マイクロソフトならびにウイルス対策ソフトウェア・ベンダ各社は、「TechNetセキュリティ情報：MS04-011（Microsoft Windowsのセキュリティ修正プログラム）」の修正プログラムで解消された「LSASSの脆弱性」を悪用するワーム「Sasser（サッサー）ワーム」とその亜種「Sasser.Bワーム」「Sasser.Cワーム」「Sasser.Dワーム」「Sasser.Eワーム」が登場したことを報告しています。

　また日本ネットワークアソシエイツは、LSASSの脆弱性を攻撃するコードを含むGaobotワームの亜種を検出したとしています。今後も、Sasserワームの亜種ならびに既存のワームにLSASSの脆弱性を攻撃するコードを組み込んだ亜種が登場するものと思われます。また、同じくMS04-011で解消された「PCTの脆弱性」と「SSLの脆弱性」に対しても攻撃コードが確認されています。このコードを組み込んだワームの登場も懸念されています。

　MS04-011の修正プログラムにおいては、適用によって障害が発生する例も報告されています。しかし、ワームが登場したことから、修正プログラムを適用せずに放置した場合のリスクが非常に高くなりました。十分な検証を行った上、至急、修正プログラムの適用を開始してください。

　なおドイツにおいて、「Sasserワームの作者が逮捕された」との報道もありますが、すでにSasserワーム自体が広まっていることに加え、アンダーグラウンドでワームのソースコードが公開され、第三者がこれを悪用できる可能性も否定できません。今後とも、Sasserワームの亜種や類似したワームが登場する懸念がありますのでご注意ください。

・マイクロソフト（Sasserウイルスに関する情報 Windows 2000編）：
http://www.microsoft.com/japan/security/incident/sasser_2k.mspx

・マイクロソフト（Sasserウイルスに関する情報 Windows XP編）：
http://www.microsoft.com/japan/security/incident/sasser_xp.mspx

・日本ネットワークアソシエイツ（W32/Gaobot.worm.ali）：
http://www.nai.com/japan/security/virG.asp?v=W32/Gaobot.worm.ali

詳細：
　Sasserワームは、ランダムに生成されたIPアドレスのTCPポート445でコンピュータへの接続を試み、LSASSの脆弱性を解消していないシステムを探します。接続が確立された場合、接続先のコンピュータでリモートシェルを実行し、そのシェルを利用して感染元のコンピュータに対してFTPで接続することによりワームをコピーさせます。

　つまりSasserワームは、MS04-011の脆弱性を解消していないと、インターネットに接続しているだけで感染する危険性があります。ワームによる攻撃を受けた場合、コンピュータは「LSA Shell」というエラー・ダイアログを表示して再起動を繰り返してしまいます。また別のコンピュータに対して感染を試みるため、コンピュータの動作が遅くなったり、ネットワークが遅くなったりします。

　感染が確認された場合は次の手順でワームを停止させます。まず感染したコンピュータをネットワークから切り離してから、ログオンして［タスク マネージャ］を起動します。［イメージ名］の欄で「avserve.exe」または「avserve2.exe」「skynetave.exe 」と、4桁か5桁の数字の後に「_up.exe」が付くプロセスを選択し、プロセスを終了させます。その後、これらのファイル名の実行ファイルを手動で削除するか、ウイルス対策ソフトウェアを用いてワームを駆除してください。

　また、マイクロソフトの「サポート技術情報：841720（Sasserワームとその亜種の駆除ツール）」をワームに感染していないコンピュータでダウンロードした後、USBメモリ・キーやフロッピーディスクなどで感染したコンピュータにコピーして実行することでも駆除可能です。

・サポート技術情報 841720（Sasserワームとその亜種の駆除ツール）：
http://support.microsoft.com/default.aspx?scid=kb;ja;841720

　マイクロソフトは、4月14日に提供を開始した「TechNetセキュリティ：MS04-011（Microsoft Windowsのセキュリティ修正プログラム）」の修正プログラムを適用することにより、不具合が発生する可能性があることを明らかにしました。またセキュリティ関連の掲示板などでも、不具合が報告されています。Sasserワームなど、MS04-011の脆弱性を悪用したワームが登場しているため、早急に修正プログラムを適用することが望まれますが、一方で、これら不具合によって業務に悪影響が及ばないかどうかをよく調査する必要があります。

・サポート技術情報 835732（[MS04-011] Microsoft Windows のセキュリティ修正プログラム）：
http://support.microsoft.com/default.aspx?scid=kb;ja;835732

