マイクロソフトはWindows XPの修正プログラムなどをまとめた日本語対応版のサービスパック「Windows XP Service Pack 2セキュリティ強化機能搭載（以下、Windows XP SP2）」の提供を、9月2日（木）より、ダウンロード・センターならびにWindows Updateで開始した。またすでに店頭では、Windows XP SP2を予め適用した新パッケージのWindows XP製品が販売されている。

　ダウンロード・センター／Software Update Services（SUS）では、ファイル・サイズが約273Mbytesのネットワーク・インストール版のみが提供されている。ネットワーク・インストール版は、Windows XP SP2のインストールに必要なファイルがすべて同梱されており、これを実行するだけで、インターネットに接続していない環境でもSP2のインストールが行える。

・ダウンロード・センター（IT プロフェッショナルおよび開発者用 Windows XP Service Pack 2 ネットワーク インストール パッケージ）：
http://www.microsoft.com/downloads/details.aspx?FamilyID=049c9dbe-3b8e-4f30-8245-9e368d3cdb5a&DisplayLang=ja
［お詫び］9月1日に配信したHotFix Alert 速報版のURLが誤っておりました。お詫びして訂正させていただきます。

　なおWindows Update版では、セットアップ・ファイル（容量は75Mbytes）のみをダウンロードし、その後に必要なファイルをインターネットからダウンロードするようになっている。ただしダウンロードはクライアントごとに行われるので、多数のクライアントが同時にWindows Updateでの適用を実行すると、ネットワークに過大な負荷がかかる危険がある。この懸念がある場合には、クライアントごとのWindows Updateの利用は避けて、ダウンロード・センター版の共有フォルダでの再配布や、SUSの利用を検討すべきだろう。

　またマイクロソフトは、Windows Updateが利用できないユーザー向けとして、Windows XP SP2を収録したCD-ROMを無償提供している（Webで注文を受け付けて無料で郵送。注文ページは下記のリンクを参照）。インターネットの回線速度が低く、ダウンロードでの入手が困難な場合には、CD-ROMを入手するとよい。

・マイクロソフト（Windows XP Service Pack 2 の CD-ROM ご注文）：
http://www.microsoft.com/windowsxp/downloads/updates/
sp2/cdorder/ja/default.mspx

　ただしマイクロソフトの説明によれば、上記CD-ROMは到着までに4〜6週間かかるとしている。これ以外にも、Windows XP SP2を収録したCD-ROMは、9月17日より全国主要PCショップと家電量販店で、10月1日より全国郵便局で無償配布される。さらに、発売時期はまちまちだが、PC雑誌の付録CD-ROMとしてもWindows XP SP2 CD-ROMが配布される予定である。急いで入手したければ、これらの手段を選ぶとよいだろう。

　このように今回のWindows XP SP2では、CD-ROMの入手が非常に容易になっている。基本的には歓迎すべきことだが、システム管理者としては、エンド・ユーザーがこれらのCD-ROMを入手し、管理者の知らないところでSP2を適用してしまうケースに注意する必要があるだろう。すでにマイクロソフトは、企業ユーザー向けとして、SP2の自動更新を抑止するツールやVB Scriptなどを提供しているが、これらを利用して自動更新を禁止していても、CD-ROMからのインストールはできてしまうからだ。

■提供時期ならびに形態

インターネット経由の配布

• Windows Update（http://windowsupdate.microsoft.com/）：9月2日未明
• ダウンロード・センター：9月2日未明
• Software Update Services（SUS）：9月2日以降
• 自動更新（Automatic Update）：9月29日より開始

CD-ROMの配布

• マイクロソフトからのCD-ROM配布（要申し込み）：
  Windows XP Service Pack 2 CD-ROMの注文：9月1日より
  http://www.microsoft.com/windowsxp/downloads/updates/
  sp2/cdorder/ja/default.mspx
• 全国主要PCショップ、家電量販店の店頭：9月17日（小冊子添付）
  対象店舗は、下記URLを参照のこと（9月7日現在、準備中）
  http://www.microsoft.com/japan/users/shop/
• 全国郵便局：10月1日（小冊子添付）
• 雑誌付録：随時提供

詳細：

■Windows Updateでの提供形態
　Windows Updateでは、Windows XP SP2の提供開始に伴い、サイトがバージョン・アップし、v5（以前は、v4）に変更となった。v5では、適用が必要なセキュリティ関連の修正プログラムとセキュリティ以外の重要な修正プログラムのみをスキャンする「高速インストール」と、追加で選択できる更新プログラムを含む修正プログラムまでスキャンする「カスタム インストール」の2種類から選択できるように変更されている。どちらを選択しても「Windows XP Service Pack 2」が表示されるはずだ（セキュリティ修正プログラムの適用状況によっては、表示されない場合がある。詳細は後述）。ここで、Windows XP SP2を選択すると、75Mbytesのセットアップ・ファイルがダウンロードされ、その後、必要なファイルが随時、インターネットからダウンロードされる。マイクロソフトによれば、Windows Updateの方がインストールに必要なダウンロード容量は小さくなるとしている。

