**2002 年 10 月 17日、マイクロソフトは この問題に対する修正プログラムをリリースいたしました。修正プログラムは、セキュリティ情報 「MS02-060: Windows XP 「ヘルプとサポート センター」 の問題によりファイルが削除される (Q328940)」 からダウンロードすることができます。詳しくは次のセキュリティ情報を参照ください。