詳細：
　5月11日現在、マイクロソフトが明らかにしている修正プログラム適用による不具合は、以下のとおりです。

■コンピュータが起動中に止まってしまったり、システム・プロセスによりCPU占有率が100％になったりする不具合
　Windows 2000に対してMS04-011を適用すると、コンピュータの起動が止まってしまったり、システム・プロセスによりCPU占有率が100％になってしまったりします。

　この現象が発生するのは、「ipsecw2k.sys」「imcide.sys」「dlttape.sys」のいずれかのドライバ・ファイルがインストールされている場合であるとしています。一例としては、Nortel Networks VPNを利用し、サービスで「IPSec Policy Agent」の「スタートアップの種類」を手動または自動で設定している場合、障害が発生する可能性があるようです。またSCSIのDLTテープドライブを利用している場合、「dlttape.sys」がインストールされるため、この障害が発生する危険性があります。

　ただし、セキュリティ関連の掲示板などによると、これらのドライバ・ファイルが含まれていないと思われる環境においても、同様の不具合が発生しているようです。上述以外のドライバ・ファイルにおいても不具合が発生する可能性があるものと思われます。

　英語版サポート技術情報によれば、マイクロソフトのサポート窓口に連絡することにより、この不具合を解消する修正プログラムが入手できます。ただし日本向けに修正プログラムがリリースされているかどうかは不明です。この修正プログラムには、mountmgr.sys／ntkrnlmp.exe／ntkrnlpa.exe／ntkrpamp.exe／ntoskrnl.exeが含まれます。

・サポート技術情報 841382（MS04-011のインストール後にコンピュータが応答を停止、ログオン不可、CPU使用率100%の現象が発生する）：
http://support.microsoft.com/default.aspx?scid=kb;JA;841382

・英語版サポート技術情報 841382（Your Windows 2000-based computer stops responding, you cannot log on to Windows, or your CPU usage for the System process approaches 100 percent）：
http://support.microsoft.com/default.aspx?scid=kb;EN-US;841382

■STOP 0x00000079エラーが発生する不具合
　マルチプロセッサ環境のWindows NT 4.0にMS04-011の修正プログラムを適用すると、「STOP 0x00000079エラー」が発生し、ブルースクリーンとなります。この不具合は、マルチプロセッサ環境のWindows NT 4.0に対し、シングルプロセッサ環境向けのカーネル・ファイル（ntoskrnl.exe）がインストールされるために発生します。

　マイクロソフトは、Windows 2000またはWindows XPのCD-ROMから起動し、%SystemRoot%\$NtUninstallKB835732$\ntoskrnl.exeを%SystemRoot%\System32\にコピーすることで、Windows NT 4.0が起動できるようになる、としています。MS04-011を正常にインストールするには、その後に%SystemRoot%\Repair\Setup.logの内容を修正してMS04-011のアンインストールと再インストールなどを行う必要があります。

・サポート技術情報 841384（Windows NT 4.0にMS04-011のセキュリティ修正プログラムをインストールした後"STOP 0x00000079"エラーが発生する）：
http://support.microsoft.com/default.aspx?scid=kb;JA;841384

■Adobe Illustratorで作成したEMFファイルが表示できなくなる不具合
　MS04-011の修正プログラムを適用すると、Adobe Illustratorで作成したEMF（Enhanced Metafile Format：拡張メタファイル・フォーマット）形式の画像ファイルがInternet Explorerなどで表示できなくなります。

　Windows NT 4.0／2000／XP／Windows Server 2003において、この不具合が発生する可能性があるとしています。Windows 2000とWindows XPに対しては、マイクロソフトのサポート窓口に連絡することにより、この不具合を解消する修正プログラムが入手できます。この修正プログラムには、gdi32.dllとmf3216.dllが含まれます（mf3216.dllは、MS04-011で提供されるものと同じバージョンです）。なおWindows Server 2003向けの修正プログラムは、現在（2004年5月上旬現在）のところ提供されていません。

・サポート技術情報 840997（Adobe Illustratorで作成された拡張メタファイル形式のグラフィック ファイル(EMF 画像ファイル)が表示されない）：
http://support.microsoft.com/default.aspx?scid=kb;JA;840997

■Windows XP SP1／SP1aでATコマンドによるスケジュールの登録ができなくなる不具合
　Windows XP SP1／SP1aにMS04-011の修正プログラムを適用すると、コマンドラインからスケジュールを登録するコマンド「AT」の実行時にエラーが発生し、スケジュールが登録できなくなります。

　この不具合は、NetScheduleと呼ばれるAPIを用いてスケジュールを登録するプログラムの内部で、登録先のコンピュータをコンピュータ名ではなくIPアドレスで指定している場合に発生します。前述のATコマンドがこれに該当するほか、UpdateEXPERT 5.1日本語版で適用スケジュールに失敗するのも、この不具合が原因と推測されます。