　Windows Update v4サイトのWindows Updateカタログを利用すれば、Windows Updateサイトからもネットワーク・インストール版と同じものがダウンロード可能だ。なお、SUSでは「Windows XP Service Pack 2, 2004/08/31」のエントリで、Windows XP SP2のネットワーク・インストール版が提供されている。

■Windows Updateを利用したWindows XP SP2インストール時の注意
　Windows XP SP2は、SP2が提供される以前にリリースされた修正プログラムを含む、累積的な修正プログラムである。そのため、本来ならばWindows Updateでは、Windows XP SP2のみを適用すれば、以前の修正プログラムの適用は不要になるはずだ（Windows Updateサイトでは、以前の適用状態によらずWindows XP SP2が表示されるはずだ）。ところが、Windows XP SP未適用では、以下の17〜18個、またWindows XP SP1／SP1aでは3〜4個の修正プログラムが適用されていないと、Windows XP SP2がWindows Updateサイトで表示されない（9月7日現在）。

　ユーザーによっては、このことに気付かず、Windows UpdateサイトにWindows XP SP2が表示されず、いつまでもインストールができない状態が続くことになる。Windows XP SP2が未インストールなのにもかかわらず、Windows Updateを実行しても、Windows XP SP2が表示されない場合は、とりあえず表示されている修正プログラムをすべて適用してから、再びWindows Updateを実行してみるとよいだろう。

●Windows XP SP2のインストール前に適用が求められる修正プログラム一覧

■Windows Update／自動更新によるWindows XP SP2の配布を一時的に無効するツールを配布
　マイクロソフトは、Windows Updateと自動更新（Automatic Update）によるWindows XP SP2の配布を2004年12月14日まで無効にするツールの配布を開始した。このツールは、英語版向けに配布されていたもので、日本語環境にも適用可能である。ただし、ツールに含まれるドキュメント（電子メールのサンプル）は英語のままだ。

・マイクロソフト（Windows Updateおよび自動更新によるWindows XP Service Pack 2の配布を一時的に無効にする）：
http://www.microsoft.com/japan/technet/prodtechnol/
winxppro/maintain/sp2aumng.mspx

　配布されるツールには、Active Directoryのグループ・ポリシー向けADMテンプレート（NoXPSP2Update.adm）とレジストリ・キーを変更する実行プログラム、URLリンクをクリックすると無効化できる電子メールのサンプル（英語）の3種類が含まれる。どのツールも、以下のレジストリ・キーを設定することで、Windows Update／自動更新によるWindows XP SP2の配布を無効化する。

　シマンテックなどは、Internet Explorer（IE）のDHTMLの脆弱性により、任意のフォルダにファイルがコピーされる脆弱性を悪用したWebサイトでインストールされるトロイの木馬（バックドア）「Backdoor.Akak」が見つかったことを報告した。

・シマンテック（Backdoor.Akak）：
http://www.symantec.co.jp/region/jp/avcenter/venc/data/jp-backdoor.akak.html

　この脆弱性は、8月25日付け配信のHotFix Weeklyで「DHTMLの脆弱性により、Internet Explorerで任意のフォルダにファイルがコピーされる危険性」で報告したものである。IE上でアイコンを特定領域にドラッグ・アンド・ドロップさせると、許可を求めるダイアログを表示せずに、ファイルをスタートアップなどの任意のフォルダにダウンロードするというものだ。スクロール・バーを操作したり、アイコンをクリックしたりするだけでも、ファイルがダウンロードされる場合がある（すでに、このような操作でファイルをダウンロードする実証コードが公開されている）。Backdoor.Akakは、画像をクリックするだけでトロイの木馬をインストールするように細工されている。

・HotFix Report（DHTMLの脆弱性により、Internet Explorerで任意のフォルダにファイルがコピーされる危険性）：
http://www.hotfix.jp/archives/alert/2004/news04-0825.html#01

　8月25日付け配信のHotFix Weeklyでは、検証の結果、Windows XP SP1a上のIE 6 SP1のみに影響があるとしたが、セキュリティ設定などによっては、そのほかの環境でも脆弱性が存在するという報告もあるので注意したい。

　シマンテックによれば、Backdoor.Akakが実行されると、Windowsのスタートアップ・フォルダに「Testexe.exe」または「Rb.exe」をダウンロードし登録するという。これにより、Windowsの起動時にトロイの木馬が実行され、TCPポート4321で攻撃者のコマンドを待機する。攻撃者によって、システム情報が窃取されたり、ダウンロードされた任意のファイルが実行されたりする危険がある。