TOPE-NEWS平成16年10月1日号

情報化支援アドバイザーの独り言…



「Windws XP SP2の全貌」 第1回


 9月2日、マイクロソフトからWindows XPの最新サービス・パック「Windows XP Service Pack 2 セキュリティ強化機能搭載」(以下 XP SP2)が公開されました。この名前がしめすように、このサービス・パックは単なる修正パッチの集合ではありません。セキュリティに関して大幅な改善が実施されています。
 その中で代表的なものが、パーソナル・ファイアウオールです。「Windowsファイアウオール」がデフォルトで動作するようになっています。多くのユーザーが使うInternet ExplorerやOutlook Expressの動作は大きく変化する。新機能の「データ実行防止機能」では、悪名高いバッファ・オーバーフローも防止できるようになっています。
 これらの変更で、Windows XPはどのくらい『安全』になるのだろう!?また、大幅な仕様変更がどのような影響を与えるのか、既存のユーザーやシステム管理者にとっては気になるところです。

OSの基本からセキュリティを強化するWindows XP SP2

Windows XP Service Pack 2(SP2)は、Windows XPにとってほぼ2年ぶりのサービス・パックとなります。マイクロソフトは当初、修正モジュールをまとめた従来通りのXP SP2を2003年内にリリースする予定でした。しかし、2003年に入ってWindowsのぜい弱性を突いたワームが大流行し社会的問題になったことから、2003年8月に方針を転換し計画を大幅に変更、リリース時期を当初の予定から半年以上も遅らせてまでして、セキュリティ強化の新機能をXP SP2によって追加することになった。

大きな変化はセキュリティ

コントロール・パネルにはセキュリティの状態を集中的に監視する[セキュリティセンター]を新設。これは、Windowsの修正プログラム(パッチ)の適用やウィルス対策ソフトのアップデートなどの状況をまとめて確認できるようになっていて、簡単にパソコンの設定をセキュアに保てるようになっています。
しかし、XP SP2で実施されるセキュリティ強化の本質は、実はこのような目に見える表面的な部分ではない。悪意を持った攻撃を防ぐために、「多層防御」の考えに基づいてOSの基本的な部分に対する改善がいくつも実施されています。

Windows XP SP2の主な変更点
ネットワーク攻撃に強くなる仕組み Windowsファイアウオール、不要なサービスの停止、RPC/DCOMの認証機能
安全にWebやメールを閲覧できる仕組み Internet Explorerのポップアップブロックやアドオンインストール機能、Outlook ExpressにおけるHTMLメールにリンクされた画像ファイルの自動読み込み禁止機能など
バッファ・オーバーフローに強くなる仕組み AMD64アーキテクチャの機能を利用したデータ実行防止(DEP)機能の実装
その他の仕組み セキュリティセンター、Windowsインストーラ3.0、Bluetoothの標準サポート、BITS(バックグラウンドインテリジェンス転送サービス)2.0、WindowsMediaPlayer9.0

 例えば、「Windowsファイアウオール」を初期設定で『有効』にしたこと。XPでは従来からこの機能を備えていたが、初期設定では『有効』になっていなかった。外部からのネットワークを介した直接的な攻撃に対しては、この機能を使って外部からのアクセスを原則禁止することで防止。
 これまでネットワーク攻撃の入り口として悪用されることが多かったいくつかのサービスに関しては、標準で停止するようにしたり、ユーザー認証を必須としたりするといった変更がなされています。

 ユーザーがWebサイトや電子メール経由で危険なファイルを誤ってダウンロードしたり、実行したりしてしまう問題に対しては、Internet Explorer(IE)やOutlook Express(OE)のセキュリティをさらに強化することで対応。ユーザーが危険なサイトを見てしまったり、問題のあるプログラムを誤ってインストールしてしまったりすることがまずあり得ないようにIE/OEの動作を厳しく制限している。IEではポップアップウィンドウを防ぐ機能が追加され、OEではHTMLメールの画像のダウンロードが初期状態では禁止になっています。このように、Webサイトや電子メールを安全に閲覧できるように変更されています。

 正しいプログラムに存在するバグを悪用する「バッファ・オーバーフロー攻撃」に対しては、ハードウエアと連携した根本的な対策を実施。Athlon 64などAMD64アーキテクチャのプロセッサが用意する機能を利用して「データ実行防止(DEP)機能」を使えるようにする。
 DEPとは、バッファ・オーバーフローの疑いのあるプログラムを強制的に終了させるというもの。これにより、バッファ・オーバーフローを利用してOSやアプリケーションを乗っ取るBlasterのようなワームの多くは、動作さえできなくなる。

XP SP2は「トラブルとの戦い!?」

 このように、XP SP2はOSの基本部分に2重3重の保護策を追加することで、ある保護策が破られても別の保護策がカバーするように変更されています。ウィルスに感染したりマシンを乗っ取られたりする最悪の事態の可能性は確実に低くなったといえるでしょう!!
その半面、OSの基本的な仕様に大きな変更を加えたことで、これまで使っていたアプリケーションやシステム全体に多大な影響を与えることが懸念されます。
 もちろん、マイクロソフトでは既存環境との互換性や相互運用性を保つために様々な工夫が実施されています。しかし、それでもXP上で特にサーバーのような動作をするソフトを実行しようとすると「Windowsファイアウオール」が邪魔をすることがある。またIEの仕様変更の影響でマイクロソフト製のアプリケーションでさえも正常に動作しなくなったりする。

Windows XP SP2は、セキュリティが大幅に強化される一方で、既存システムに悪影響を及ぼすかもしれないのである。




佐賀商工会議所・情報化支援アドバイザー
松 隈 清 志