　この不具合を解消する修正プログラムは、マイクロソフトのサポート窓口に連絡すると入手できます。この修正プログラムにはnetapi32.dll（ファイルバージョン：5.1.2600.1521）が含まれます。

・サポート技術情報 841173（You receive the "The binding handle is invalid" error message when you use the AT command in Windows XP）：
http://support.microsoft.com/default.aspx?scid=kb;JA;841173

　そのほかセキュリティ関連の掲示板などで、以下のような不具合が報告されています。

■サウンドがビープ音に変わる
　Windows 2000にMS04-011の修正プログラムを適用すると、Windowsのサウンドがビープ音に変わってしまうという不具合が複数報告されています。原因は不明です。［コントロール パネル］−［サウンドとマルチメディア］ダイアログ−［サウント］タブの［サウンド イベント］ですべてのサウンド・イベントを「なし」に設定し、再起動後に設定することで障害が復旧したという報告もあります。

■Windows Server 2003でInternet Explorerの暗号強度が0ビットとして表示される
　MS04-011の修正プログラムに含まれる「schannel.dll」が正しく更新されず、ファイルが壊れてしまうために発生するようです。MS04-011を再適用することで障害が解消する可能性があります。

　またHotFix Weekly 4月21日版で報告したOracle8iと富士通 PRIMERGY TX200FTの障害については、以下のように状況が判明しました。

■Oracle8iでサービスによるデータベースの自動起動ができなくなる原因
　Oracle8i R8.1.xの稼働しているWindows 2000にMS04-011の修正プログラムを適用すると、サービスによるデータベースの自動起動ができなくなる不具合があると報告していました。Oracle8i R8.1.xでは、サービス起動時に内部的に実行する「oradim.exe」の処理でタイミング依存の部分があり、タイミングによっては処理がハングアップ状態になる不具合があったということです。MS04-011の修正プログラムの適用により、この潜在的な不具合の発生頻度が高くなることで障害が発生したと、オラクルが製品の不具合であることを明らかにしています。オラクルでは、データベースの自動起動の設定を行うことで、障害を回避できるとしています。

・オラクル（Microsoft Windows 修正プログラム KB835732 適用環境で、サービスによる自動起動ができない）：
http://support.oracle.co.jp/open/owa/external_krown2.show_text
?c_document_id=81950&c_criterion=%7B835732%7D&i_key=CyberOOW

■PRIMERGY TX200FTへの適用
　富士通は、同社製のIAサーバ「PRIMERGY TX200FT」にMS04-011の修正プログラムの適用を見合わせるようにアナウンスしていました。その後、「緊急修正プログラム：PRIMERGY TX200FT(Windows2000タイプ) EnduranceソフトウェアV5 緊急修正#001 V1.0L10」の提供を開始し、MS04-011を適用する前に、緊急修正プログラムをインストールすることで、障害が回避できるとしています。障害の内容は明らかにしていませんでしたが、緊急修正プログラムのリリース・ノートによれば、「Virtual FTserverの同期ができなくなる不具合」が発生していたようです。

・富士通（[緊急] Windowsの脆弱性[MS04-011〜014]に関するお知らせ）：
http://www.fmworld.net/biz/common/info/ms04-011-013.html

　マイクロソフトは、Windows Media Player 9シリーズとMP3プレイヤーなどのポータブル・デバイス間で音楽メディア・ファイルをコピーすると、 コピー処理に時間がかかることがあります。［メディア ライブラリ］に登録しているアイテムが増加するほど、処理時間が長くなります。これはコピーの処理時間が［メディア ライブラリ］のアイテム数のべき乗で増加するためです。

　すでにこの不具合を解消するための修正プログラムを提供しています。不具合が発生している場合は、Windows Updateを実行して、「推奨する更新」で「Windows Media Player 9 シリーズの修正プログラム (KB837272)」を追加して、修正プログラムを適用してください。

詳細：
　Media Playerでは、頻繁に［メディア ライブラリ］のファイルを列挙するため、［メディア ライブラリ］に登録されているアイテム数が増えると、それだけ処理時間が長くかかるようになります。

　この不具合を解消した修正プログラムはすでに提供されていますが、5月11日現在、サポート技術情報のリンクによりダウンロードされる修正プログラムは英語版です。そのため、適用を行うと「Setup cannot update your Windows Media Player files because the language installed on your system is different from the update language（インストールされているMedia Playerの言語が異なるため適用できません）」というエラー・ダイアログが表示されてインストールできません。

　Windows Updateでは、日本語版の修正プログラムが提供されており、適用が可能です。不具合が発生している場合は、Windows Updateを実行してください。なお適用によって置き換えられるファイルは以下のとおりです。