米MicrosoftがTrustworthy Computing(信頼できるコンピューティング環境)構想を打ち上げてから1年。Bill Gates会長兼チーフ・ソフトウエア・アーキテクトは「Security in a Connected World」と題するメールで1周年を祝った(関連記事)。しかしそのお祝い気分は,これまでで最もたちの悪い「SQL Slammer」ワームによって,わずか1週間で台無しになってしまった。このワームはSQL Server 2000マシンをターゲットとし,先週末インターネットを広範囲にわたって機能不全に陥れた。

 SQL Slammerが狙ったのは,2002年の夏に最初の修正プログラムが公開されて既にフィックスされたはずのセキュリティ・ホールだった。管理者がパッチの適用を怠っていたために被害が広がったのかも知れないが,Microsoftの作成したそのパッチはインストールが難しかったという指摘も多い。事実,このパッチのインストールは容易でなく,管理者が手作業でファイルをコピーしてやる必要があった。このため特に企業内ネットワークにはパッチを適用していないSQL Serverが多数あった。これらのサーバーがSQL Slammerの恰好の餌食になったのである。

 MicrosoftのスポークスパーソンであるRick Miller氏は,Microsoft社内のサーバー・マシンの多くもSQL Slammerの被害に遭ったことを認めた。これには先週末利用不能になったMSNのシステムも含まれている。「我々自身も多くの企業と同様,パッチ管理で今苦しんでいる。パッチの効率的な管理は,取り組まなければならない重要な課題として,これまでになく強く認識するに至った。我々自身も今はパッチ適用に大わらわだ」(Miller氏)。

 1周年を祝う先週のメールでBill Gates氏は,Trustworthy Computingの考え方とこの1年でMicrosoftが成し遂げたことを語っている。メールの結びはユーザー自身で採れる対策のリストになっており,そのリストの先頭にあるのが皮肉にも「常に最新のパッチを適用すること」だった。なるほど,まったく明確なアドバイスである。彼ら自身も肝に銘ずることだろう。

 SQL Slammerの騒動を受けて,Microsoftは適用のより簡単な実行形式のパッチを作成,公開している。このパッチはMicrosoftのWebサイト(該当サイト)などから入手できる(訳注:日本語情報サイトもある(該当サイト))。あるいは先週リリースされた「SQL Server 2000 Service Pack 3」にも同じ内容の修正が含まれているのでこちらを適用してもよい。

Windows & .NET Magazine Network, (C)2003. Penton Media, Inc.